News Ryzen und Epyc: Sicherheitslücke betrifft alle aktuellen AMD-Prozessoren

[jo89]

woow!!! Wenn jetzt in China noch ein Sack Reis umfällt, dann ist aber Polen offen ...

Oder ist China offen wenn in Polen ein Sack Reis umfällt? 🤔

 

[Triky313]

Wie hier alles durchdrehen, so viel Popcorn habe ich gar nicht.
Also ich mag meinen Ryzen trotzdem.

 

[stevefrogs]

Auch wenn die Sicherheitslücke nicht so kritisch sein dürfte, die Reaktion von AMD ist leider schwach, man hat sich viel zu viel Zeit gelassen und die Stellungnahme klingt wie aus der PR-Retorte.
AMD, bitte nicht Intel als Vorbild nehmen, wenn es um die Reaktion auf Sicherheitsprobleme geht, das muss besser werden!

 

[Flaka]

Den perfekten und sichersten Prozessor zu entwickeln würde heutzutage gar nicht mehr funktionieren. Es würde massiv Zeit und Know-how benötigen und wenn er denn veröffentlicht wird, ist er leistungstechnisch wieder veraltet und der Produzent hätte Schwierigkeiten diesen zu vermarkten um die Kosten wieder rein zu bekommen. Es gibt also nur einen gesunden Mittelweg, aus alten Sicherheitslücken zu lernen und damit bei der Entwicklung auffallende und Nutzbare Lücken zu vermeiden.
Das werden bestimmt nicht die letzten Lücken gewesen sein, egal ob bei Intel oder AMD.
Schwachstellen gibt es bei allen Entwicklungen, egal ob in der IT-Welt, der Kfz-Industrie oder sonstwo. Es stehen Menschen am Reißbrett und keine KI's mit endlosen Möglichkeiten.

 

[.Sentinel.]

Aber halt nicht während man sich per Browser bei Google oder der Bank einloggt.

Kompilier Dir mal das Github PoC und führ es mal auf einem vollbestückten Betriebsystem aus.
Da kriegst Du mangels Effektivität schlichtweg keinerlei Daten raus bzw. die Du rauskriegst werden durch eine Ressourcenbelastung inkl. lahmer Geschwindigkeit erkauft, die von einem effektiven Ausspähen durch diese Lücke weiter nicht entfernt sein könnte.

Finde es immernoch verstörend das man eine vernünftige Sicherheitskultur ins lächerliche ziehen will.

Das kommt daher, da z.B. OS- gepaart mit Applikationslücken keine Sicherheitskultur zulassen. Sasser, SQL Slammer, Eternal Blue und Konsorten. Da tust Du jeweils nichts und bist infiltriert.

Du baust Dir vornerum Fort Knox auf und der Angreifer geht hintenrum durch eine klapprige Holztür rein.
Wer meint einen Rechner mit einer online- Verbindung, gegen die großen, ernsthaften Bedrohungen komplett sichern zu können, macht sich was vor.

Aber das ist der Zeitgeist. Das hat in meinen Augen die gleiche Basis wie der ständige Beschuss von Experten zum Thema Klima, Gentechnik, Medizin etc. auf Basis einiger Halbwahrheiten die im Netz kursieren.

Exakt

Warum vertraut man nicht einfach Mal den echten Experten zu dem Thema oder gibt zu das man ein unkalkuliertes Risiko fährt. Kann man ja machen, aber missionarisch und entgegen Experten Rat klein oder gross reden ist Strange in meinen Augen.

Man vertraut den "echten" Experten zum Thema deshalb nicht mehr, weil es geschichtlich zu viele Beispiele gibt, die beweisen, dass diese Experten selbst nur im trüben stochern bzw. im kapitalistischen System, als auch politisch gefangen sind.
Auch der Wissenschaftler muss Geld verdienen um zu leben.

Und die Frage ist- Was ist hier der Expertenrat? AMD macht jetzt hier genau das gleiche wie Intel->
Ist nicht so schlimm, alles schon bekannt, könnte schon sein .... einfach Microcode und BIOS aktuell halten, damit man bezüglich der Bedrohung immer auf dem neuesten Sicherheitsstand ist.

Sorry, aber da habe ich mir mehr erwartet als ein schreiben, das fast schon maschinell von einer Behörde stammen könnte, als Standardantwort auf jedes Eingangsschreiben eines Themas.

Take A Way

3/7/20


We are aware of a new white paper that claims potential security exploits in AMD CPUs, whereby a malicious actor could manipulate a cache-related feature to potentially transmit user data in an unintended way. The researchers then pair this data path with known and mitigated software or speculative execution side channel vulnerabilities. AMD believes these are not new speculation-based attacks.


AMD continues to recommend the following best practices to help mitigate against side-channel issues:

• Keeping your operating system up-to-date by operating at the latest version revisions of platform software and firmware, which include existing mitigations for speculation-based vulnerabilities
• Following secure coding methodologies
• Implementing the latest patched versions of critical libraries, including those susceptible to side channel attacks
• Utilizing safe computer practices and running antivirus software

Was soll denn der normale User mit dieser Info anfangen?

Ich hätte mir gewünscht, dass AMD darauf eingeht und betont, dass man die Sache sehr ernst nimmt und eingehend untersuchen wird, der Angriff aus diesen und jenen Gründen unkritisch ist bzw. welche Auswirkungen für den Benutzer zu erwarten sind.

Dabei ist Mitigations zu entwickeln, welche man zum Zeitpunkt XY erwartet bzw. einfach nur, dass man sich darum kümmert.
Dass man die daraus evtl. entstehenden Unannehmlichkeiten entschuldigt und man sich an XY für nähere Information wenden kann.

So geht Kundenservice.

LG
Zero

 

[Ctrl]

Mut zur Lücke , es ist eine AMD Lücke und nicht AFD Lucke, alles halb so wild

 

[Ned Flanders]

Man vertraut den "echten" Experten zum Thema deshalb nicht mehr, weil es geschichtlich zu viele Beispiele gibt, die beweisen, dass diese Experten selbst nur im trüben stochern bzw. im kapitalistischen System, als auch politisch gefangen sind. Auch der Wissenschaftler muss Geld verdienen um zu leben.

Sprachs zu einem Wissenschaftler. Was meinst du eigentlich wie ein Wissenschaftler "Geld verdient"? Und wenn die Wissenschaftler immer nur im Trüben stochern und die anderen Experten von der Youtube Academy genauso gut sind, dann wundert mich wo der ganze Fortschritt eigentlich her kommt. Also ich bin W2 besoldet und ich muss nicht Unsinn verzapfen um Geld zu verdienen. Und ich bin ziemlich sicher dem Herrn Gruss gehts genauso. Google verdient kein Geld damit auf Chrome Books HT abzuschalten etc. Geld wird am anderen Ende verdient. Wenn Avast Kundendaten abgreift und verkauft. Könnten die sowas eigentlich auch inkl. verschlüsselter Zugangsdaten für die Cloud/Email etc wenn sie wollten? Will das eventuell jemand anderes?

Die eigene Kreativität ist für die anderen nicht das Limit.

 

[ebird]

Verstehe ich es richtig? Es werde Cache Metadaten geleakt, also welche Pages sich im Cache befinden? Mit einer echten Sicherheitslücke, könnten die Informationen bestimmt wertvoll werden. Fehlt noch eine passende echte Sicherheitslücke.

Ergänzung (8. März 2020)

RISC-V... oh wait sie wollen ja vermutlich etwas mit dem PC machen. Wobei mit Linux geht auf RISC-V schon einiges.

Dir ist schon klar, dass jedem moderne CISC quasi ein eingebauten RISC rechnet? Was glaubst Du eigentlich was Microcode ist und warum man aufgehört hat, CISC in Hardware umzusetzen.

 

[Labberlippe]

Hi

Einige checken das noch immer nicht.
Das was an Metadaten kommen ist quasi unbrauchbar.
Der Angriff geht nur wenn man bei chrome oder Firefox Javaskripten aktiviert.
Das heisst nicht das es mit jeder Java Anwendung geht.

Das div Intel User diese Lücke so abfeiern obwohl diese auf alle Patches auf deren Systeme für Fps pfeifen ist schon wieder lächerlich.

Virenschutz und Skripten sowie Makros sollten eigentlich bei jeden schon deaktiviert sein.

Das ganze mal in Ruhe weiterbeobachten.
Aber hier wird getan als ob die Welt zusammen bricht und AMD unbrauchbar ist.

Gruss Labberlippe

 

[guru_meditation]

Die Antwort von AMD und was ich auch in anderen Quellen gelesen habe, bestärkt mich in der Annahme, dass es sich bei der Lücke um ein Spectre- Derivat handelt. Ob dafür tatsächlich ein zusätzlicher Patch notwendig ist, muss AMD entscheiden und ich muss mich darauf verlassen, dass diese Entscheidung richtig ist solange es keine weiteren Informationen gibt. AMD hat mir bisher keinen Anlass dazu gegeben ihnen nicht dabei zu vertrauen.
Noch ein Satz zu den Pseudo-Statistikern hier: wie kann man denn bei AMD mit nicht gefundenen Bugs argumentieren und das bei Intel ausblenden?! Beispiel: ich gehe davon aus, dass grundsätzlich nur 50% der Lücken bekannt sind, dann muss ich die Extrapolation doch bei beiden Herstellern machen. Bedeutet bei 100 bekannten Lücken bei Intel insgesamt 200 Lücken und bei 10 bekannten Lücken bei AMD insgesamt 20. Die Argumentation, dass bei AMD einfach nicht gesucht wird und deswegen nur so wenig gefunden wird ist reine Spekulation und durch nichts nachgewiesen. Alleine Intel wird sehr große Summen in den das Finden von Lücken bei AMD investieren, alleine damit die Intel fanboys in so einem Thread Mal ein bisschen Schaum vorm Mund haben können.
Es haben ja schon ein paar geschrieben, aber ich möchte es noch einmal wiederholen: wer Produkte eines Herstellers kauft, weil er Fan ist und nicht weil er Preis mit Leistung verglichen hat, der macht etwas grundsätzlich falsch. Und wer dann auch noch quasi religiösen Eifer an den Tag legt, jede auch noch so bescheuerte Handlung dieses Unternehmens zu rechtfertigen, dem ist nicht mehr zu helfen.

 

[aldaric]

AMD, bitte nicht Intel als Vorbild nehmen, wenn es um die Reaktion auf Sicherheitsprobleme geht, das muss besser werden!

Also hätte sich AMD da an Intels Vorbild gehalten, hätten sie die Lücke geleugnet und auf die Konkurrenten verwiesen, die evtl. auch betroffen sein könnten. Aber das A und O bei Intels Reaktion auf Sicherheitslücken ist erstmal: "Gibt es nicht, können wir nicht nachvollziehen".

 

[Salvation]

Sorry wenn ich nochmal frage, aber wie kritisch ist diese Lücke wenn in Rechenzentren diese neue Funktion aktiviert wird? ... Enhance your Cloud Security with AMD EPYC Hardware Memory Encryption
Intel hat sowas denk ich nicht in Angebot?

 

[Bulletchief]

Ich bin ehrlich... Nach den ganzen Kommentaren unter jeglichen Intel News kann ich mich ein bisschen Schadenfreude nicht erwehren...
😅

 

[Ned Flanders]

@Salvation

RAM Verschlüsselung schützt vor Cache Attacken nicht, da dort die Daten afaik generell unverschlüsselt liegen. In Der neuen AMD Lücke werden allerdings wohl nur Metadaten abgegriffen, also keine User oder Kernel Daten.

 

[hemmi1982]

War ja nur eine Frage der Zeit, bis auch AMD in der Hinsicht Anschluss zu Intel findet. Aber Intel ist hier ja noch weit in Führung, was (entdeckte) Sicherheitslücken angeht.

Ja nur für Intel braucht es Physischen Zugriff oder bereits einen Trojaner. Hier geht es um Java Script übers Internet.

 

[.Sentinel.]

Sprachs zu einem Wissenschaftler. ..Die eigene Kreativität ist für die anderen nicht das Limit.

Mein Kommentar war nicht abwertend gegenüber Deines Berufsstandes gemeint.
Nur ist es bei Euch, wie in jedem anderen Beruf auch. Es gibt schwarze Schafe, die diesen besudeln und an der Glaubwürdigkeit rütteln.

Wie oft höre ich in meinem Leben, dass sich schon XY andere IT Firmen bevor unsere aktiviert wurde, an einem "unlösbaren" Problem die Zähne ausgebissen haben.
Ich sag dazu inzwischen schon garnichts mehr, außer dass der Betroffene auch bei mir nicht wissen kann, ob ich sein Proble löse. Dass ich ihm genau die gleiche Storys auftischen würde, wie die IT Firmen zuvor und dass er mich einfach nur anhand meines Erfolges bemessen und dann entsprechend weiterempfehlen soll.

Viele schauen auf den ersten Moment verdutzt drein.

Ebenso verhalte ich mich inzwischen komplett atypisch, was Pitches etc. anbelangt. Da lass ich erstmal die Konkurrenzfirma stundenlange selbstbeweihräuchernde und zu 99% nichtssagende Powerpoint- Präsentationen vorführen.
Bin ich stellvertretend für meine Firma dran, stelle ich sehr schnell klar, dass ich die Zeit des Vorstandes der Verantwortlichen bzw. der Geschäftsführung nicht verschwenden möchte und gehe sofort auf die Gründe ein, warum man diesen Pitch führt mit der Begründung, dass auch ich nur das übliche "Gelaber" vom Stapel lassen könnte, was sie sich vorher schon 2000x anhören mussten.
Dann folgt eine kurze Vorstellungsrunde, dann kommen die Referenzen, die wir auf diesem gebiet vorzuweisen haben und dann gehts in medias res.
Auch da erstmal lange Gesichter, die aber meist sehr schnell positiv aufgehellt werden können.
Ich bin mir auch nicht zu schade, zu sagen, dass ich bei der einen oder anderen Nummer raus bin bzw. keine entsprechende Expertise vorzuweisen habe.

Es gibt überall (inzwischen leider oftmals zu viele) schwarze Schafe, Blendwerk und Käuflichkeit.
Dass man dann Leuten, die eine vermeintlich höhere Instanz darstellen, nicht mehr hörig ist, liegt in der Natur der Sache. Zu viele Leute meinen einen "Expertenstatus" innezuhalten.

LG
Zero

 

[Rockstar85]

Ja, einige scheinen diesen abzulegen sobald es um IT geht. Keine Ahnung haben, aber die Firma, von der ich gerade nicht Fanboy bin, kann nichts und muss mit allen Mitteln niedergemacht werden.

Pack die Opferrolle Weg, ist ja ekelhaft.

Du hast meine Aussage nicht verstanden. Es wird weder in der IT noch zB bei mir in der Fire & Security nach gesunden Menschenverstand gearbeitet, sondern nach Sachlage und geltenden Regeln der Technik. Etwas ist dann bewiesen, wenn man es messen und replizieren kann.
Du solltest dir Mal echt überlegen, ob das was du schreibst, nicht einfach nur Käse ist.

Fakt ist, AMD und Intel können keine sicheren Architekturen bauen, weil das nicht möglich ist. Es ist aber ein Unterschied wenn zB der Zeit bei Intel das Fundament im Eimer ist, oder eben die Adressierung. Und zum Glauben gehe bitte in die Kirche. Ich hab doch nicht gelernt und gelernt um am Ende zu glauben. Entweder kann ich es Beweisen oder nicht. Das mit den verunglimpfen von Fachleuten geht dann direkt auch an @ZeroZerp . Lasst einfach die Finger, von Dingen, von denen ihr Nur mutmaßen könnt. Ihr solltet beide echt einen Gang runter schalten, sonst könnten die Leute am Ende sich persönlich angegriffen fühlen. Wir ziehen ja auch nicht über andere Berufsstände her, also Piano!
Und sollte man bei AMD den L1 Cache direkt via Side Channel auslesen können, wäre ich nun auch erschrocken. So braucht es aber eben ein Script, und das fängt alles an Windows Defender ab. Gegen Dummheit hilft eigentlich dann nur Internet Verbot. Wenn es Hacker schaffen Javascript zu kompromittieren, dann hätten wir in der Tat ein Problem. So fehlt dieser Sicherheitslücke noch die Angreifbarkeit. Schließlich würde man eine Kompromittierung merken, weil nur Idioten ohne zu denken Scripts ausführen. Das ist bei CSME leider wesentlich kritischer.

 

[.Sentinel.]

Wir ziehen ja auch nicht über andere Berufsstände her, also Piano!

Siehe meinen Beitrag oben. Nichts könnte mir ferner liegen.

Man muss in seiner Sparte als einer der Vermeintlich "guten" damit leben, dass es genügend andere gibt, die Schindluder treiben. Die machen das leider oftmals ziemlich öffentlichkeitswirksam.

Und wo mutmaße ich etwas? Bzw. auf welche meiner Aussagen spielst Du an?

LG
Zero

 

[new Account()]

Es ist aber ein Unterschied wenn zB der Zeit bei Intel das Fundament im Eimer ist, oder eben die Adressierung.

Beweis bitte (inkl. Spezifikation was du mit Fundamit genau meinst).

 

[Colindo]

Wie sieht das denn mit diesem essentiellen Teil der AMD-Aussage aus?

The researchers then pair this data path with known and mitigated software or speculative execution side channel vulnerabilities

Nutzten die Wissenschaftler wirklich Teile bekannter Spectre-Mitigationen und könnten das in einem gepatchten System gar nicht ausnutzen?