ComputerBase Menü
Aktuelles

News Foreshadow/L1TF: Intels Albtraum-Jahr der Sicherheitslücken geht weiter

Ich habe mich nun erneut bei MSI wegen meinem Mainboard erkundigt. Dieses mal habe ich eine Antwort bekommen direkt mit dem Link zu einem BIOS Update. Es handelt sich aber um ein Beta Update das zumindest auf der Produktseite nicht gelistet ist.

Ob das Problem hier damit geschlossen wird, gehe ich mal nicht von aus, aber immerhin gibt es nun ein aktuelleres BIOS welches vom 2.7.2018 stammt. Online ist das File auch erst seit heute Morgen auf dem MSI FTP.

Falls noch jemand das H87-G41 PC Mate (MS-7850) besitzt und BIOS 3.9 verwendet, dies ist das Beta 2 BIOS mit der Kennzeichnung 3.10B2. H87-G41-PC-Mate_E7850IMS_3A2.7z
 
Smartcom5 schrieb:
[...]
Nur zum Verständnis …
Insbesondere die explizite Lücke Meltdown war damals nicht neu, nicht mal so ein bisschen. Wer das trotz offensichtlich anders lautender Quellen noch immer behauptet, weiß es entweder nicht besser, oder aber unterschlägt diese Fakten wissentlich und mutwillig.

[...]
Zum Vergrößern anklicken....

Ich nenne sowas >kalkuliertes Risiko< und hab da 0 Mitleid, dass jetzt alles mit einmal auf Intel zurückfällt...von nichts kommt nichts. Auch darauf hat man jahrelang hingearbeitet.
 
So sieht es leider aus, ja …
Ist ja weiß Gott nicht so, daß man da jetzt auf Seiten von Intel den unbeteiligten Ahnungslosen spielen kann, der von Nichts gewußt hat – auch wenn man dieses Verständnis aufrecht erhalten zu versuchen möge.

Da hat @DeathShark und @Steini1990 schon Recht.
DeathShark schrieb:

Bei den Spectre-NG-Lücken handelt es sich aber nicht zwangsweise um "Fehler", sondern um Lücken, die in der Konstruktion der Sprungvorhersage vieler moderner Prozessoren begründet liegen. Intels Variante dieses Mechanismus' hatte wesentlichen Anteil an dem riesigen Sprung, den Sandy Bridge damals machen konnte. Rückgängig hat man das natürlich nie gemacht, weshalb nun eben alle Prozessoren seit und einschließlich dieser Generation betroffen sind.
Zum Vergrößern anklicken....

Steini1990 schrieb:
Es wird immer klarer das die Core Architektur wissentlich unsicher konstruiert wurde um mehr Geschwindigkeit zu bekommen. Da kann mir keiner erzählen das die Entwickler es nicht schon vor vielen Jahren gewusst haben das hier eine Angriffsmöglichkeit besteht.
Zum Vergrößern anklicken....


In diesem Sinne

Smartcom
 
  • Gefällt mir
Reaktionen: Sester
Tja da freue ich mich ein wenig dir den Test des i9. Wahrscheinlich wird er dann nur durch die Brechstange Takt mehr Leistung haben; der 2700X wird mit jedem neuen Microcode Fix von Intel interessanter.
 
@deo

Das müsste CB mal gegentesten. Wäre echt ein Unding!
 
immer diese Alu-Hut Fragtion, wenn Euch eure Privatsphäre egal ist, gut aber stellt die denen es nicht egal ist, nicht als Idioten hin.
Schon mal etwas von Groß-Angriffe gehört?
Und schwupp kann es auch Privat-Anwender treffen und nur weil Ihr euch kein Szenario vorstellen könnt, heißt das nicht, dass es die nicht gibt.
Und Know How ist da, da braucht sich keine irgendwelche sorgen zu machen siehe z.B. Suxnet, wo für 50 Millonen $ ein Atomkarftwerk nachgebaut wurde.
Oder Nordkorea wo kurz vor der Satire von Kim Jong Un Sony gehackt wurde und der Film weg war usw.
Fröhnt Euer Konsum Junky gehabe weiter, Windows as Service, Intel i9, Microtransaktionen usw. man sieht ja was das für die Entwicklung bringt, dann aber bitte nicht heulen, wenn Ihr Euch irgendwann vor lauter Abos nichts mehr leisten könnt oder gar Überschuldet seit.
Und wer wirklich glaubt AMD sei teuer, dass hat noch nicht mal etwas mit Intel zu tun, denn die Software bzw. die Lizenzen sind wesentlich teurer und die Hardware ist da nur ein kleiner opulus.
 
Das Argument, dass Privatanwender keine lohnenswerte Ziele sind, ist heutzutage sowieso sehr naiv. Das war vielleicht vor 15 Jahren noch so, als Viren und Schadsoftware meist irgendwelche Späßchen getrieben haben, aber heutzutage wo jeder Onlinebanking & Co macht ist praktisch Jeder ein lohnenswertes Ziel.

Praktisch Jeder, den ich kenne verwaltet sein komplettes Vermögen online. Gibt es wirklich noch Leute, die sowas wie Girokonto, Tagesgelder, Festgelder, Wertpapierdepots & Co offline verwalten? Ruckzuck kann bei einem Hack mal eben die komplette Existenz vernichtet werden. Deshalb ist IT-Sicherheit heutzutage im wahrsten Sinne des Wortes überlebenswichtig.
 
@anyone23 ja ich, dass macht alles meine Frau, jedoch nicht online.
Ich habe Bundesweit die Migration von Tocken Ring auf Ethernet mitgemacht und habe wirklich nie soviel Daus als Admins gesehen, wie bei der Bank.
Das hat mein Vertrauen in Online-Banking zerstört.
 
deo schrieb:
Da gibt es eine Warnung von AMD, dass die Foreshadow-Patches AMD langsamer machen können.
https://www.planet3dnow.de/cms/39832-amd-warnt-vor-foreshadow-patches-auf-amd-plattformen/

Das ist natürlich keine Absicht. ;)
Zum Vergrößern anklicken....

Was mich an den Aussagen da etwas nervös macht ist, dass AMD irgendwas von "glauben" schreibt...
AMD räumt also die Möglichkeit ein, genauso betroffen sein zu können, sie wissen es jedoch nicht sicher? Oder gehen davon aus, dass dort diese Schwächen keiner sucht/ausnutzen wird?

Was ist denn das für ein merkwürdiges Statement?
Normalerweise sollte es, wenn die Architektur nicht betroffen ist, es genauso kommuniziert werden. So erhält man das merkwürdige Gefühl, dass auch bei AMD noch was nachkommen kann bzw. wird.

Denn wenn der Hersteller das nicht definitiv verneint, dann ist da was faul...

Grüße
Zero
 
anyone23 schrieb:
Praktisch Jeder, den ich kenne verwaltet sein komplettes Vermögen online.
Zum Vergrößern anklicken....

Gibt es auch nur eine Aktion die du bei deiner Bank ohne eine 2FA Authentifizierung durchführen kannst? Gerade Banking ist unter diesem Aspekt gar nicht lohnenswert.

Mein Bank meckert sogar wenn ich mit meiner Kreditkarte im Ausland bezahle (über VPN) und hat beim ersten Versuch sofort die Karte gesperrt. Auch die Anmeldung beim Banking Portal in Italien hat sofort zu einer Nachfrage geführt.

Diebstahl vom "elektronischen" Geld ist heutzutage gar nicht lohnenswert. Die Beträge müssen ja irgendwohin überwiesen werden und können überall nachverfolgt werden, deshalb war Ransomware eine lange Zeit so populär. "Dumme" Leute dazu zwingen auf irgendwelchen Portalen Bitcoins zu kaufen schien noch am ehesten nicht nachverfolgbar zu sein.

Man kann sich heutzutage wunderbar schützen, einfach seine Zahlungsinformationen nicht bei jedem x-beliebigen Portal hinterlegen und wo es möglich ist 2FA zu nutzen. Das was man auf einem privaten PC abgreifen kann, ist keine müde Mark wert und die meisten Ransomware Tools haben nicht einmal versucht irgendwelche Daten zu sammeln obwohl sie es wunderbar gekonnt hätten.
 
Zuletzt bearbeitet:
Wenn die AMD CPU ein Intel Klon wäre, wie beim 486er, dann ist AMD genau so dran.
 
Denn wenn der Hersteller das nicht definitiv verneint, dann ist da was faul...
Zum Vergrößern anklicken....
Nein, du verstehst nur wie so oft etwas nicht;)

Solche Angriffe kann man nicht zu 100% ausschließen, bei AMD ist eine Anfälligkeit aber sehr sehr sehr unwahrscheinlich!
 
ZeroZerp schrieb:
Was mich an den Aussagen da etwas nervös macht ist, dass AMD irgendwas von "glauben" schreibt...
AMD räumt also die Möglichkeit ein, genauso betroffen sein zu können, sie wissen es jedoch nicht sicher? Oder gehen davon aus, dass dort diese Schwächen keiner sucht/ausnutzen wird?

Was ist denn das für ein merkwürdiges Statement?
Normalerweise sollte es, wenn die Architektur nicht betroffen ist, es genauso kommuniziert werden. So erhält man das merkwürdige Gefühl, dass auch bei AMD noch was nachkommen kann bzw. wird.

Denn wenn der Hersteller das nicht definitiv verneint, dann ist da was faul...

Grüße
Zero
Zum Vergrößern anklicken....
Wie können sie sicher sein ? hat AMD die Sicherheitslücke entdeckt ? Soll AMD jedesmal ein Sicherheitsexpertenteam abstellen weil bei Intel mal wieder ne Sicherheitslücke auftaucht ? AMD s Experten haben sich das ganze angeschaut und festgestellt " our processors are not susceptible to these new speculative execution attack variants: L1 Terminal Fault – SGX (also known as Foreshadow) CVE 2018–3615, L1 Terminal Fault – OS/SMM (also known as Foreshadow-NG) CVE 2018–3620, and L1 Terminal Fault – VMM (also known as Foreshadow-NG) CVE 2018–3646, due to our hardware paging architecture protections

das wichtigste für AMD Kunden ist doch wohl das hier ...
We are advising customers running AMD EPYC™ processors in their data centers, including in virtualized environments, to not implement Foreshadow-related software mitigations for their AMD platforms.
und damit haben sie garantiert keine Performance Einbußen ... , weder unter Linux Windows noch sonstwo

normalerweise sollte man Administratoren ja nicht sagen müssen das sie Intel Patches nicht bei AMD CPU s anzuwenden haben , aber na ja , die heutige Jugend halt , da weiß man nie ...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: nille02 und Hill Ridge
MK one schrieb:
Wie können sie sicher sein ? hat AMD die Sicherheitslücke entdeckt ? Soll AMD jedesmal ein Sicherheitsexpertenteam abstellen weil bei Intel mal wieder ne Sicherheitslücke auftaucht ? AMD s Experten haben sich das ganze angeschaut und festgestellt " our processors are not susceptible to these new speculative execution attack variants: ......
Zum Vergrößern anklicken....

Das schreiben sie eben genau NICHT! Wieso kürzt Du das Zitat um den wichtigsten Teil und antwortest mir somit eigentlich garnicht auf meine Anmerkung?

As in the case with Meltdown, we believe our processors are not susceptible
Zum Vergrößern anklicken....

Da steht eben nicht, wie Du es geschrieben hast...: "our processors are not susceptible to these new speculative execution attack variants: ......", so wie ich es eigentlich erwarten würde, wenn es keine Anfälligkeiten gäbe.

Das ist doch völliger Blödsinn, dass deren Architekten nicht wissen, ob die Möglichkeit einer Anfälligkeit besteht oder nicht.
Wenn sie nicht bestehen würde, dann würden die das aus marketingtechnischen Gründen SOFORT raushauen.

Andersrum wäre es ein ziemliches Armutszeugnis, wenn sie nicht wissen würden, was ihre eigene CPU im Falle eines solchen auf AMD abgestimmten Angriff macht...

So entsteht der Eindruck, dass es gut möglich ist, dass auch dort was nachkommt.

Grüße
Zero
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: ZeusTheGod
ZeroZerp schrieb:
Was mich an den Aussagen da etwas nervös macht ist, dass AMD irgendwas von "glauben" schreibt...
AMD räumt also die Möglichkeit ein, genauso betroffen sein zu können, sie wissen es jedoch nicht sicher? […]

Was ist denn das für ein merkwürdiges Statement?
Normalerweise sollte es, wenn die Architektur nicht betroffen ist, es genauso kommuniziert werden. […]
Denn wenn der Hersteller das nicht definitiv verneint, dann ist da was faul...
Zum Vergrößern anklicken....
Ja, sie sind bisher der festen Überzeugung, daß sie nicht betroffen sind, können es aber zum jetzigen Zeitpunkt nicht für die Zukunft ausschließen. Das ist das selbe Prinzip wie beim originalen Spectre #2.

Dieses schwammige in der Formulierung mit einem „Wir Glauben, daß …“ dient lediglich dazu, sich für die Zukunft abzusichern, da man in diesem Falle grundsätzlich auf ein rechtlich einwandfreies und absolut unanfechtbares „Nach damaligem Kenntnisstand […] (konnte) ein Risiko vollumfänglich ausgeschlossen (werden)“ plädieren und kein Richter der Welt dies einem zu Lasten legen kann, da man damals ja unbestreitbar „nach bestem Wissen und Gewissen gehandelt“ hat. Das sind in diesem Zusammenhang lediglich übliche juristische Floskeln um präventiv gegenüber Sammelklagen unanfechtbar zu sein.

Niemand kann für in der Zukunft unvorhergesehen eingetretene Änderungen haftbar gemacht werden, wenn dies frühere Aussagen die Grundlage entzieht, das wäre absurd. Dieses „nach bestem Wissen und Gewissen“ ist eine der Grundfesten der Juristik.
Smartcom5 schrieb:
AMD‘s entsprechende Aussage eines 'near zero risk' bezüglich SPECTRE Variant #2 (Branch Target Injection), hat die Bedeutung eines praktischen und faktischen Risikos nahe Null.

Der Grund, weswegen diese Konstatierung überhaupt erhoben werden kann, ist, daß es zumindest theoretisch möglich sein müßte, entsprechende Lücken auszunutzen – es aber a) in der Praxis de facto (bisher) nicht möglich war und man b) bis jetzt auch keinen Weg gefunden hat, diese wenigstens c) theoretisch vorhandene Schwachstelle praktisch in einem Szenario umzusetzen und auszunutzen.

PS: Man verzeihe mir die möglicherweise zwecks Erläuterung erhebliche Simplifizierung der jeweiligen Sachverhalte.
Zum Vergrößern anklicken....
Smartcom5 schrieb:

Begriffsbestimmung
Ja, es müßte, zumindest theoretisch, möglich sein, diese Schwachstelle bei AMD-Prozessoren ebenfalls auszunutzen. Dieses eigentliche und eben jenes „theoretisch möglich“ ist hier aber lediglich eine A-priori-Wahrscheinlichkeit(Anfangswahrscheinlichkeit) – und damit lediglich aus dem Bereich der Er·kennt·nis·theo·rie.

Es ist in diese Falle auch nicht wirklich nötig, diese Aussagen sarkastisch zu interpretieren – und dafür muß man nicht einmal AMD-Fanboy sein. Die bloßen Möglichkeiten eines Exploits und daher des eigentlichen Angriffsszenariosbestehen bei den Prozessoren von AMD lediglich in der Theorie. Daher darf hier AMD berechtigterweise von einen faktischen Risiko nahe Null ausgehen.

Faktenlage
Man hat bereits monatelang ergebnislos versucht, diese theoretischen Lücken in der Praxis zu exploiten – ohne Erfolg, da es de facto und in praxi (→ nach Lage der Dinge und Tatsachen) unmöglich ist, diese Lücke auszunutzen.

Obwohl es prinzipbedingt und daher theoretisch möglich sein müßte, hat man seit geraumer seit nicht nur nicht (→ keinen) einen Weg gefunden, der nicht von Seiten der Prozessor-internen Schutzmechanismen abgefangen wird, sondern man hat auch bisher nicht einmal theoretisch eine Lösung dafür gefunden, die in der Praxis vorhandenen Schutzmechanismen wenigstens theoretisch auszuhebeln um – diese letztendlich überwunden – die dahinterliegende eigentliche Schwachstelle auszunutzen.

Es müßte prinzipbedingt und theoretisch möglich sein, daß die Schwachstelle in Prozessoren von AMD ebenfalls ausgenutzt werden kann, ja – diese Konstellation ist unbestreitbar logisch gegeben. Allerdings erweist sich das in der Praxis als faktisch und technisch Unmöglich und man hat bisher nicht einmal in der Theorie einen zumindest theoretisch möglichen und den Gesetzen der Logik folgenden Weg gefunden, diese Schwachstelle auszunutzenwobei man zumindest theoretisch nicht ausschließen kann, daß man ihn in der Zukunft wird finden können. […]
Zum Vergrößern anklicken....


In diesem Sinne

Smartcom
 
  • Gefällt mir
Reaktionen: emulbetsup und .Sentinel.
As in the Case of Meltdown = Wie im Fall von Meltdown , steht da doch ganz deutlich , oder ? das " believe " ist nicht das wichtigste , oder ziehst du dich da jetzt dermaßen dran hoch ?
Wie können sie sich absolut sicher sein ? muß AMD jetzt 100.000 Leute einstellen um zu testen ob auf irgendwelchen Umwegen eine Intel Lücke doch auf ner AMD CPU zum laufen gebracht werden kann oder nicht ?

Ist AMD von Meltdown betroffen ? NEIN

das " believe " ist lediglich eine juristische Absicherung / Redewendung , wenn bestimmte Produkteigenschaften defenitiv zugesagt werden , sind diese einklagbar
Muss ich noch sagen das AMD ihren Sitz in den USA haben , wo man wegen jeden Scheiß klagen kann ?
 
Zuletzt bearbeitet:
ZeroZerp schrieb:

Das ist doch völliger Blödsinn, dass deren Architekten nicht wissen, ob die Möglichkeit einer Anfälligkeit besteht oder nicht.[…]
Zum Vergrößern anklicken....
Niemand kann für die Zukunft ausschließen, daß man in Zukunft durch neue Verfahren Techniken entwickeln wird können, die dann bis dato für unmöglich gehaltene Angriffsszenarien in der Realität ermöglichen – welche bis dahin selbst in der Theorie weitestgehend ausgeschlossen werden konnten …
Niemand. Weder Intel noch AMD noch nVidia noch Irgendwer sonst auf diesem Planeten. Unmöglich.

Deine Erwartungshaltung ist utopisch und zeugt davon, daß Du den Hintergrund schlicht nicht verstanden hast.
Smartcom5 schrieb:
[…]
Beispiel
Auf der anderen Seite müßte es auch beispielsweise (→ logische Wahrscheinlichkeit; Einsteins Relativitätstheorie) möglich sein, in die Zukunft zu reisen → Zeitreise. Zeitreisen sind zumindest theoretisch möglich, solange man sich mit einer Geschwindigkeit schneller als die des Lichtes bewegt. In diesem Fall würde Derjenige in die Zukunft reisen, bzw. die Zeit um einen herum würde langsamer vergehen als die "echte Zeit".

Es ist allerdings (bisher) praktisch, technisch und folgerichtig nicht einmal theoretisch möglich, sich so schnell zu bewegen (→ technische, praktische und theoretische Unmöglichkeit) – wobei man mit dem heutigen Wissen und Stand jetzt nicht definitiv ausschließen kann, daß man sich in der Zukunft irgendwann einmal so schnell wird bewegen können (wobei alleine die probabilistische Realisierungswahrscheinlichkeit eines solchen Fortbewegungsmittels, wie auch immer es aussehen mag, faktisch und logisch nahezu ausgeschlossen werden kann und daher nahe Null liegt).
Zum Vergrößern anklicken....
Verstehst Du das Prinzip? Das ist abstrakte Er·kennt·nis·theo·rie


In diesem Sinne

Smartcom
 
https://www.amd.com/en/corporate/security-updates

wenn man sich die Mühe macht die AMD Seite mal aufzusuchen trifft man häufiger auf ....
As in the case with Meltdown, we believe our processors

Consistent with variant 1, we believe this threat can be mitigated through the operating system (OS)

While we believe it is difficult to exploit Variant 2 on AMD processors, we actively worked with our customers

kann auch sein das Papermaster diese Redewendung gerne verwendet , ich halte es jedoch für ein mit der Rechtsabteilung abgesprochenes offizielles Statement
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz