News Ryzen und Epyc: Sicherheitslücke betrifft alle aktuellen AMD-Prozessoren
- Ersteller Volker
- Erstellt am
- Zur News: Ryzen und Epyc: Sicherheitslücke betrifft alle aktuellen AMD-Prozessoren
.Sentinel.
Admiral
- Registriert
- Okt. 2007
- Beiträge
- 8.628
Das Krisenmanagement bezüglich dieser Lücken war in meinen Augen nicht wirklich souverän. Von keiner betroffenen Firma.Shririnovski schrieb:
War aber auch das erste Mal seit langer Zeit, dass die Wissenschaftler so tief in ein Wespennest gestochen haben.
LG
Zero
Keine gute Woche für Hardware Security bei Intel und AMD.
Was mir im Artikel noch ein bisschen fehlt, ist eine grobe Einordnung der Sicherheitslücke, s.
https://twitter.com/lavados/status/1236218121704239104
Vom Einschlag deutlich niedriger als die berühmt berüchtigten Lücken vor einiger Zeit (was aber nicht heißt, es sei nicht nennenswert).
Was mir im Artikel noch ein bisschen fehlt, ist eine grobe Einordnung der Sicherheitslücke, s.
https://twitter.com/lavados/status/1236218121704239104
Vom Einschlag deutlich niedriger als die berühmt berüchtigten Lücken vor einiger Zeit (was aber nicht heißt, es sei nicht nennenswert).
druckluft
Captain
- Registriert
- Juli 2010
- Beiträge
- 3.422
War doch nur eine Frage der Zeit bis es auch bei AMD anfängt. Glaube da haben sich einige ordentlich was vor gemacht.
Die Frage ist auch inwiefern das ganze überhaupt in der Praxis relevant ist. Hauptsache man kann Patches die Performance kosten irgendwie deaktivieren.
Die Frage ist auch inwiefern das ganze überhaupt in der Praxis relevant ist. Hauptsache man kann Patches die Performance kosten irgendwie deaktivieren.
Ok, allerdings hat Intel Meltdown und den L1 Bug bei neuen Steppings von Coffee-Lake-Refresh und Comet Lake in Hardware gefixt.bad_sign schrieb:
Intel hat noch das Problem mit den ungefixten SMT / Hyperthreading Sicherheitslücken. Keine Ahnung ob das bei Ice Lake oder Tiger Lake bereits gefixt wurde.
maxpayne80
Commander
- Registriert
- Nov. 2006
- Beiträge
- 2.327
Wenn es sich um einen Fehler handelt, der im Prinzip in jedem Browser mit aktiviertem Javascript ausgenutzt werden kann ....
das hätte schon eine gewisse andere Qualität als diverse andere Fehler und Sicherheitslücken in der CPU-Architektur die über die letzten 1-2 Jahre bekannt wurden, welche eher Relevanz für Rechenzentrumsbetreiber haben ( Stichwort Zugriff von einer VM aus auf Speicherbereiche einer anderen, oder des Host-Systems ).
Bin ja mal gespannt wie sich dies entwickelt. Und ob es transparent gehandhabt wird, muss mich diesbezüglich sehr negativ an die Google-Pay / Paypal-Geschichte erinnern, wo bis heute v.a. von Seiten Paypal eher abgewiegelt wird ...
das hätte schon eine gewisse andere Qualität als diverse andere Fehler und Sicherheitslücken in der CPU-Architektur die über die letzten 1-2 Jahre bekannt wurden, welche eher Relevanz für Rechenzentrumsbetreiber haben ( Stichwort Zugriff von einer VM aus auf Speicherbereiche einer anderen, oder des Host-Systems ).
Bin ja mal gespannt wie sich dies entwickelt. Und ob es transparent gehandhabt wird, muss mich diesbezüglich sehr negativ an die Google-Pay / Paypal-Geschichte erinnern, wo bis heute v.a. von Seiten Paypal eher abgewiegelt wird ...
Aber Zombieload funktioniert noch oder?WinnieW2 schrieb:
Und ich hoffe, sofern überhaupt nötig, wird/wurde das schon bei Zen 3 in Hardware gefixt.
Aber AMD hat bestimmt schon ein paar weitere Lücken auf dem Tisch liegen, die wohl die nächsten Monate öffentlich werden
ChrisMK72
Vice Admiral
- Registriert
- Aug. 2012
- Beiträge
- 6.728
Hab immer gefragt, ob die AMD-Käufer meinen würden, dass ihre CPUs absolut sicher wären, wenn sie besonders laut über Intel's Sicherheitslücken hergezogen haben.
Meist wurde es dann schnell leiser.
Jetzt sieht man mal deutlich warum.
Sicherheit gibt's nicht.
Es kann jeden Treffen.
PS: Die "Sicherheit" der AMD CPUs war ja für manche sogar ein Kaufkriterium.
Meist wurde es dann schnell leiser.
Jetzt sieht man mal deutlich warum.
Sicherheit gibt's nicht.
Es kann jeden Treffen.
PS: Die "Sicherheit" der AMD CPUs war ja für manche sogar ein Kaufkriterium.
@Volker Bereitet ihr die Luecke noch als Artikel auf und erklaert sie? Habe das Paper ueberflogen und muss sagen, die ist gar nicht so einfach.
Was mich an dem Paper etwas irritiert ist, dass Intel als Geschenk acknowledged wird, auf Twitter es sich aber nach Funding anhoert. Also entweder ist es ein Projekt, Programm, oder Funding, was es anscheinend nicht ist. Oder es ist ein "Geschenk" was auch immer darunter faellt. Da es wohl keine Hardware ist, ansonsten koennte man das ja benennen, wundert mich die Kritik daran nicht. Das haetten sie besser kommunizieren sollen.
Ist recht interessant. Kann empfehlen das Paper zu lesen. Allerdings auch recht kompliziert.
Das stimmt so nicht ganz. Sie empfehlen unterschiedliche Mitigationen. Eine beinhaltet den Way Predictor dynamisch abzuschalten was Leistung teilweise sogar erhoehen soll. Keine Ahnung wie das funktionieren soll. Eine andere beinhaltet mehrere uTags zu berechnen und damit mehrere Hashfunktionen zu haben und einen Wert davon zufaellig zu waehlen. Also muss nicht komplett abgeschalten werden.
Das ist sie allerdings. Was allerdings auch recht interessant in dem Paper ist sind die Vergleiche zu Intel. Alleine, dass es bei Intel ohne priviligierten Zugriff moeglich ist Veraenderungen mit minimaler CPU Zyklen Verzoegerung festzustellen und dass das bei AMD und ARM nicht moeglich ist sollte den Intel Fans hier zu denken geben. Die Luecke ist unschoen und muss gefixt werden, aber an Intel kommt es noch lange nicht hin.
Was mich an dem Paper etwas irritiert ist, dass Intel als Geschenk acknowledged wird, auf Twitter es sich aber nach Funding anhoert. Also entweder ist es ein Projekt, Programm, oder Funding, was es anscheinend nicht ist. Oder es ist ein "Geschenk" was auch immer darunter faellt. Da es wohl keine Hardware ist, ansonsten koennte man das ja benennen, wundert mich die Kritik daran nicht. Das haetten sie besser kommunizieren sollen.
ghecko schrieb:
Ist recht interessant. Kann empfehlen das Paper zu lesen. Allerdings auch recht kompliziert.
Piktogramm schrieb:
Das stimmt so nicht ganz. Sie empfehlen unterschiedliche Mitigationen. Eine beinhaltet den Way Predictor dynamisch abzuschalten was Leistung teilweise sogar erhoehen soll. Keine Ahnung wie das funktionieren soll. Eine andere beinhaltet mehrere uTags zu berechnen und damit mehrere Hashfunktionen zu haben und einen Wert davon zufaellig zu waehlen. Also muss nicht komplett abgeschalten werden.
Piktogramm schrieb:
Das ist sie allerdings. Was allerdings auch recht interessant in dem Paper ist sind die Vergleiche zu Intel. Alleine, dass es bei Intel ohne priviligierten Zugriff moeglich ist Veraenderungen mit minimaler CPU Zyklen Verzoegerung festzustellen und dass das bei AMD und ARM nicht moeglich ist sollte den Intel Fans hier zu denken geben. Die Luecke ist unschoen und muss gefixt werden, aber an Intel kommt es noch lange nicht hin.
A
Atent123
Gast
WinnieW2 schrieb:
Grundsätzlich wird sowas meist von Instituten an Unis und anderen wissenschaftlichen Einrichtungen durchgeführt. Dann aber auch an möglichst vielen Architekturen. Da sind dann alle möglichen Dinge dabei, von ARM Designs, über Atom arks, AMD, bis hin zu PowerPC Architekturen.
Intel hat das Problem, dass die Grundarchitektur, verdammt alt ist und so viele Fehler unbemerkt, von fast einem Jahrzehnt der CPU Entwicklung übernommen wurden. Sicherheitsprobleme mit Intels SMT Implementation waren schon vor Sandy Bridge release bekannt. Damals waren die allerdings erst theoretisch und man hat bei Intel die Bedenken, nach einem CTO wechsel, schnell über Bord geworfen und es ist erstmal Graß über die Sache gewachsen. Deswegen sollte man solche Lücken im allgemeinen nicht auf die leichte Schulter nehmen, da sie in der Zukunft, möglicherweise, leicht ausgenutzt werden können.
Bugfrei wird keine CPU jemals sein.
Ich wette, dass selbst ein A53 Kern irgendwo eine Lücke haben wird.
Xedos99
Captain
- Registriert
- Aug. 2007
- Beiträge
- 3.102
Wie gut daß MS uns ja auch noch den neuen Edge Browser dazu liefert,der natürlich auch Java Script nutzt. Also Oracle ist ja bekannt dafür Sicherheitslücken frei Haus zu liefern.
Was AMD betrifft,wird man wohl wie bei Intel auch noch genügend Lücken finden,die Angriffe
möglich machen. Wahrscheinlich muß man CPUs
jetzt auch mit KI entwickeln ,die eine Simulation
aller möglichen Betriebs Zustände simuliert.
Oder man hält die Lücken geheim,damit keine Exploits entwickelt werden können.
Denke Mal das die Meldung von Gestern, das
Intel CPUs der 10. Generation von den neuen Lücken nicht betroffen sind,auch nicht lange Bestand haben wird. Menschen machen eben
häufiger Fehler als Maschinen.
Für Häme ist da absolut kein Platz.
Was AMD betrifft,wird man wohl wie bei Intel auch noch genügend Lücken finden,die Angriffe
möglich machen. Wahrscheinlich muß man CPUs
jetzt auch mit KI entwickeln ,die eine Simulation
aller möglichen Betriebs Zustände simuliert.
Oder man hält die Lücken geheim,damit keine Exploits entwickelt werden können.
Denke Mal das die Meldung von Gestern, das
Intel CPUs der 10. Generation von den neuen Lücken nicht betroffen sind,auch nicht lange Bestand haben wird. Menschen machen eben
häufiger Fehler als Maschinen.
Für Häme ist da absolut kein Platz.
flo36
Captain
- Registriert
- Sep. 2007
- Beiträge
- 3.660
Nein das meinen nur die die keine Ahnung haben. Wie schon seit Jahrzehnten bekannt, gibts immer undokumentierte Teile in Chips, Fehler und Sicherheitslücken die passieren oder einfach absichtlich gemacht werden. AMD war nur nicht interessant, was nichts an der Sicherheitskatastrophe der gesamten Intel Plattform mit ME ändert. Aber mal sehen was da bei AMD noch so auf uns zu kommt.ChrisMK72 schrieb:
.Sentinel.
Admiral
- Registriert
- Okt. 2007
- Beiträge
- 8.628
Vorsicht- Mitigations sind "Abmilderungen"- Keine vollwertigen Fixes...WinnieW2 schrieb:
LG
Zero
corvus
Lt. Commander
- Registriert
- Jan. 2018
- Beiträge
- 1.500
Xedos99 schrieb:
Also eigentlich halte ich mich aus den Theman egal auf welcher Seite ja raus, aber vll.t sollte man sich vorm kommentieren echt mal einlesen, bevor man so einen Mist schreibt.
Javascript hat gleichmal garnix mit Oracle zu tun, das wurde von Netscape entwickelt (zden Vorgänger Livescript mit Sun, ok, hat trotzdem nix mit Oracles Java zu tun). Und was den neuen Edge im Zusammenhang mit Javascript so besonders macht gegenüber allen anderen Browsern müsstest auch noch erläutern bitte.
U
user2342
Gast
Oracle(Java) hat aber nichts mit JavaScript zu tun.Xedos99 schrieb:
Ok, ich akzeptiere deinen Einwand. Nur ist der Unterschied zwischen Abmilderung und Fix jetzt von solch großer Bedeutung bei der täglichen praktischen Nutzung?ZeroZerp schrieb:
Solange eine Schwachstelle nicht praktisch genutzt werden kann sehe ich da keinen Unterschied.
Ein Fix für eine konkrete Sicherheitslücke birgt auch das Risiko an einer anderen Stelle eine Sicherheitslücke aufzumachen.
Zuletzt bearbeitet:
Ähnliche Themen
