News CPU-Sicherheitslücken: Intel kämpft zum dritten Mal mit ZombieLoad

[BxBender]

Können wir mal nen Counter machen: Minuten seit der letzten bekanntgewordenen Intel Hardware Lücke?
Ich komme langsam nicht mehr mit....

Dann drückst du aber immer auf den Resetknopf. Wuahahah ;-P

 

[Holindarn]

aktueller Counter: 0 Tage ohne Zwischenfall

 

[Forum-Fraggle]

@Forum-Fraggle

Na ja genau für diese Fälle erschuf der liebe Gott die Programmierer und Systemadministratoren.
Uns ist es egal wie aber es muss funktionieren.

Ähm, auf was beziehst Du Dich genau?

 

[BxBender]

@Holindarn Du hast Humor, das gefällt mir.

@Volker Wann kommt mal wieder ein Bericht und Benches mit altem und neuem Bios und Fixes und abgeschaltet, damit man sieht, was das nun wirklich kostet.

Ich hatte testweise ein altes Bios auf das Z370 Board gemacht, aber es gab Komplikationen, denn die ME lässt sich nicht downgraden. So funktionierte der Vcore Offsetmodus nicht richtig, mit Fixed Vcore ging es dann. Darauf musst aber erstmal kommen.

Also bei Linux hat man sogar schon einen Fix wieder rausgeschmissen, weil der verdammt viel Leistung gekostet hat, dass eine weitere sinnvolle Nutzung von Intel-Prozessoren sozusagen als unlogisch udn vor allem viel zu teuer einzustufen ist.
Insgesamt sind vor allem ältere Prozessoren schlimmer im Leistungsverlust als aktuelle Prozessoren, wo schon auf einige Dinge reagiert worden ist.
Ich selbst habe mich kürzlich von so einem Ding getrennt, nun läuft mit AMD alles gleich viel schnuckeliger und ich bin wieder dreistellig unterwegs.

 

[jemandanders]

@Jim Panze
Quelle: PCGH

Irgendwie schon komisch.
Was machen die eigentlich?

 

[KraitES]

Sind wir doch einfach froh das Amd nicht so genau untersucht wird😂

 

[BxBender]

aktueller Counter: 0 Tage ohne Zwischenfall

<RESET>

"Ups tschuldigung, bin da aus Versehen drangekommen. Wollte nur mal testen, ob der geht" ^^

Intel hat ein eigenes Team was nach Sicherheitslücken bei AMD sucht. Viel Geld für nichts wurde bisher ausgegeben. Wenn eine Lücke bei AMD gefunden wird, steht es wahrscheinlich auf der Hauptseite von Intel ganz fett.

Das Problem ist dann aber, dass jeder Fehler auch beim Gegenüber geprüft wird und muss.
Und wie hoch ist die Cahnce derzeit, dass Intel danna uf jeden Fall auch davon betroffen sein wird?
Also von den bisher bekannten Sicherheitslücken her stehts dann wohl in etwa 15:1? :-))

EDIT: ups, sehe gerade die Gesamtstatistik alle Probleme. Also ich verbessere mich mal: 92 zu 1 !!!? WTF?!

 

[Müritzer]

@Wadenbeisser

Die Frage ist doch Hauptsächlich inwieweit all diese Lücken schon ausgenutzt wurden, ich denke keiner der auch nur ein bisschen Gewinn aus solchen Aktionen zieht wird Lücken melden die er findet. Hoffen wir mal das daraus nicht noch irgendwas gravierendes erwächst, nicht dran zu denken was alles gerade im Gesundheitswesen für Schindluder getrieben werden könnte. Oder der kleine User der bei seiner Bank plötzlich kein Konto mehr hat, das interessiert ja keinen, zu Hause ist der PC ja sicher.
Damit in der gesamten Branche ein umdenken stattfindet wünsche ich mir mal so ein richtigen Knall, wo sehr viel Geld verloren geht und es dann auf die kleinen User geschoben wird weil diese ihre Systeme zu hause nicht der Sicherheit angepasst haben.

@Forum-Fraggle

Auf das hier:

"Die Argumente mit Problemen kann ich verstehen, aber wie soll es gehen? 10 Fehler in Version 20 sollen gepatcht werden. Stellt man jetzt 10^9 Versionen zur Verfügung oder eine, die alle 10 Bereinigingen enthält? Mam weiß ja nicht ob Korrektur 3 einen Fehler aufweist, oder erst in Kombi mit Bereinigung 4 oder beider erst in Kombi mit Bereinigung 1 etc."

Für diese Art der Probleme gibt es doch speziell ausgebildetes Personal, die sollen sich ihren gut bezahlten Kopf zerbrechen.

 

[Kacha]

Mal wieder eine Intelluecke, mal wieder genug die relativieren und nicht ganz so in der Materie sind...

Das sind theoretische Lücken die man erst ausnutzen kann wenn man Zugang hat, man muss sich erst Zugang zum PC bzw. ins network eindringen um die Lücke auszunutzen. Aber vermutlich kein Hacker der Welt der bereits Zugang zum PC hat wird anschließend noch irgendwelche CPU seitigen Lücken ausnutzen. Erstens viel zu Komplex und zweitens lohnt es sich nicht und drittens können das nur eine handvoll von Menschen, wovon die Hälfte bestimmt auch selbst vom Staat beobachtet wird.

Anders kann es vielleicht bei großen Unternehmen aussehen aber für uns normalos sind diese Sicherheitslücken nicht relevant.

Im Grunde hat jeder Microchip irgendwelche Lücken, wenn man ihn lange genug analysiert wird man auch immer mehr finden.
Sicherheitslücken zu finden bringt in erster Linie ein Haufen Asche, man sollte sich als Normalo deswegen nicht verrückt machen.

Ich will die Lücken keines Wegs schön reden, eher im Gegenteil.
Da jede Lücke die man Software seitig schließt am ende für uns Leistung kostet, finde ich es von Intel eine Frechheit diese nicht HW-seitig zu fixen, zumal Intel immer Monate vorm veröffentlichen der Lücke Bescheid weiß/wusste.

Deinen Kommentar kann man zusammenfassen mit "Ich habe keine Ahnung will aber was sagen.". Bitte informiere dich doch bevor du sowas schreibst...

Kriminelle Gruppen/Leute werden wohl kaum in der Öffentlichkeit groß herumposaunen, dass sie die oder andere Lücken ausnutzen. Wieso braucht ihr immer einen Beweis dafür, dass die bestehenden Lücken bereits ausgenutzt werden? Sollen wir erst Lücken fixen, oder Intel für ihre Schlampigkeit rügen, wenn dein Konto oder ähnliches schon geplündert wurde?

Die Lücken bestehen und wer weiß schon, was durch diese Lücken schon an sensiblen Daten geklaut werden konnte.

Ich finde diese Argumentation immer so toll. "zeigt mir, wo die Lücke schon ausgenutzt wurde"... Ja wenn wir das wüssten, dann bräuchten wir keine Forscher, die nach Sicherheitslücken suchen. Kriminelle werden wohl kaum eine Lücke ausnutzen und dann anschließend in der Öffentlichkeit zugeben, was sie getan haben und wie.

Sollen Fehler in anderen Produkten, die zum Rückruf oder ähnliches führen, weil sie in Zukunft zum Ausfall oder schlimmeres führen können, auch erst dann zurückrufen, wenn der Fall eintrifft?

Aber kauft ruhig weiter Intel und bestätigt sie damit, das ihr Vorgehen total ok ist. Ganz besonders die Serverhersteller. Kauft weiter Intel, auch wenn der Konkurrent in der Serversparte mittlerweile überlegen ist und weniger Sicherheitslücken hat. Weil Intel ist ja euer Freund.

Stimme dir da zu. Es ist immer wieder erschreckend wie klein der Horizont hier im Forum ist und wieviele mit wenig Ahnung aber riesen Meinung unterwegs sind.

Klar gibt es die, doch war AMD im Profi-Markt die letzten Jahre quasi irrelevant, und dort zielen die meisten Sicherheitslücken ja drauf. Da investiert keiner Zeit und Geld, weil es sich nicht lohnt.
Ist wie mit Mac und Windows. Fast alles an Lücken gibts für Windows, was aber nicht heißt das Mac komplett sicher ist. Die Zielgruppe ist eben nur viel viel kleiner, also geht man immer zuerst zum großen.

Gerade dir sollte doch klar sein, dass die Architekturen von Intel und AMD ziemlich unterschiedlich sind. Diese Relativierung, dass AMD ja zu klein sei soll nur darueber hinwegtaeuschen, dass Intel einfach massive Fehlentscheidungen getroffen hat. Die Luecken bei Intel kommen nicht raus weil Intel gross ist, sondern weil sie ein grottenschlechtes Sicherheitsdesign haben und jemand mal ein bisschen rumgepuhlt hat. AMD hat beim Sicherheitskonzept besser aufgepasst. Wie anscheinend jeder andere Chiphersteller. Intel hat sich einfach Performance erkauft auf Kosten der Sicherheit. Deswegen ist es derzeit auch kein Leistungsverlust, sondern schlichtweg eine Korrektur der Leistung auf das selbe Niveau wie die Konkurrenz.

Dilettantisch bedeutet sowas wie unprofessionell, laienhaft oder unfachmännisch. Ist aber so, dass Intel hier wie so oft jede Lücke runterspielt und Nachforschungen verschleppt und behindert und Leute lieber zum schweigen bringt (Holländische UNi, wo sie versucht haben zu bestechen), weil sie ganz genau wissen, das da noch viel mehr wartet und ihre Architektur tatsächlich total löchrig ist. Nicht den Fehler machen, Intel Unwissenheit zu unterstellen, Intel wusste das alles und hats fahrlässig in Kauf genommen!

Sie geben eben nur das widerwillig zu, was ohnehin gefunden wurde.

Derjenige-welche hat jahrelang für Centaur-Technology gearbeitet, der Prozessor-Schmiede hinter VIA (Cyrix). Er kennt sich also aus und ist vom Fach – und gewusst hat Jeder davon, der es wahrhaben wollte;

We Saw Some Really Bad Intel CPU Bugs in 2015, and We Should Expect to See More in the Future

Der Kommentar war von 2016, der Insider verließ 2014 Intel. Jeder wusste was kommt. Einer hats hier ganz gut erklärt, mit Quellen!

… weiß TechFA

Gab ja auch schon Meldungen in denen Sicherheitsforscher Intel schon viel frueher darauf hingewiesen haben, dass deren Sicherheitskonzept zu Problemen fuehrt. Sie haben es halt ignoriert und alles der Leistung geopfert. Jetzt kommt die Rechung dafuer, deswegen auch null Mitleid. Das sind nur die Konsequenzen, mehr nicht.

Da AMD und Intel bei all diesen Lücken gleichermaßen getestet wurden laut den jeweiligen Findern, ist Dein Vermutung schon falsch. AMD hing auch hinterher in Sachen Leistung. Das war kein Problem wegen Qualität, sie waren einfach langsamer .

Das doofe daran ist, dass Intel einen Teil der Leistung sich auf Kosten der Sicherheit erkauft hat. Jetzt kommt halt die Rechnung.

Dürfte der einzig vernünftige Beitrag hier sein. Bislang sonst nur geistigen Dünnpfiff gesehen.

Vernuenftig? Wohl eher, mit deinen Worten, "geistiger Duennpfiff". Es ist ein stumpfer Versuch zu relativieren, mehr nicht. Und er offenbart auch, dass der Autor keine Ahnung hat.

 

[Holindarn]

aktueller Counter: 0 Tage ohne Zwischenfall

letzter Reset durch: @BxBender
Grund: Schusseligkeit

 

[Forum-Fraggle]

oofe daran ist, dass Intel einen Teil der Leistung sich auf Kosten der Sicherheit erkauft hat. Jetzt kommt halt die Rechnung.

Das stimmt, aber das wußte damals keiner. Intel wurde im Server Bereich viel wegen Leistung vorgezogen, AMD war da früher gar nicht so schlecht.

 

[cbtestarossa]

Deshalb warte ich sehnsüchtig auf den ersten großen Hack der genau so eine Sicherheitslücke ausnutzt und öffentlich wird.
Dann stehen alle Verantwortlichen mit offenem Mund da und schauen sich gegenseitig dumm an.
Ups

Glaub aber nicht dass sich dann was ändert.
Sie werden es natürlich kleinreden und auch nicht auf die große Glocke hängen und hoffen dass nix passiert.

Einige werden auch gar keine Option haben auf AMD umzusteigen.
Das dauert Jahre.
Und was ich so gelesen habe, selbst wenn Dell und Konsorten HW liefern könnte bleiben immer noch DB Anbieter die so etwas eventuell nicht lizensieren.

So einfach ist es halt auch nicht wie man oft glaubt.
Oft bestimmt eben die Software welche Hardware verwendet werden muss.

 

[jemandanders]

Sind wir doch einfach froh das Amd nicht so genau untersucht wird😂

Ich glaub, das liegt nicht am Untersuchen.
Der Andreas Stiller hat damals (01/2018) einen vergleich der Architekturen gezogen.
Er hat das damals so eingeschätzt, das Intel möglicherweise ein größerer Umbau bevorsteht. AMD aber wohl mit ein paar Korrekturen davon kommen wird.
Scheint sich ja zu bewahrheiten.

 

[Jim Panze]

AMD wird auch auf viel weniger Systemen eingesetzt ergo gibt es auch weniger welche danach suchen. Eine komplett fehlerfreie CPU ohne Lücken usw. ist bei heutiger Komplexität unmöglich! Es werden auch in Zukunft Lücken und Fehler enthalten sein, bei Intel & AMD.

 

[Holindarn]

@Jim Panze
das bestreitet ja auch keiner

 

[Müritzer]

"Intel hat seine gesamten sicherheitsrelevanten Computersysteme auf AMD umgerüstet." Das stammt aus einem Witz über Intel, da könnte aber ein Fünkchen Wahrheit drinstecken.

 

[PS828]

Warum wird Intel ständig ans Bein gepinkelt, Intel ist immer noch schneller pro Kern und bereits mit Comet Lake wird der Vorsprung weiter ausgebaut werden, lieber schnell mit Mut zur Lücke, als lückenlos hinterher rennen.

Wenn Intel Pro Kern schneller ist warum verliert dann der 18 Kerner gegen AMDs consumer CPU mit 16 Kernen?

Außerdem pinkeln wir immer der Firma ans Bein welche gerade etwas verbockt. Und wenn Intel sich immer vorne anstellt können doch die CB Leser nix für. Intel macht grad alles um sich unbeliebt zu machen.

 

[RuhmWolf]

Im Paper der aller letzte Teil vor den Fußnoten:

10 Acknowledgments This research was supported by the Defense Advanced Research Projects Agency (DARPA) and Air Force Research Laboratory (AFRL) under contract FA8750-19-C-0531, and by generous gifts from Intel and AMD.

 

[Wu134]

Hallo,

das ist für mich immer noch Gebashe. Hier wird wieder sinnlos auf Intel herumgehackt, weil wie schon öfters geschrieben, bei so komplexen System wird es keine 100%-Sicherheit geben können. Und Intel hat halt den mit Abstand größten Marktanteil, so dass da am ehesten gebohrt wird. Für eine Nische wird sich wohl kaum jemand soviel Mühe machen, nach Lücken zu suchen.

Diese Sicherheitslücken müssen dann aber immer noch sinnvoll ausnutzbar sein. Ähnlich wie beim letzten Sicherheitsleck beim WLAN. Es war aber so theoretisch konstruiert, dass es ausgenutzt werden hätte können, dass man es getrost ignorieren kann. Viele "Lücken" basieren auch auf Faulheit und Komfort, auf den auf der anderen Seite keiner verzichten möchte. Leistung und Komfort? SMT an, Sicherheit? SMT aus. Wir schreien seit Jahrzehnten nach immer mehr Leistung und noch mehr Leistung. Selbst heute hab ich noch keine Formulierung gelesen, dass ein "sicherer" Chip gefordert wird und selbst wenn, er dürfte nicht langsamer sein wie sein Vorgänger oder die Konkurrenz.

Und wenn ich mir dann noch die Statistiken zu den meistgenutzten Passwörtern anschaue, brauchen wir nicht über Sicherheitslecks in Hard- und Software suchen, denn das größte Problem scheint immer noch vorm Bildschirm zu sitzen. Und wozu Datenlecks ausnutzen? Vermutlich basieren 99% aller geklauten persönlichen Daten auf menschliches Versagen oder freiwilliges Herausrücken von Daten.

Gruß

 

[Holindarn]

@RuhmWolf
du hast vergessen Intel hervor zu heben.
die haben nur gnädiger weise die hardware gestellt