News Ryzen und Epyc: Sicherheitslücke betrifft alle aktuellen AMD-Prozessoren

[Salamimander]

Wäre die News zu Intel gekommen wäre das Gelächter groß, hier wird sachlich kommentiert und analysiert.

Was sagt das dann über die "andere Seite" aus ?

 

[Floppes]

Verstehe ich es richtig? Es werde Cache Metadaten geleakt, also welche Pages sich im Cache befinden? Mit einer echten Sicherheitslücke, könnten die Informationen bestimmt wertvoll werden. Fehlt noch eine passende echte Sicherheitslücke.

Bei Intels CSME wurde gesagt:

Solche Worte werden gerne übersehen.
Dazu, wie ich es jetzt zumindest verstanden habe, reicht bei der CSME eine einmalige Manipulation, um dauerhaft dabei zu sein, ohne dass das Betriebssystem oder ein Anti-Viren.Programm was davon mitbekommen würde. Dazu sehen es die Forscher als Unpatchbar - Mal schauen, was daraus wird.

Zusätzlich zu den jüngsten Vertretern der Lücken, kommen ja noch die Altbekannten.

Dagegen sagt man selbst bei der AMD-Lücke:


Sehen wir mal, was daraus wird und ob es dann doch noch spezielle Patches dafür gibt. Panik ist aber wohl weniger angebracht.

Die Lücken sind aber allesamt nicht einfach auszunutzen, selbst blieben sie auch jahrelang unentdeckt. Aber so ist das mit Sicherheitslücken, sie sind oft schon längst da und tun sich nicht einfach auf (Softwareupdates die zusätzliche Lücken enthalten natürlich ausgenommen). Da diese Lücken erst jetzt entdeckt werden und die Ausnutzung eher theoretischer Natur zu sein scheint, zeigt ja irgendwo, dass es eben nicht so einfach ist, diese auch zu nutzen. Immerhin schreiben sie ständig nur was von angrenzenden Bits auslesen, Metadaten und sonst was. Wurde mal ein wirklich konkreter Angriff ausgetestet, mit real abgeschöpften brauchbaren Daten? Am besten noch mit Erwähnung, welcher Aufwand dafür betrieben wurde.

Soweit ich das Statement von AMD verstehe, ist die Lücke nicht neu und bereits durch Softwareupdates geschlossen. Siehe Beitrag von Golem.

 

[Popey900]

Das AMD seit August davon weiß und noch nichts passiert.

Sagt wer?

 

[CyrionX]

Firefox kann das auch, dafür gibt es seperate Umgebungen. Es gibt sogar Plugins, die Google bzw Facebook von allen anderen Websites trennen

Undzwar?

 

[Labberlippe]

Richtig. AMD ist genau so unfaehig wie Intel, war und wird es auch immer so bleiben. Beide. Alleine schon die Nachricht das man Schlangenoel installieren soll, was die Angriffsflaeche auf ein System dann doch nochmal erweitert. Man hat zu lange auf die Performance geachtet anstatt auf Sicherheit.
Zitat von dem Update der News:

Hi

Gelöscht. Tippe auf Ironie :-)

Gruss Labberlippe

 

[cbtestarossa]

Undzwar?

Mittels Container System.
Oder mit Addons wie
https://addons.mozilla.org/de/firefox/addon/temporary-containers/
oder
https://addons.mozilla.org/de/firefox/search/?platform=WINNT&q=container&type=extension

 

[Sharky99]

Soweit ich das Statement von AMD verstehe, ist die Lücke nicht neu und bereits durch Softwareupdates geschlossen. Siehe Beitrag von Golem.

Wo hast du denn das gelesen? Die sagen nur dass sie die Lücke schon lange kennen.

 

[Zero_Point]

AMD spielt das Problem also herunter. Soviel zum Umgang damit.

 

[nazgul77]

Ist natürlich unschön das AMD Prozessoren (seit 2011)eine gravierende Lücke aufweißen,

Ähm Text nicht gelesen? Wo steht da "gravierend" oder sinngemäßes?

 

[tunichgut]

AMD spielt das Problem also herunter. Soviel zum Umgang damit.

Ernsthaft wo denn ? Ein Intel gesponsorter Verein hat was bei Amd Cpus entdeckt
und Amd sagt : ist bekannt und bereits abgeschwächt/behoben , so what?
Immer diese aufgebauschte Empörtheit , die schon sehr an Wutbürger und Co erinnert.
Bei den Blauen gibts bekanntlich erheblich größere Probleme als bei Amd ,
aber immer schön mit Dreck schmeißen und ablenken - "sehr sympathisch" der Laden.

 

[Denniss]

Bitte vor solchen leicht dämlichen aussehenden Kommentaren mal informieren wer bzw wessen Team diese "Lücke" bei AMD gefunden hat und was die in der Vergangenheit für Knaller bei Intel gefunden haben. Gesponsort ist da nur die Hardware, gekauft sind die nicht.

 

[DerJungeDerIst]

Das man Intel mit Dreck bewirft ist doch zum Fremdschemen, nicht Intel hat diese Lücke implementiert, sondern AMD.
Ich würde mir viel mehr sorgend darüber machen das AMD bis jetzt die Schnauze gehalten hat, also den Kunden nicht mal informiert hat.

 

[CableGuy82]

Ich würde mir viel mehr sorgend darüber machen das AMD bis jetzt die Schnauze gehalten hat, also den Kunden nicht mal informiert hat.

Die Lücke existiert.
Der Angriffsweg wurde in der Vergangenheit bereits (zum Teil) gefixed.
Die abgreifbaren Daten sind wenig nützlich (sagt der Entdecker der Lücke, Daniel Truss, selbst).
Es ist gut, das solche Lücken aktiv gesucht und daran geforscht wird (egal, wer das bezahlt).
AMD empfiehlt, den gesunden Menschenverstand einzuschalten und die offensichtlichen Dinge zu tun - sein System auf dem aktuellen Stand zu halten - dann führt der Angriff praktisch kaum mehr zum Erfolg (ein bereits -zum Teil- gefixter Angriff wird benutzt).
Die Lücken bei Intel sind deutlich gravierender - ein Vergleich nutzt aber niemandem.
Einige hier in diesem Thread haben das bereits toll erklärt und zusammengefasst.

Oder mit anderen Worten: Bisschen weniger Aufregung und "Fahne schwenken für Team Blau/Rot" wäre toll.

Sicherheitslücken sind nämlich immer doof.

 

[F.eatR]

Finde ich jetzt auch nicht allzuschlimm. Würde auch nicht hier ein Microcodeupdate helfen?

 

[aldaric]

Ich würde mir viel mehr sorgend darüber machen das AMD bis jetzt die Schnauze gehalten hat, also den Kunden nicht mal informiert hat.

Du hast anscheinend immer noch nicht mitbekommen wie das läuft. Hersteller kriegt die Informationen, hat in der Regel 6 Monate Zeit sich das anzuschauen und eine Behebung/Fix zu entwickeln. Vorher geht da nichts an die Öffentlichkeit. Da anscheinend nicht wirklich was abgegeriffen werden kann und zudem eine alte bekannte und schon abgeschwächte Lücke benutzt wird, ist das erstmal viel Tamtam um nichts. AMD hat sich geäußert, was die Leute tun sollen.

System up-to-date halten, wie meistens empfohlen, und damit ist das größte schon umschifft.

Warum sollte also AMD oder z. B. Intel, etwas vorher an die Öffentlichkeit geben, wenn die Lücke evtl. gar noch ausgenutzt werden könnte ?

 

[TrueAzrael]

Die Forscher, die die Lücke gefunden haben, hatten zuletzt bereits fast ein Dutzend Probleme in Intel-Prozessoren aufgedeckt. Zum Teil werden sie deshalb von Intel gesponsert, das im Rahmen seiner Bug-Suche in den letzten zwei Jahren erhöhte Gelder auch für externe Forscher bereitgestellt haben (PDF). Auf Twitter sorgte das Thema dennoch für Reaktionen und teilweise Vorwürfe, dass die Forscher nur Intels „Handlanger“ seien.

Versteh ich das korrekt?
Die Forscher bekamen für gefundene Lücken in Intels Produkten Geld von Intel und sollen deshalb nun im Auftrag von Intel Fehler in AMD-Prozessoren suchen, wo dann aber kein Geld mehr von Intel raus springt, weil man ja keine Lücken in Intel Produkten gefunden hat?
Das würde meiner Ansicht nach nur Sinn machen, wenn Intel für AMD Lücken mehr bezahlt bzw. wenn AMD selbst mehr für Lücken in eigenen Produkten zahlt als Intel.

 

[DarkSoul]

Mittels Container System.

Container schützen vor Lücken aber nicht, bei der man Daten abgreifen kann, die eigentlich für Zugriffe gesperrt sein sollten.

 

[boonstyle]

Dann baue ich jetzt mein Motorola 68000er ein.

Und dann eine MegaDrive drum herum

 

[Oldtimer]

Und ich hatte schon gehofft, das AMD nicht die gleichen oder ähnliche Fehler begeht wie Intel.....

 

[PS828]

Und ich hatte schon gehofft, das AMD nicht die gleichen oder ähnliche Fehler begeht wie Intel.....

Naja, wie auf irgendeiner Seite vorher gezeigt hat AMD jetzt zwei Lücken. Intel ist fast bei 90 also da ist man noch weit weg zumal es wohl schon alles gepatcht ist.

Außerdem ist die 100% sichere CPU Wunschdenken und wird niemals existieren.

Es gibt nur sicher und weniger sicher. Und Stand jetzt steht AMD mit Zen besser da als Intel mit Core.