News Ryzen und Epyc: Sicherheitslücke betrifft alle aktuellen AMD-Prozessoren

[Golgorod]

Jetzt sind die AMD Fans aber in der Zwickmühle.
Habe sie ja erst gestern hier im Intel-Artikel wieder groß auf Intel gezeigt und was für tolle CPUs sie doch haben, und nun?

Warum so böse? Nach dem Desaster was gestern in Intels ME aufgedeckt worden ist, würde ich mich nicht in der Zwickmühle sehen...
Sei es drum.

Zum Thema, nicht überraschend, moderne Hard- und Software bietet ausreichend Potential für solche Funde. Die Frage, wie kann der Bug gefixt werden. Reicht ein Softwarepatch, etc und kostet das Leistung.
Wir werden sehen was da seitens AMD kommt.

 

[fox40phil]

Wennden sich die Forscher erst an die Öffentlichkeit oder erst an die Hersteller?
Ich meine, nur weil sie die gefunden haben, heißt das nicht, dass andere Hacker Gruppen sie schon gefunden hätten/haben?

Ich hoffe AMD reagiert jetzt endlich darauf! Meine Hoffnung ein deutlich sicheres System in der Zukunf haben zu können kippt gerade^^. Denn einfach via JavaScript & via Browser auf den Cache zugriff zu bekommen ist schon echt bitter und könnte täglich passieren!

 

[RAZORLIGHT]

Jetzt sind die AMD Fans aber in der Zwickmühle.
Habe sie ja erst gestern hier im Intel-Artikel wieder groß auf Intel gezeigt und was für tolle CPUs sie doch haben, und nun?

Glaube kaum, dass jemals jemand behauptet hätte, dass AMD CPUs fehlerfrei wären... da spielt dir deine Einbildung einen Streich.
Fakt ist aber, dass Intel von DEUTLICH mehr Sicherheitslücken betroffen ist, zusätzlich zu den eher unattraktiven Produkten.

 

[KlaraElfer]

Jetzt sind die AMD Fans aber in der Zwickmühle.
Habe sie ja erst gestern hier im Intel-Artikel wieder groß auf Intel gezeigt und was für tolle CPUs sie doch haben, und nun?

Ich glaube alle Nutzer von aktuellen Prozessoren müssen sich damit arrangieren, dass kein Hersteller von einer langen Liste an Sicherheitslücken verschont bleibt, alles andere wäre eine Überraschung.
Mal schauen wie lange das "AMD ist sicherer" noch gilt, sobald deren Marktanteile, auch im Serverumfeld, steigen und sich demzufolge auch mehr Forscher auf dem Gebiet umsehen.

 

[Tada100]

Ist natürlich unschön das AMD Prozessoren (seit 2011)eine gravierende Lücke aufweißen, aber wer suchet der findet.Wie AMD ja selbst schon schrieb,keine ist Cpu Fehlerfrei. Da wird wohl jemand den L1D cache neu erfinden müssen.
Denke aber AMD hat/wird daraus lernen und sich bessern.

 

[Snowi]

Shit happens, wie bei Intel auch.
Hoffe nur dass AMD es jetzt besser macht, und vernünftig mit der Situation umgeht.

 

[AlphaKaninchen]

Och nö, jetzt auch noch AMD.
Jetzt kann man, punkto Sicherheit, auf gar nichts gleichwertiges mehr ausweichen.

RISC-V... oh wait sie wollen ja vermutlich etwas mit dem PC machen. Wobei mit Linux geht auf RISC-V schon einiges.

 

[martinallnet]

Und wenn es über Java kommt,

JavaScript, das ist ein großer Unterschied.

 

[zonediver]

Schon mal überlegt, wie komplex moderne CPUs mit ihren Multilayer-Strukturen sind?
Von der Anzahl der Transistoren garnicht zu sprechen...
Das da Fehler eingebaut werden, ist mMn unvermeidbar - jeder, der schon mal ein "normales" Platinenlayout konstruiert hat, weiß das.
Und wenn sie gefunden werden, dann ist das gut - dann kann man etwas (oder auch nicht) dagegen unternehmen

 

[han123]

Meh, das ist echt scheisse :/ Bislang war AMD echt verschont, aber das ist jetzt schon ein ziemliches Brett...

 

[HyperSnap]

Sicherheit ist relativ^^
Macht schon nen unterschied ob man physichen kontakt oder der "Superhacker" sein muss oder einfach über den Browser mich schädigen kann.

 

[-Ps-Y-cO-]

Die Forscher sind es leid immer nur Intel zu nehmen nun widmen die sich mal AMD

You will find this in almost all of my papers, finding flaws in various processors and other things. Intel funds some of my students. If one of these students co-authors a paper, we acknowledge the gift of course.

 

[Nizakh]

Ich meine, nur weil sie die gefunden haben, heißt das nicht, dass andere Hacker Gruppen sie schon gefunden hätten/haben?

Die Motivation Sicherheitslücken zu entdecken ist bei „Hackern“ und „Sicherheitsforschern“ eine andere. Bist du Kriminell, dann wirst du dich primär mit den „low-hanging fruits“ befassen -> einfach, skalierbar und gewinnbringend.

Das was die Forscher hier leisten ist extrem zeitaufwändig, äußerst komplex und damit auch teuer und nicht wirklich „gewinnbringend“ aus Sicht von Kriminellen.

 

[SavageSkull]

Was mich eigentlich mehr schockiert, ist das, genauso wie bei Intel, so ein Lücke gefühlt ewig über mehrere Generationen vorhanden ist.

Mit dieser Prise an Infos hört es sich erstmal für mich als Consumer schlimmer an, als der Intel Käse, der vorwiegend auf Servern ein Problem ist.
Hier muß man aber erstmal abwarten, bis es mehr Infos gibt.

Hoffentlich kein neues BIOS. Was ich mit dem ASRock Board an BIOS Historie durch hab, da habe ich einfach keine Lust mehr drauf.

 

[DarkSoul]

Die Motivation Sicherheitslücken zu entdecken ist bei „Hackern“ und „Sicherheitsforschern“ eine andere. Bist du Kriminell, dann wirst du dich primär mit den „low-hanging fruits“ befassen -> einfach, skalierbar und gewinnbringend.

Nicht, wenn es um Erpressung oder Sabotage geht, Stuxnet als Beispiel. Auch Hacker im Auftrag von Firmen/Regierungen sind und bleiben Hacker.

Das was die Forscher hier leisten ist extrem zeitaufwändig, äußerst komplex und damit auch teuer und nicht wirklich „gewinnbringend“ aus Sicht von Kriminellen.

Fatalerweise bringen sie ihre Forschungsergebnisse online, bevor die Lücken geschlossen wurden. Das ist doch eher etwas, was ich nicht erwarten würde. Und natürlich profitieren die davon, muss nicht zwingend monitär sein.

 

[Atent123]

Sicherheit ist relativ^^
Macht schon nen unterschied ob man physichen kontakt oder der "Superhacker" sein muss oder einfach über den Browser mich schädigen kann.

Physischen Kontakt, brauchte man bei den wenigsten Lücken.
Locker Kontakt (sei es über ein Netzwerk oder über Virtualisierungsinstanzen), ist alles andere als unrealistisch oder schwer herzustellen.

Das macht solche Fehler natürlich nicht besser, aber man sollte keinesfalls anfangen, Probleme kleinzureden.

 

[olfbc]

Was mich schockiert:
"Schon im August 2019 wurde AMD über die Lücke „Take A Way“ in Kenntnis gesetzt, hat sich bisher aber nicht zur Thematik geäußert"

aber auch dieser Punkt gefällt mir nicht:
"Angriffe seien dabei über JavaScript in Browsern wie Firefox und Chrome erfolgt, sowohl bei einem lokalen Gerät als auch über einen Cloud-Zugriff via Amazon AWS EC2."

AMD, nicht gut, gar nicht gut!

 

[Pry_T800]

Ich kann die Arbeit der Forscher nur begrüßen, denn ohne solche Leute würde so eine Lücke nicht aufgedeckt werden egal ob AMD, Intel oder ARM.

Ich persönlich finde es immer etwas armselig gegen einzelne zu schießen, was hat man davon? Ich nutze auch beide Lager, wobei ich etwas mehr AMD bevorzuge. Wenn es umgekehrt wäre, also AMD die absolute Marktmacht hätte und Intel klein wäre, würde ich mich bestimmt für Intel entscheiden, weil AMD ganz genauso ihre Marktstellung ausnutzen würden! Wie es grundsätzlich wohl jede Firma macht, die größer und reicher werden will!


Btt:
Nun ist es wichtig, das AMD reagiert,dann wird es auch rund.


Cu der Pry

 

[Discovery_1]

War abzusehen, das kein Prozessor gegen Sicherheitslücken imun ist. Aber wenn das den CPU-Herstellern schon längst bekannt war, erwarte ich auch Transparenz in dieser Angelegenheit. Sprich, man hat die Verbraucher zu informieren und etwas gegen die Sicherheitslücken zu unternehmen (wenn möglich). So schaden sich die betroffenen CPU-Hersteller mit dem langen Verschweigen in der Öffentlichkeit nur selbst.

 

[incurable]

Was mich eigentlich mehr schockiert, ist das, genauso wie bei Intel, so ein Lücke gefühlt ewig über mehrere Generationen vorhanden ist.

Das ist insofern verständlich, als dass es keinen Nutzen bringt, funktionierende and validierte Untereinheiten für jede CPU-Generation von Grund auf neu zu entwickeln.

Nachdem dieser Fehler gefunden wurde, landete eine entsprechende Überarbeitung sicher im Lastenheft für eine der folgenden Generationen. (und so lang bleibt nur Arschbacken zusammenbeißen, denn Software-Frickel scheinen bei einem 6 Monate bekannten Problem bisher nicht erfolgreich genug gewesen zu sein, um sie zu veröffentlichen)