News CPU-Sicherheitslücken: Intel kämpft zum dritten Mal mit ZombieLoad

[ottoman]

Gibts einen seriösen Artikel der beschreibt, ob und wie diese Lücken Stand heute
genutzt werden und welche tatsächlichen Schäden der oder die Nutzer davontragen?

Wie viel warscheinlicher ist es, dass ich durch diese Lücke gehackt werde, als durch
jede andere Malware / Adware etc?

Oder bashen wir einfach nur wie jedes mal 100 Kommentare unter diese Artikel und
bleiben ansonsten ahnungslos und im Bereich des gefährlichen Halbwissens?

Das sind theoretische Lücken die man erst ausnutzen kann wenn man Zugang hat, man muss sich erst Zugang zum PC bzw. ins network eindringen um die Lücke auszunutzen. Aber vermutlich kein Hacker der Welt der bereits Zugang zum PC hat wird anschließend noch irgendwelche CPU seitigen Lücken ausnutzen. Erstens viel zu Komplex und zweitens lohnt es sich nicht und drittens können das nur eine handvoll von Menschen, wovon die Hälfte bestimmt auch selbst vom Staat beobachtet wird.

Anders kann es vielleicht bei großen Unternehmen aussehen aber für uns normalos sind diese Sicherheitslücken nicht relevant.

Im Grunde hat jeder Microchip irgendwelche Lücken, wenn man ihn lange genug analysiert wird man auch immer mehr finden.
Sicherheitslücken zu finden bringt in erster Linie ein Haufen Asche, man sollte sich als Normalo deswegen nicht verrückt machen.

Ich will die Lücken keines Wegs schön reden, eher im Gegenteil.
Da jede Lücke die man Software seitig schließt am ende für uns Leistung kostet, finde ich es von Intel eine Frechheit diese nicht HW-seitig zu fixen, zumal Intel immer Monate vorm veröffentlichen der Lücke Bescheid weiß/wusste.

Das sind oft keine "theoretische Lücken" und man braucht keinen physischen Zugang zum PC. Einfach mal den Wikipedia Artikel lesen: https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)

Two Common Vulnerabilities and Exposures IDs related to Spectre, CVE-2017-5753 (bounds check bypass, Spectre-V1, Spectre 1.0) and CVE-2017-5715 (branch target injection, Spectre-V2), have been issued. JIT engines used for JavaScript were found to be vulnerable. A website can read data stored in the browser for another website, or the browser's memory itself.[8]

Oder auf deutsch:

Bei einem Angriff lässt man bestimmte vom Angreifer eingebrachte Befehle spekulativ ausführen, z. B. durch Return Oriented Programming unter Ausnutzung eines Pufferüberlaufs oder mit einem vom Angreifer bereitgestellten und vom Benutzer ausgeführten Programm (z. B. in einer interpretierten Skriptsprachen wie JavaScript). Hierbei kann die Spectre-Lücke ausgenutzt werden, um Informationen aus dem Adressraum des ausführenden Interpreters, wie bspw. des Webbrowsers, zu extrahieren. Dabei kann ein Angreifer über ein von einem Webserver geladenes bösartiges JavaScript Passworte aus dem Passwortspeicher des Webbrowsers auslesen.

 

[Müritzer]

@Holindarn


AMD Quietly Patched Four Major GPU Security Vulnerabilities with Radeon 20.1.1 Drivers

https://www.techpowerup.com/263237/...ty-vulnerabilities-with-radeon-20-1-1-drivers

 

[Xes]

Ich denke das AMD hier einen besseren Job gemacht hat.
Oder täusche ich mich da?

Das ist schwierig zu sagen. Ich schätze Intel steht aufgrund des viel größere Markanteils einfach unter viel größerer Beobachtung.
Würden sich entsprechend viele Experten die gerade nach Intel-Lücken suchen mal mit AMD beschäftigen könnte ich mir gut vorstellen, dass dort möglicherweise auch so einiges zu Tage kommt.
Objektiv betrachtet lief bei AMD treiberseitig z.B. die letzten Jahre immer mal wieder was ordentlich schief daher kann die Qualitätskontrolle noch nicht einwandfrei sein. Wer weis welche Fehler sich da noch so im Hintergrund tummeln.

 

[aldaric]

AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen. Darüber wurde nicht berichtet, das haben die sogar nicht in ihren Release Notes geschrieben.

Ist ja auch richtig so. AMD hat Sicherheitslücken gefunden und per Treiber gefixt. Öffentlich wird man das doch nicht machen, aus dem Grund da viele Leute auf den alten Treibern sitzen und nicht ständig ihre Software updaten. Das wären alles potenzielle Opfer.

Das Problem bei Intel ist ja eher, dass sie Lücken mitgeteilt bekommen von Forschern und erstmal gar nichts machen. Erst nach der 6-Monats Frist wird dann halt Zähneknirschend ein Fix angekündigt.

Wenn Intel selbst Lücken findet und sie fixt, bedarf es auch keiner Kommunikation nach außen.

 

[Holindarn]

@Müritzer
Danke, das wird in den Release Notes nicht erwähnt, was erst mal unschön ist...
aber wenigstens wird was dagegen gemacht.

 

[Heschel]

Wenn aber die alten Treiber nicht auch gepatcht werden ist das auch nicht gut. Vor allem sollten die Verbraucher auf solche wichtigen Änderungen hingewiesen werden.

Vollkommener Unsinn.

Was nützt es, wenn man alte Treiber patcht? Installierst Du alte Grafikkarten-Treiber? Wohl eher nicht. Das einzige, was Du richtig sagst ist, dass man auf das besser hinweisen muss. Ansonsten:

https://www.amd.com/de/corporate/product-security

Fazit: Es wurde hingewiesen - wäre aber besser, wenn es bei den Änderungs-Notes gewesen wäre.

 

[ottoman]

AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen. Darüber wurde nicht berichtet, das haben die sogar nicht in ihren Release Notes geschrieben.

Die Sicherheitslücken betreffen Nutzer, die so eine GPU in einer VM laufen haben. Da bestand die Möglichkeit, die VM zu crashen bzw. Code auf dem Host auszuführen.

 

[Holindarn]

richtig,
für ein einzelnes System, also dem typischen Gamer, ist das erstmal unkritisch ^^

 

[or2k]

Gibt es irgendeine Prognose ab welcher CPU Generation diese Probleme im Chip behoben sind?

Alles was Core 2 und älter ist

 

[Müritzer]

@Heschel

Was die alten Treiber betrifft, wie oft musste man jetzt lesen das Leute mit den neuen Treibern Probleme haben. Die installieren wieder die alten. Ich schaue nicht regelmäßig in die Produkt Security Seite nach, wer macht das schon. Die Release Notes lesen die meisten und auch hier im Forum wird über die diskutiert.

@ottoman

Für den normalen Gamer ist sowas vielleicht nicht so wichtig, aber wenn Leute was finden wird verstärkt in diese Richtung gesucht. Jede geschlossene Lücke ist gut aber sowas muss auch immer offen gelegt werden. Die Hersteller brauchten sonst ja nicht mehr zu schreiben was alles geändert wurde. Die Leute werden schon merken wenn es besser läuft oder auch nicht.

 

[Jasmin83]

Wie viel warscheinlicher ist es, dass ich durch diese Lücke gehackt werde, als durch
jede andere Malware / Adware etc?

oder durch die dummheit der user irgendwas von irgendwo im internet runterzuladen, bzw auf irgendwelche dubiosen seiten rumzusurfen. aktuell würde ich nicht soviel panik schieben.. ist wie mit dem china virus, SARS, Schweinegrippe, Vogelgrippe oder sonst was.. Panik hat noch zu nichts geführt, außer zu unüberlegten handlungen. siehe "euro 5 diesel verkaufen MÜSSEN für einen lächerlich niedrigen preis"

 

[papa_legba]

AMD hat vor kurzem erst still und heimlich 4 Sicherheitslücken in dem Treiber für die Grafikkarten mit dem Treiber 20.1.1 geschlossen. Darüber wurde nicht berichtet, das haben die sogar nicht in ihren Release Notes geschrieben.

Das betrifft ja dann auch nur den Anwender selbst. Die Intel Lücken auf Server CPU´s betreffen quasi jeden. Schön ist es auch nicht, aber nicht annähernd so relevant wie Zombieload.

 

[KnolleJupp]

Gibt es irgendeine Prognose ab welcher CPU Generation diese Probleme im Chip behoben sind?

Behoben... nun:

Meltdown und Spectre betrifft die Out-of-Order Architektur direkt, betrifft also so gut wie alle Intel CPUs ab dem Pentium Pro von 1995.
Nicht betroffen sind nur die Intel Atom CPUs der ersten Generation und CPUs mit Itanium-Architektur.

Alle darauf folgenden Derivate sind Abwandlungen von den ursprünglich gefundenen Lücken Meltdown und Spectre.
Wobei diese nicht eine einzelne Lücke beschreiben, sondern eine ganze Reihe Lücken, die letztlich auf die gleiche Ursache zurückzuführen sind.

Hey, die Lücke kann man auch auf eine andere Weise ausnutzen, lass uns dieser Variante einen neuen, martialisch klingenden Namen geben...

Diese Sicherheitslücken kann man nur schließen, indem man die Funktionalität dessen was man mit Out-of-Order meint beschränkt oder komplett abschaltet.
Damit geht zwangsläufig ein Leistungsverlust einher! Je nach Art der Lücke und des Patches mal mehr, mal weniger.
Ein Patch besteht aus einem angepassten Microcode, also der Firmware der CPUs, der entweder über eine aktuelle BIOS-Version oder beim Betriebssystemstart in die CPU geladen wird.

Intel hat diese Lücken sicher nicht bewusst aufgerissen, aber auf der Suche nach einer weiteren Leistungssteigerung vielleicht nicht genau genug hingesehen.
Neue CPU-Generationen können dieses Patches bereits in Hardware beinhalten, sei es tatsächlich eine angepasste Schaltung oder ein bereits ab Werk gepatchter Microcode.

Mit manchen dieser Lücken hat auch AMD zu kämpfen. Aber in weit geringerem Umfang.
Weil sie eine andere Architektur nutzen.
Und - das muss man auch feststellen - weil man bei Intel genauer hinsieht als bei AMD.

 

[modena.ch]

Würden sich entsprechend viele Experten die gerade nach Intel-Lücken suchen mal mit AMD beschäftigen könnte ich mir gut vorstellen, dass dort möglicherweise auch so einiges zu Tage kommt.

Das wird bei jeder neuen Lücke gemacht.
Bisher meist erfolglos.
AMD hat eine ganz andere Architektur und Sicherheitsstruktur.

 

[FatFire]

Der hat uns erzählt das die Lizenzen quasi von den Cores der CPU abhängen. Je mehr Cores umso teurer wird es.
Und jetzt kommt der Hammer! Sagt er er doch tatsächlich: Bei Intel CPUs gibts 50% Rabatt!

Und weißt Du, was noch der Hammer ist? Bei AMD CPUs gibts auch 50% Rabatt! Und bei Sparc T3-Prozessoren sogar 75% Rabatt!!!

Erst lesen, dann lästern:
Oracle Core Factor Table

Ich hoffe, ihr arbeitet in eurem Job nicht immer so oberflächlich.

 

[Ardadamarda]

Und weißt Du, was noch der Hammer ist? Bei AMD CPUs gibts auch 50% Rabatt! Und bei Sparc T3-Prozessoren sogar 75% Rabatt!!!

Erst lesen, dann lästern:
Oracle Core Factor Table

Ich hoffe, ihr arbeitet in eurem Job nicht immer so oberflächlich.

Interessant, war mir nicht bewusst.
Schon komisch aber das er der nette Oracle Herr das nicht erwähnt hat.
Gut, was soll ich sagen, letzendlich kümmert sich die IT um die Beschaffung der Hardware wir können nur aus einem vorgegeben Pool auswählen.

 

[mockli]

Gibts einen seriösen Artikel der beschreibt, ob und wie diese Lücken Stand heute
genutzt werden und welche tatsächlichen Schäden der oder die Nutzer davontragen?

Auf Basis welcher Daten soll es so einen Artikel geben?

Es ist oft nicht nachvollziehbar welche Lücken im System einen Angriff ermöglichten und die Angreifer werden wohl auch keinen Blogpost darüber schreiben.
Zudem machen meistens geschädigte Unternehmen erfolgreiche Angriffe nicht öffentlich. Also wie sollen solche Artikel entstehen?

Eine bestehende Lücke wird nicht durch fehlende öffentlich zugängliche Dokumentation von stattgefundenen Angriffen in irgendeiner Weise weniger schlimm.

 

[Forum-Fraggle]

Das ist schwierig zu sagen. Ich schätze Intel steht aufgrund des viel größere Markanteils einfach unter viel größerer Beobachtung.
Würden sich entsprechend viele Experten die gerade nach Intel-Lücken suchen mal mit AMD beschäftigen könnte ich mir gut vorstellen, dass dort möglicherweise auch so einiges zu Tage kommt.
Objektiv betrachtet lief bei AMD treiberseitig z.B. die letzten Jahre immer mal wieder was ordentlich schief daher kann die Qualitätskontrolle noch nicht einwandfrei sein. Wer weis welche Fehler sich da noch so im Hintergrund tummeln.

Da AMD und Intel bei all diesen Lücken gleichermaßen getestet wurden laut den jeweiligen Findern, ist Dein Vermutung schon falsch. AMD hing auch hinterher in Sachen Leistung. Das war kein Problem wegen Qualität, sie waren einfach langsamer .

 

[zonediver]

Intel - das neue Cisco - oder doch schweizer Käse? Na, das wär' ne Beleidigung für die Eidgenossen
Intel ist nur noch eine Lachnummer...

.) Lieferprobleme
.) 14nm die 12te (++++++++++++)
.) Mondpreise
.) Sicherheitslecks an allen Ecken und Enden

Was geht da ab bei denen?
Scheinbar interessiert man sich dort wohl nicht mehr für den ConsumerMarkt...

 

[Onkel Föhn]

"Erneut gibt es von den Forschern Kritik an Intel, während sich der Konzern einmal mehr vornehmlich selbst lobt, Updates für die Probleme aber erst für die nahe Zukunft in Aussicht stellt. Die Forscher werfen Intel vor, immer erst darauf zu warten, bis jemand ein Konzept erarbeitet hat, dass die Lücke ein Problem sein könnte und dann erst reagiert."

Das muss ich erst mal sacken lassen.
Für mich ist das schlichtweg die Höchstform an Ignoranz und Hochmut (inkl. Kundenverarsche).
Hauptsache den längsten Balken (für den "dummen" Pöbel).
Da fehlen einem echt die Worte … :-(

MfG, Föhn.