O
Onkel Föhn
Gast
BxBender schrieb:
Deswegen hat INTEL uns sicherlich im Mainstream Jahrelang HT vorenthalten bzgl. Sicherheit ... ;-)
MfG Föhn.
News Intel-Produkte: Dutzende Sicherheitslücken von CPUs über Grafik bis NUC
- Ersteller Volker
- Erstellt am
- Zur News: Intel-Produkte: Dutzende Sicherheitslücken von CPUs über Grafik bis NUC
Deswegen hat INTEL uns sicherlich im Mainstream Jahrelang HT vorenthalten bzgl. Sicherheit ... ;-)
MfG Föhn.
-Firmen/Uni können "beauftragt" werden in eigener Sache zu arbeiten.
-Für Intel gibt es freie öffentliche Prämien - AMD (bisher) noch nicht.
-Solche Arbeiten dauern in der Regel mehrere Monate und sind bei Veröffentlichung schon "alt und bekannt".
-Es gab wenig Gründe die letzten 10-20 Jahre irgendwas anderes als eine Intel CPUs zu testen, daher machten und machen dies nunmal der Großteil der "Tester".
-Ebenfalls dürften, dank der Langfristigen Verträge und Verbreitung in den entsprechenden Segmenten, die meisten nunmal die größte (wenn nicht sogar die einzigste) Erfahrung mit/bei Intel CPUs haben/besitzen.
-Die Arten und Methoden (Konzepte) kann man nicht immer 1zu1 von Intel zu AMD (u.umgk) anwenden, also bedarf es jeweils eines "Neuanfangs". AMDs Liste kommt also erst etwas verspätet.
-Grundlegende Probleme von/in Architekturen kann man relativ einfach von Generation zu Generation Testen und erweitern, da sie nunmal >Grundlegend< sind kann es da kaum/nur langsam Veränderungen geben. Bei Intel hat es halt 10+ Jahre keine grundlegende Veränderungen gegeben.
-Früher war nicht alles besser, es gab schlichtweg weniger "Leute" mit den Know-how und der nötigen Technik als heute. Die Zahl dürfte heute um einiges höher als vor 20 Jahren sein, sowie auch das Öffentliche Interesse.
-Für Intel gibt es freie öffentliche Prämien - AMD (bisher) noch nicht.
-Solche Arbeiten dauern in der Regel mehrere Monate und sind bei Veröffentlichung schon "alt und bekannt".
-Es gab wenig Gründe die letzten 10-20 Jahre irgendwas anderes als eine Intel CPUs zu testen, daher machten und machen dies nunmal der Großteil der "Tester".
-Ebenfalls dürften, dank der Langfristigen Verträge und Verbreitung in den entsprechenden Segmenten, die meisten nunmal die größte (wenn nicht sogar die einzigste) Erfahrung mit/bei Intel CPUs haben/besitzen.
-Die Arten und Methoden (Konzepte) kann man nicht immer 1zu1 von Intel zu AMD (u.umgk) anwenden, also bedarf es jeweils eines "Neuanfangs". AMDs Liste kommt also erst etwas verspätet.
-Grundlegende Probleme von/in Architekturen kann man relativ einfach von Generation zu Generation Testen und erweitern, da sie nunmal >Grundlegend< sind kann es da kaum/nur langsam Veränderungen geben. Bei Intel hat es halt 10+ Jahre keine grundlegende Veränderungen gegeben.
-Früher war nicht alles besser, es gab schlichtweg weniger "Leute" mit den Know-how und der nötigen Technik als heute. Die Zahl dürfte heute um einiges höher als vor 20 Jahren sein, sowie auch das Öffentliche Interesse.
Zuletzt bearbeitet:
Es mag sein das Forscher zunächst nur Intel abklopfen. Aber spätestens wenn Sie was gefunden haben, prüfen Sie ob die Attacke auch auf AMD Hardware möglich ist. So war es doch in der Vergangenheit auch. Auch ARM wurde benachrichtigt.
Natürlich fällt eine solche Prüfung z.B. recht schnell aus, wenn z.B. AMD das Rechtemanagement systematisch anders handhabt und die Attacke keinen Erfolg verspricht - weil systematisch nicht möglich.
Das heißt aber umgekehrt nicht das es nichts gibt! Und da ist evtl. AMD noch im "Vorteil". Wobei Google je sein eigenes Team unterhält und gar nicht auf Geld von Intel spekuliert zum Beispiel... Ist davon auszugehen das weniger Teams das generelle Abklopfen der AMD Hardware umsetzen, wie Sie es eventuell bei Intel tun.
Natürlich fällt eine solche Prüfung z.B. recht schnell aus, wenn z.B. AMD das Rechtemanagement systematisch anders handhabt und die Attacke keinen Erfolg verspricht - weil systematisch nicht möglich.
Das heißt aber umgekehrt nicht das es nichts gibt! Und da ist evtl. AMD noch im "Vorteil". Wobei Google je sein eigenes Team unterhält und gar nicht auf Geld von Intel spekuliert zum Beispiel... Ist davon auszugehen das weniger Teams das generelle Abklopfen der AMD Hardware umsetzen, wie Sie es eventuell bei Intel tun.
Slainer schrieb:
Intel zahlt Findern von Sicherheitslücken Prämien von bis zu 250.000$, deshalb ist das Suchen bei diesem Hersteller sehr beliebt wie man sieht.
Weder AMD noch ARM zahlen auch nur einen Cent wenn Sicherheitslücken gefunden werden. Dementsprechend auch die Anzahl der gemeldeten Sicherheitslücken. Der Schwarzmarkt auf der anderen Seite bietet gutes Geld für solche Lücken, wenn der Hersteller nicht zahlt landen die Lücken eben auf dem Schwarzmarkt und werden öffentlich nicht bekannt.
nagus schrieb:Intel macht sehr erfolgreich alles, um AMD besser dastehen zu lassen. AMD Shareholders dürfen sich freuen
Das hast du wohl verpasst?
https://www.computerbase.de/2020-03/amd-ryzen-epyc-sicherheitsluecke-cpu/
Jedem Nutzer sollten öffentlich bekannte Sicherheitslücken die größtenteils nicht sinnvoll anwendbar sind sofern nicht direkter Hardwarezugriff besteht lieber sein als unbekannte Zeroday Exploits die auch aktiv ausgenutzt werden und nicht nur in der Theorie bestehen.
Egal welche Firma, leiden können muss man Sie nicht, alle wollen letztendlich nur eines: Geld.
Aber wenn ein Hersteller Geld für Sicherheitslücken bezahlt, damit diese beim Hersteller anstatt auf dem Schwarzmarkt landen, dann ist das selbstverständlich nur zu begrüßen - wer das anderst sieht legt wohl generell nicht viel Wert auf Sicherheit.
Richy1981 schrieb:Also jetzt konnte ich mich auch nimmer zurückhalten und habe unser Lieben IT-Abteilung nen Link von der Meldung geschickt....nachdem wir hier immer noch nur Intel kaufen dürfen
Dann sende Ihnen auch gleich diesen Link und das nicht existierende Equivalent von AMD und ARM, damit Sie auch verstehen, weshalb das so ist
https://www.intel.com/content/www/us/en/security-center/bug-bounty-program.html
PS828 schrieb:
Haben Sie nicht. Was ein wertloser Kommentar "wer sagt das"
Ansonsten bemühe doch gerne einmal eine Suchmaschine und liefere uns den Nachweis zum Bug Bounty Program von AMD.BxBender schrieb:
Traurig wie verblendet der Ottonormalverbraucher durch diese ganzen schwer verständlichen Nachrichten ist
Zuletzt bearbeitet:
Wattwanderer
Rear Admiral
- Registriert
- Juni 2005
- Beiträge
- 5.789
Ich denke man muss das sehen wie Kopierschutz vs. Raubkopie.
Das beste was ein CPU Hersteller hoffen kann ist, dass die Technik lange genug den Angriffen standhält.
Während Softwarehersteller einen Patch nach dem anderen raushauen kann muss eine CPU ohne auskommen.
Bei Flash dachte ich irgendwann muss auch die letzte Lücke weggepatcht sein. Ebenso auch bei Windows denn die Zahl der Lücke kann ja nicht unendlich sein. Ist sie aber scheinbar.
Das ist keine gute Nachricht für die CPU Designer.
Das beste was ein CPU Hersteller hoffen kann ist, dass die Technik lange genug den Angriffen standhält.
Während Softwarehersteller einen Patch nach dem anderen raushauen kann muss eine CPU ohne auskommen.
Bei Flash dachte ich irgendwann muss auch die letzte Lücke weggepatcht sein. Ebenso auch bei Windows denn die Zahl der Lücke kann ja nicht unendlich sein. Ist sie aber scheinbar.
Das ist keine gute Nachricht für die CPU Designer.
Aliosy
Lt. Junior Grade
- Registriert
- Feb. 2013
- Beiträge
- 257
seid mir nicht böse, aber warum so viel Grütze zu schreiben?
Allein dieses wie schlecht oder gut ein Unternehmen ist. Ist den jeder von euch ein 1er Schüler ?
In der IT Welt auch sonst wo wird NIE etwas perfekt sein. Statt Produkte zu verbessern wird immer weiter entwickelt. Es soll weiter und weiter konsumiert werden.
Solange sich die Bugs beheben lassen soll es euch doch egal sein.
Ihr wisst doch gar nicht wie es in der IT Welt aussieht. Große Unternehmen haben immer Verträge mit HW/IT Herstellern. Die HW wird z.B. vergünstigt angeboten und/oder es gibt besondern Service dazu.
Wenn ich große Firmen angucke, hier bekommt man ein Notebook gestellt und es wird ab der Herausgabe NIE ein Treiber aktualisiert oder BIOS Update gefahren. Man ist froh wenn man Admin Rechte bekommt.
Sollte beim kollektiven Treiber oder BIOS Update etwas schief gehen, dann stehen Mitarbeiter da und können nicht arbeiten. Das kostet einem Unternehmen mehr als diese HW an Sicherheitslöchern hat.
Hier wird nicht so schnell ein Wandel passieren. Allein die Validierung nimmt Zeit und Geld in Anspruch.
Ihr betrachtet es alles aus der privaten und nicht aus unternehmerischer Sicht. Wenn ich privat WIN10 x mal aufsetze oder X mal an der HW bastle, kostete es mich nur Zeit, einem Unternehmen Tausende oder Millionen.
Allein dieses wie schlecht oder gut ein Unternehmen ist. Ist den jeder von euch ein 1er Schüler ?
In der IT Welt auch sonst wo wird NIE etwas perfekt sein. Statt Produkte zu verbessern wird immer weiter entwickelt. Es soll weiter und weiter konsumiert werden.
Solange sich die Bugs beheben lassen soll es euch doch egal sein.
Ihr wisst doch gar nicht wie es in der IT Welt aussieht. Große Unternehmen haben immer Verträge mit HW/IT Herstellern. Die HW wird z.B. vergünstigt angeboten und/oder es gibt besondern Service dazu.
Wenn ich große Firmen angucke, hier bekommt man ein Notebook gestellt und es wird ab der Herausgabe NIE ein Treiber aktualisiert oder BIOS Update gefahren. Man ist froh wenn man Admin Rechte bekommt.
Sollte beim kollektiven Treiber oder BIOS Update etwas schief gehen, dann stehen Mitarbeiter da und können nicht arbeiten. Das kostet einem Unternehmen mehr als diese HW an Sicherheitslöchern hat.
Hier wird nicht so schnell ein Wandel passieren. Allein die Validierung nimmt Zeit und Geld in Anspruch.
Ihr betrachtet es alles aus der privaten und nicht aus unternehmerischer Sicht. Wenn ich privat WIN10 x mal aufsetze oder X mal an der HW bastle, kostete es mich nur Zeit, einem Unternehmen Tausende oder Millionen.
@PPPP Stuss wiederholen macht Stuss nicht wahrer. Akzeptiere endlich, dass das was gerade passiert Intels Entscheidungen auf Sicherheit im Design einen feuchten zu geben geschuldet ist. Bis die Architektur umgebaut wird wird da immer mehr kommen, mit oder ohne Bug Bounty Programm. Ausser natuerlich Forschern wird bei der schieren Menge an Luecken irgendwann langweilig. Wenn du natuerlich von Intel bezahlt wirst hier Mist zu erzaehlen wird dich das weniger ueberzeugen.
@Aliosy Zusammengefasst: Unternehmen realisieren den Wert von IT Sicherheit erst, wenn es sie ordentlich gekostet hat. Das ist jetzt nichts neues und ich hoffe da fallen einige noch so richtig auf die Fresse. Ohne ein paar Pleiten scheint es wohl nicht anzukommen.
@Aliosy Zusammengefasst: Unternehmen realisieren den Wert von IT Sicherheit erst, wenn es sie ordentlich gekostet hat. Das ist jetzt nichts neues und ich hoffe da fallen einige noch so richtig auf die Fresse. Ohne ein paar Pleiten scheint es wohl nicht anzukommen.
Wattwanderer schrieb:
Man darf nicht denken das eine CPU x Lücken hat und diese irgendwann beseitigt sind. Hier kommen dann Fortschritte in der Softwareentwicklung zum Tragen, wodurch neue Lücken aufgemacht werden. CPUs haben halt leider ihren Produktionstag, ab da an kann physikalisch nichts mehr geändert werden, bleiben nur noch Microcodes und die Blockaden in der moderneren Software. Hardware kann dadurch nicht sicher bleiben.
Ned Flanders
Fleet Admiral
- Registriert
- Aug. 2004
- Beiträge
- 11.657
@SlainerDittsche schrieb:
Das werden sie schon, aber halt nicht vom Userspace aus in den Kernelspace. Das Problem bei Meltdown ist ja, das man aus dem Userspace heraus die Sprungvorhersage dazu bringen kann Kernelspace Code in den Cache zu laden ´welchen man dann über einen Seitenkanal abschöpfen kann. AMDs Architektur benutzt berechtigungsflags um zu prüfen ob diese überhaupt geladen werden dürfen und verhindert das.
Deswegen ist die Marktanteil Argumentation auch ein schlechtes Argument, denn auch wenn 100% der CPUs von AMD währen, würde spekulative Ausführung über Rechtegrenzen hinweg auf AMD einfach nicht funktionieren.
Das prüfen kostet aber eben etwas Zeit = Performance
Zuletzt bearbeitet:
Kacha schrieb:
Viel Text, keine Argumente, typisch
Die Zeugen Jehovas erzählen auch immer etwas von "akzeptiere endlich" ohne vernünftige Argumente zu bringen 
Kurze, einfache Frage:
Hersteller A zahlt für das Auffinden von Sicherheitslücken bis zu 250.000$, Hersteller B zahlt 0$ und hatte bis vor 2 Jahren nahezu eine Marktrelevanz. Wo würdest du als Sicherheitsforscher suchen?
PS. Sicherheitsforschern wird genauso schnell "langweilig", wie es dir auf der Arbeit "langweilig" wird: wenn es kein Geld mehr gibt
Forum-Fraggle
Commodore
- Registriert
- Okt. 2006
- Beiträge
- 4.281
Gefährliche Frage, da man als Privatnutzet durchaus trotzdem betroffen sein kann, z.B. seine Daten bei Diemstleistern etc.Discovery_1 schrieb:
Ned Flanders
Fleet Admiral
- Registriert
- Aug. 2004
- Beiträge
- 11.657
Denniss schrieb:
krass
Hersteller A hat ein (Zugriffs-)Rechtemanagementsystem Hersteller B nicht (Meltddown und Derivate, vereinfacht), wer hat mehr Sicherheitsprobleme?PPPP schrieb:Viel Text, keine Argumente, typisch
Kurze, einfache Frage:
Hersteller A zahlt für das Auffinden von Sicherheitslücken bis zu 250.000$, Hersteller B zahlt 0$ und hatte bis vor 2 Jahren nahezu eine Marktrelevanz. Wo würdest du als Sicherheitsforscher suchen?
Doch hat es. Google Projekt Zero hat ohne Intels Geld fehlendes Rechtemanagement festgestellt. Viele der darauf folgenden Lücken nutzen einfach den selben Hardwarefehler. Diesen (!) Fehler hat nur Intel, deswegen bleiben die anderen davon verschont.
Die nicht vorhandene Sicherheitskultur hat viele Öffnungen mit sich gebracht. Das trifft halt alles nur auf Intel zu. Das hat sich Intel alleine zuzuschreiben
Intels Bountyprogramm gibt es ja erst NACHDEM Meltdown und Spectre bekannt wurden.
Die nicht vorhandene Sicherheitskultur hat viele Öffnungen mit sich gebracht. Das trifft halt alles nur auf Intel zu. Das hat sich Intel alleine zuzuschreiben
Intels Bountyprogramm gibt es ja erst NACHDEM Meltdown und Spectre bekannt wurden.
noxon
Admiral
- Registriert
- Sep. 2004
- Beiträge
- 7.570
Also das wird hier alles aber ein wenig falsch dargestellt. Das klingt so, als ob es Hardwarefehler seien. Insbesondere, da es in Zusammenhang mit Meltdown und LVI erwähnt wird.
Dabei handelt es sich hier um reine Softwarefehler im Grafiktreiber.
Zuletzt bearbeitet:
