News Downfall & Inception: Neue CPU-Schwachstellen gefährden Intel- und AMD-Systeme

[frazzlerunning]

Werbung auf Webseiten, wie computerbase.de

Dafür gibts ja die Abos.

 

[Samuelz]

Mit was für Performance Einbußen muss ich nun als Gamer (Privat User) rechnen?

Zen 3 (5800X User)

 

[Engaged]

Laufen die CPU Verkäufe schon wieder so schlecht, oder warum schon wieder solche Lücken mit so harten Performance impact? 🤔

 

[Suspektan]

Javascript läuft isoliert im Browser. Die Idee dahinter ist, dass man beliebigen Code aus dem Internet herunterladen und ausführen kann, ohne dass dabei Kollateralschäden entstehen. Das beantwortet auch schon die Frage nach dem Keylogger. Der lässt sich selbstverständlich nicht aus der Javascript Sandbox installieren.

Hierbei geht es um leaks aus anderen Prozessen. D.h. es können dann Informationen aus komplett isolierten Prozessen oder VMs abgesaugt werden.

Muss dazu der schadcode ausführende Tab geöffnet sein?
Ansonsten muss man vor dem Eingeben sicherheitsrelevanter Daten eben alle weiteren Tabs schließen oder gleich einen eigenen Browser für verwenden.
Unkomfortabel, aber machbar für mich.

 

[MR2007]

Da man dort sowas gar nicht hört, wie sieht es eigentlich in der ARM Welt aus? Gibt es da kein branch predicting?

 

[dev/random]

Das Update von MS ist seit Juli 2022 draußen. Aktuell suggeriert der Text, es wäre neuer. 😬

Es gab von MS im Juli 2022 ein Update gegen CVE-2022-23825 (AMD CPU Branch Type Confusion, den vorherigen ähnlichen Angriff), das aber gegen CVE-2023-20569 (Inception) nicht schützt.
@coffee4free: Die News ist diesbezüglich eher irreführend

Neben Downfall und Inception ist übrigens auch noch CVE-2023-20583 (Collide+Power) veröffentlicht worden, dass im Prinzip alle heutigen CPUs betrifft: https://collidepower.com/

 

[drago-museweni]

Genau, nach dem Motto wenn ich nix mache kann mir auch nix passieren. Die AMDs haben genauso Sicherheitslücken wie die Intels...

Und wann wird sowas ausgenutzt fast nie, das wird heisser gekocht als gegessen, interessant zu wissen aber es ist einfach so das fast keiner damit Probleme bekommen wird wie bei den letzten "Lücken" halt auch.
Alarmismus ist sicher fehl am Platz.

 

[mae]

Spectre und Meltdown sind ja mit Rekordgeschwindigkeit auf alle Server gepatcht worden.

Nein. Meltdown (zumindest die urspruengliche Variante, Downfall ist Meltdown-aehnlich) wurde tatsaechlich nach 1-2 Jahren gefixt, Spectre ist bis heute da und ungefixt. Die haben nur ein paar Befehle eingebaut, die man in Software fuer Mitigations verwenden kann. Wenn die Software nicht entsprechend umgeschrieben wird (ein sehr aufwendiger Prozess, der daher nur bei wenig Software gemacht wurde, z.B. dem Linux-Kernel), ist die Software Spectre-anfaellig. Und selbst bei Software, bei der man die Mitigations versucht hat, gibt es keine Garantie, dass man alle potentiell anfaelligen Stellen erwischt hat.

Hat jemand jemals einen echten Angriff mit diesen Exploit abbekommen

Wer weiss? Die Angreifer hinterlassen keine Visitenkarte, in der sie beschreiben, ueber welche Tuer sie hereingekommen sind, und gerade bei diesen Angriffen gibt's auch keine offensichtlichen Spuren, besonders wenn die Angriffe nicht breitflaechig durchgefuehrt werden.

Bevor Snowden die diversen Aktivitaeten und Werkzeuge der NSA oeffentlich bekannt gemacht hat, haben vermutlich die meissten geglaubt, dass z.B. die Schluesselerzeugung sicher ist.

 

[khgffs]

die meisten sicherheitslücken in prozessoren können nur ausgenutzt werden, wenn man im rechenzentrum in einer vm sich einen cpu-kern mit einem anderen kunden teilt oder wenn man seinen eigenen tesla jailbreaken will.

 

[coffee4free]

@coffee4free: Die News ist diesbezüglich eher irreführend

Stimmt, gerade gesehen, dass sich das Update nur auf Phantom Speculation bezieht, nicht aber auf Inception. Hab's korrigiert, danke! 😄

 

[dev/random]

Was mich bei den Meldungen über Sicherheitslücken stört, ist, dass die Frage unbeantwortet bleibt, was es jetzt für mich als Endverbraucher bedeutet und wie hoch das Risiko überhaupt ist.

Das lässt halt schwer allgemein beantworten.
Erstmal lässt sich feststellen, dass über die hier behandelten CPU Schwachstellen im wesentlichen Daten unbefugt ausgelesen werden können. Es handelt sich also nicht um eine Kontrollübernahme der CPU oder des Rechners. Die Bedrohung ist also nicht direkt mit Malware oder Ransomware vergleichbar.

Wie hoch das Risiko ist, dass Daten unbefugt ausgelesen werden, muss jeder für sich ermitteln.
Immer wenn man sich auf Isolation durch Software verlässt, ist dies nun in Frage zu stellen: eingeschränkte Benutzerrechte / Admin-User, Container, virtuelle Maschinen, shared hosts, ...

In der Regel werden Firmen deutlich stärker betroffen sein als Endanwender. Aber eindeutig ist das keineswegs.
Wenn Du ausschließlich persönliche Rechner alleine mit einem OS ohne virtuelle Maschinen nutzt, muss Du Dir keine Sorgen machen.
Aber viele Endanwender nutzen heutzutage auch Cloud-Services. Wenn Du Deine Daten in irgendeiner Cloud ablegst, solltest Du Dir also Gedanken machen, wie schlimm es wäre wenn Deine Daten jetzt öffentlich wären.
Und wenn Du selber irgendwelche Dienste betreibst (zum Beispiel irgendeinen Gaming-Server auf einem shared host), musst Du Dir auch Gedanken um die Daten all Deiner Benutzer machen.

 

[Miuwa]

Was mich bei den Meldungen über Sicherheitslücken stört, ist, dass die Frage unbeantwortet bleibt, was es jetzt für mich als Endverbraucher bedeutet und wie hoch das Risiko überhaupt ist.

Geht mir ähnlich, aber ich weiß auch nicht, ob dir das jemand seriös sagen kann. Einerseits gibt's ja gerade bei Privatanwender Millionen verschiedener Konfigurationen und Nutzungsgewohnheiten. Andererseits braucht es auch bei einem noch so komplizierten Angriff nur einen, der es schafft ihn zu automatisieren und den Exploit verkauft/verbreitet und schon musst du garnicht mehr besonders interessant sein und kannst trotzdem zum Opfer werden.

Was mir für mich am wichtigsten erscheint ist, ob die Lücke aus dem Browser heraus ausgenutzt werden kann und ob mein PDF Reader betroffen ist. Das sind die wesentlichen zwei Programme, mit denen ich mir Dinge aus unbekannter Quelle ansehe.

 

[Intruder]

Aber viele Endanwender nutzen heutzutage auch Cloud-Services. Wenn Du Deine Daten in irgendeiner Cloud ablegst, solltest Du Dir also Gedanken machen, wie schlimm es wäre wenn Deine Daten jetzt öffentlich wären.

nur erzählt einem das niemand und auch sehr viele "Cloud Jünger" wollen sowas nicht wahr haben oder glauben und loben die Cloud in den Himmel ohne an irgendwelche Gefahren zu denken. Im Gegenteil. Man stellt es zeitweise sogar so hin als ob die Cloud um ein vielfaches sicherer wäre als das eigene System zu Hause.

Ich persönlich habe lieber alle Daten bei mir zu Hause und am liebsten ohne jeglichen Online-Zwang sodass ich auch ohne Internet auskommen könnte nur leider wird das in der heutigen Zeit immer schwerer, komplizierter bzw. sogar schon fast unmöglich - vor allem wenn man Gamer ist.

Klar hat vieles eine Menge Vorteile aber mit jedem Vorteil werden auch wieder neue Nachteile geschaffen - bewusst oder unbewusst.
Ein kleiner Trost ist es, wenn eher große Firmen und Konzerne auf den Listen der Angreifer stehen und nicht die kleinen Otto-Normal-User.
Warum soll man kleine User auf´s Korn nehmen wenn man über große Konzerne bei fast selben Aufwand xxx.xxx.xxx mal so viele Daten von xxx.xxx.xxx Usern abgreifen kann anstelle nur 1 Datensatz.

 

[ghecko]

Auf Phoronix gibt es Benchmarks zu der Intel-Schwachstelle:
https://www.phoronix.com/review/intel-downfall-benchmarks
Referenz: https://www.phoronix.com/review/downfall

 

[tomgit]

Man stellt es zeitweise sogar so hin als ob die Cloud um ein vielfaches sicherer wäre als das eigene System zu Hause.

Auch wenn es die meisten On-Prem-Jünger nicht hören wollen: In vielen Fällen ist, trotz solcher Lücken, die Cloud-Lösung meist sicherer als die On-Prem Lösung. Besonders bei ohnehin überforderten IT-Abteilungen, wo auch gerne mal Updates liegen bleiben. Weil selbst bei nem IaaS-System hat der Plattformanbieter noch immer ein Interesse daran, dass die Hardware sicher ist.
Und bei sowas handelt es sich eben um eine Hardware-Lücke, welche höchstens durch die OS-Ebene mitigiert werden kann.

Ein kleiner Trost ist es, wenn eher große Firmen und Konzerne auf den Listen der Angreifer stehen und nicht die kleinen Otto-Normal-User.

Eher stehen Mittelständer auf der Liste der Angreifer. Große Unternehmen können sich meist eine gute Security Lösung leisten. Dass es trotzdem versucht wird, steht außer Frage.

Warum soll man kleine User auf´s Korn nehmen wenn man über große Konzerne bei fast selben Aufwand xxx.xxx.xxx mal so viele Daten von xxx.xxx.xxx Usern abgreifen kann anstelle nur 1 Datensatz.

Ein Angreifer weiß im Zweifel nicht, ob ein Surfer rein privat, auf einem Unternehmsgerät oder einem BYOD unterwegs ist.

Was mich bei den Meldungen über Sicherheitslücken stört, ist, dass die Frage unbeantwortet bleibt, was es jetzt für mich als Endverbraucher bedeutet und wie hoch das Risiko überhaupt ist.

Prinzipiell lässt sich die AMD-Lücke über Javascript wohl angreifen, zumindest so laut Bleepingcomputer, und betrifft jede aktuelle Zen-Lösung. (Edit: Zen 1 und 2 haben wohl schon länger Mitigationen, für Zen 3 und Zen 4 werden die noch kommen)
Da die Intel-Lücke auf Server-Erweiterungen zugreift, welche in Consumer-Hardware nicht vorhanden ist, brauchen sich da 99,9999% der Endnutzer keinen Kopf machen.
Bei Intel dürfte das größere Problem eher sein, dass selbst über SGX gesicherte Daten abgegriffen werden können, und es somit deutlich lukrativer für Server-Umgebungen ist.

So kann man natürlich auch Obsoleszenz erzeugen.

Vielleicht den Alu-Konsum reduzieren.

 

[up.whatever]

Da die Intel-Lücke auf Server-Erweiterungen zugreift, welche in Consumer-Hardware nicht vorhanden ist,

Das ist Unfug, AVX2 gibt es überall.

 

[tomgit]

Das ist Unfug

Danke für deinen eloquenten Einwurf vor dem Edit, ich werde es anpassen.
Das größte Problem ist wohl, dass damit auch SGX-gesicherte Daten abgegriffen werden können

 

[Klingeldraht]

Naja wird 99% der Anwender eh nicht betreffen, da muss man schon viel Glück haben, bei Firmen ist das wieder anders.

Wobei mehr entscheidend ist, wie das ganze kommuniziert wird.
Der Standardnutzer hat da eh keine Ahnung oder Interesse dran.
Selbst hier im Forum wird das für die wenigsten relevant sein.

 

[4nanai]

Der beste Schutz, wie immer, kein Computer nutzen. Man kann sich nicht gegen alles schützen, ist halt wie im Leben. Ich habe die Meldung zur Kenntnis
genommen, aber ich gehe am PC sehr verantwortungsvoll mit dem Internet um und fühle mich daher (relativ) sicher.

Das kann dir als Privatnutzer auch relativ egal sein.

Sobald du irgendetwas Mission Critical auf vServern am Laufen hast, bei denen zig KVM Instanzen auf einem physischen Server laufen, würden die Bedenken eventuall ganz anders aussehen.

 

[Plonktroll]

und nun ? alle die Hände über den Kopf und 10 mal im Kreis drehen 👉