ComputerBase Menü
Aktuelles

News Ryzen und Epyc: Sicherheitslücke betrifft alle aktuellen AMD-Prozessoren

Sorry Naru, schonmal meltdown @work gesehen?

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Diejenigen Daten, welche dabei erfasst werden können, sind so bruchstückhaft, dass es fast schon an ein Wunder grenze, mittels dem Verfahren, die Speicherhierarchie gänzlich auszutricksen, daraus "verwertbare" Informationen zu erhalten. So viel dazu.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: CableGuy82, Salamimander, Iscaran und 3 andere
@Ned Flanders
ah Meltdown ist praktisch ein Livestream für Hacker, mit wirklich allen Daten :D
 
@Ned Flanders Die Beispiele sind irreführend. Man kennt die genauen Speicheradressen nicht und kann nicht gezielt wie in den Videos dargestellt was abgreifen.
 
  • Gefällt mir
Reaktionen: or2k, CableGuy82 und .Sentinel.
Ned Flanders schrieb:
Sorry Naru, schonmal meltdown @work gesehen?
Zum Vergrößern anklicken....

Nein, noch nicht.
Der Baukasten muss zuerst einmal beherrscht werden und der Angreifer ins System geschleust.
Ich denke nicht, dass die Komplexität, welche damit verbunden ist, Schule mache, sodass sich die Computer-Nutzer ernsthaft sorgen machen müssen.
Ich nehme an, dass es sich um Meltdown-PK handelt, ergo Spectre Next Generation Variant 3a (Google Project Zero Variant 3a) und Meltdown-US, ergo Spectre Variant 3 (Google Project Zero Variant 3).

Ich gebe zu, ich bin beeindruckt.
Ein bisschen Angst macht es mir durchaus, wenn eine solche Attacke so zuverlässig ganze Bytes zusamenträgt.
 
grützbrütz schrieb:
Man kennt die genauen Speicheradressen nicht und kann nicht gezielt wie in den Videos dargestellt was abgreifen.
Zum Vergrößern anklicken....

Na dann leakst du halt memory bis dur was brauchbares hast, Meltdown ist durchaus performant genug dazu.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Von so bruchstückhaft das es Wunder braucht kann da keine Rede sein.
 
  • Gefällt mir
Reaktionen: Thyron, Rockstar85, Iscaran und 2 andere
zum Glück kontrolliere ich sehr streng Java und Flash.Ist mir sehr schnell aufgefallen das Java und Flash die Türöffner für alles sind.Der Trend geht zu Python.
 
@Ned Flanders Und wieder ein peinliches Beispiel Video. Die Leserate ist ja ein Witz in dem Video. Wie hoch ist die bei Meltdown? Ich mein paar kb/s. Die musst du dann auch lokal dann speichern und abgreifen, das geht zB nur in einer VM, und nicht per JS übers Internet. Du brauchst also lokalen Zugriff. Und dann 10 Tage den Speicher speichern für 16gb? Ja ne ist klar.
 
Wird Zeit dass Apple sich mit seinen Prozessoren einmischt. Vielleicht werden die alten Saurier dann wach.
 
grützbrütz schrieb:
Du brauchst also lokalen Zugriff.
Zum Vergrößern anklicken....
Es ist gar nicht so schwer Leute dazu zu bringen irgend einen Rotz zu installieren. Es muss nur irgendwo leicht erreichbar liegen und der Name suggerieren, dass es deinen PC schneller macht. Oder was mit Pornos zu tun haben. Man erinnere sich an Winmuschi.
grützbrütz schrieb:
Die musst du dann auch lokal dann speichern und abgreifen
Zum Vergrößern anklicken....
Was spricht dagegen?
grützbrütz schrieb:
das geht zB nur in einer VM
Zum Vergrößern anklicken....
Nein?
grützbrütz schrieb:
und nicht per JS übers Internet
Zum Vergrößern anklicken....
Keine Ahnung was du mit JS meinst, aber das geht. Programme können Daten ins Internet hochladen. Sogar streamen. Man denke nur an Twitch.
grützbrütz schrieb:
Du brauchst also lokalen Zugriff
Zum Vergrößern anklicken....
Hat der User, der dein Programm installiert hat. Oder deine kompromittierte Webseite geöffnet hat.
grützbrütz schrieb:
Und dann 10 Tage den Speicher speichern für 16gb? Ja ne ist klar.
Zum Vergrößern anklicken....
Das gute an wichtigen Dingen ist, dass sie immer an ganz bestimmten Orten abgelegt werden. Man muss nur wissen wo man suchen muss. Vllt ist das Programm sogar so schlau und kann die Informationen selbst separieren. Dann muss es seine Errungenschaften nicht live ins Netz dumpen. Irgendwann kommt was wichtiges dabei raus.
 
  • Gefällt mir
Reaktionen: Baal Netbeck
@ghecko PEEEEINLIIIICH Was du da redest, oh man. Wenn man "irgend ne software (aka virus) installiert / ausführt" ist es völlig WAYNE, die braucht dann kein Meltdown und Co mehr. Nein JS kann keine tmp dateien speichern und die einfach so wo hochladen ohne dass man das mit bekommt (zustimmt wie auch immer). Los zeig mir den "proof on concept" dazu, nicht? Es gibt auch keinen. Mein Gott, ist das wirklich so schwer zu kapieren? In einer VM geht das, weil man da lokal speichern kann und das dann abgreifen kann, und so eine VM (cloud VPS) auch lange genug an ist, damit sich das lohnt bzw man Erfolg haben könnte. Ich habe auf allen PCs und Tablets von mir alle Meltdown und Spectre patches, mitigations und microcode updates deaktiviert oder nicht aufgespielt. Und das bleibt auch so.
 
Zuletzt bearbeitet:
grützbrütz schrieb:
die braucht dann kein Meltdown und Co mehr
Zum Vergrößern anklicken....
Wenn die Software dich nach Administratorrechten fragt und du sie gewährt, möglich. Aber das wäre schon sehr auffällig.
grützbrütz schrieb:
Nein JS kann keine tmp dateien speichern
Zum Vergrößern anklicken....
Ach, du meinst Java Script? Bin kein ausgewiesener "JS" Experte, aber sind es nicht meist Seiten die mit JS irgend ein Loch im Browser nutzen um Code auf dem Rechner auszuführen?
 
Nur weil ein Loch im Browser existiert, muss man nicht gleich mit javascript Zugriff in den ring 0 erhalten. Das ticket dahin aus ring 3 kann aber zb meltdown sein.
Deine Argumentation ist konfus.

Wenn man Corona bekommt war die Grippeimpfung ja vergebens! Das bist du.
Weißt du was doof ist? Corona und Grippe.
Na ja, Wasser fürs Aquarium.
 
L1TerminalFault schrieb:
Bitte Quelle angeben, Schutzbehauptungen bringen uns nicht weiter!
Zum Vergrößern anklicken....
Für die Nichtexistenz kann ich wohl kaum Quellen angeben.
Die Schlussfolgerung folgt aus gesundem Menschenverstand und ist sowieso nur Spekulation (aber eine imho sinnvolle)
 
Gesunder Menschenverstand und IT...
Gleich machen wir dann noch Glaskugel lesen? 80% der Aussagen hier sind echt ein Witz und entbehren jeglicher Sachlichkeit...
 
  • Gefällt mir
Reaktionen: aldaric und bad_sign
Rockstar85 schrieb:
Gesunder Menschenverstand und IT...
Zum Vergrößern anklicken....
Ja, einige scheinen diesen abzulegen sobald es um IT geht. Keine Ahnung haben, aber die Firma, von der ich gerade nicht Fanboy bin, kann nichts und muss mit allen Mitteln niedergemacht werden.

Aber egal - ich klinke mich aus - und frage warum ich überhaupt bei so einen Unsinn mitmache - Zeit verschwenden geht angenehmer.
Die Fanboys dürfen sich nun gerne auf die Schultern klopfen, dass mir die Argumente ausgegangen sind.
 
ork1957 schrieb:
@Volker AMD hat sich nun zu den "neuen" Lücken geäußert, wäre einen Artikel-Update schon wert:
https://www.amd.com/en/corporate/product-security
Zum Vergrößern anklicken....
Wow das ist schwach..
Ich hoffe mal nach dem WE kommt da mehr.
Ergänzung ()

new Account() schrieb:
Ja, einige scheinen diesen abzulegen sobald es um IT geht. Keine Ahnung haben, aber die Firma, von der ich gerade nicht Fanboy bin, kann nichts und muss mit allen Mitteln niedergemacht werden.

Aber egal - ich klinke mich aus - und frage warum ich überhaupt bei so einen Unsinn mitmache - Zeit verschwenden geht angenehmer.
Die Fanboys dürfen sich nun gerne auf die Schultern klopfen, dass mir die Argumente ausgegangen sind.
Zum Vergrößern anklicken....
Von Fanboy Argumenten reden und dann auf mögliche, weitere, bisher nicht nachgewiesene Sicherheitslücken mit unbekannten Auswirkungen und Anzahl reden....
Na wer zieht hier sich seine Argumente herbei?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Rockstar85
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Jan
News AMD Ryzen und Epyc mit Zen 6(c): Gerüchte zu Medusa Ridge, Point, Halo und Epyc „Venice“
3 4 5
Antworten
90
Aufrufe
4.227
stefan92x
S
DevPandi
News Sicherheitslücke: Sinkclose betrifft alle AMD-CPUs seit fast 20 Jahren
31 32 33
Antworten
642
Aufrufe
64.492
Naru
Naru
MichaG
News Neue AMD-CPUs: Zen 5 für Ryzen und Epyc für das zweite Halbjahr bestätigt
5 6 7
Antworten
125
Aufrufe
14.765
eastcoast_pete
E
SVΞN
News AMD Zen 4: GNU Compiler Collection mit Tuning für Ryzen und Epyc
Antworten
16
Aufrufe
3.316
_roman_
R

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz