News Ryzenfall und Co.: AMD kündigt BIOS‑Updates gegen Sicherheitslücken an

[HaZweiOh]

Es ist allerdings auch Tatsache, dass AMD-Besitzer allein wegen des Marktanteils ein "near-zero risk" haben. So ein Ungleichgewicht des Marktes hat (zumindest aus Käufersicht) auch einige Vorteile.

da ich wohl als Intel-Fan abgestempelt wurde, nimmt das keiner ernst...

Diesen Eindruck habe ich allerdings auch gewonnen, weil du dich nur bei AMD so aus dem Fenster lehnst, in x Postings das Gleiche schreibst, aber zu Intel schweigst.

Darüber hinaus können wir an dem Punkt "Management Engine ja oder nein" auch nicht viel ändern, außer eine Plattform zu kaufen, bei der die Engine abschaltbar ist. Das wäre dann eher bei AMD der Fall.

 

[cbtestarossa]

Als ich mit dem Computer-Hobby angefangen habe, da hat man sich noch drum gezofft ob MOS, Zilog, Motorola usw. die besseren CPUs bauen. Aber irgendwie war es trotzdem sachlicher...
Ich werde vielleicht einfach zu alt für solchen Unsinn.

Irgendwie hast du recht.
Mir fällt teilweise auch auf wie mittlerweile die Handy-Generation teilweise so tickt.
Naja ist halt so. Zeiten ändern sich eben.

Ah unlängst meinte ein Familienmitglied ob ich nicht WhatsAPP installieren wolle damit wir besser in Kontakt bleiben können.
Naja abgesehen davon dass es eh keine funktionierende Version mehr für mein Handy gibt
habe ich nicht mal mehr darauf geantwortet geschweige denn wollte ich meine Bedenken dazu kundtun.

Laufen tut das ganze natürlich wie immer. Zuerst ist etwas frei und gratis.
Wird irgendwann einmal die "Kritische Masse" erreicht wird die Firma einfach geschluckt und schwups sind wir schon in der nächsten Fallle.

Ich hatte ja auch mal bei Skype einen Account aber nachdem MS sich das einverleibt hat > Account gelöscht.

 

[Herdware]

Diesen Eindruck habe ich allerdings auch gewonnen, weil du dich nur bei AMD so aus dem Fenster lehnst, in x Postings das Gleiche schreibst und zu Intel schweigst.

Ich habe es wiederholt, weil danach immer und immer wieder Post nach dem Motto kamen: "Man braucht doch Admin-Rechte, also ist diese Sicherheitslücke eigentlich gar keine."
Vielleicht hätte ich früher merken sollen, dass die Beiträge und Argumente von mir und anderen nicht überlesen oder inhaltlich nicht verstanden wurden, sondern absichtlich komplett ignoriert wurden. Dann hätte ich mir die Mühe gespart, immer wieder zu versuchen meine Argumente zu erklären.

Und wie gesagt, war doch bei der IME-Lücke von Anfang an alles klar. Ich habe jetzt nicht den ganzen Thread durchgelesen, aber hat da wirklich jemand versucht das irgendwie kleinzureden?
Ich könnte jetzt haufenweise Beiträge von mir zu anderen Themen raussuchen, wo ich ausgesprochen kritisch über alle möglichen Hersteller (Intel eingeschlossen) geschrieben habe, aber würde das hier irgendjemanden interessieren? Die Meinung der Fanboys über mich steht doch schon fest.

Um ganz ehrlich zu sein, mir fallen die AMD- bzw Anti-Intel, Anti-Nvidia-Fanboys hier im CB-Forum generell sehr viel stärker auf, als die jeweiligen Gegenseiten. Da muss man nur mal objektiv durch die Threads schauen.
Ich schreibe besser weiter nichts dazu, weil ich annehmen muss, dass diese Fanboys tatsächlich nicht absichtlich trollen wollen, sondern ihre Herzen wirklich so voller Liebe für AMD sind, dass sie ernsthaft an das glauben was sie schreiben. Also eher so eine Art Religion, und über sowas kann man halt nicht diskutieren.

 

[HaZweiOh]

Du machst die Sache halt größer als sie ist und malst (mit mehrfachen Wiederholungen) einen Teufel an die Wand, der praktisch keine Auswirkungen haben wird.

Deshalb (und nicht wegen irgendwelcher Fanboy-Geschichten) wird das nicht ernst genommen.

Und bei der ganzen Sache spielt halt auch rein, dass sich der veritable Skandal, den die zwielichtigen Gestalten von CTS konstruieren wollten, um mit Aktien-Wetten Kasse zu machen, inzwischen gegen sie selbst richtet. Gegenüber den vielen Fällen, solche Typen mit so einer Nummer durchkommen, ist das eine erfreuliche Ausnahme

 

[Serana]

Ach, das täuscht nur, daß es heute unsachlicher geworden wäre. Erinnert sich noch jemand an den "Krieg" zwischen Amiga und Atari-Fanboys? Das war teilweise auch nicht mehr feierlich.

Der Eindruck heute wäre es schlimmer geworden liegt meines Erachtens daran, daß es früher absolut nicht alltäglich war einen Computer zu besitzen. Die Anzahl der potentiellen Schreihälse war also sehr viel geringer.

Mein erster Rechner war ein IBM-AT mit DOS 3.3 und einer sensationellen 20 MB Festplatte. Danach kam ein Amiga 2000 und ich war einfach nur hin und weg von den Möglichkeiten dieses Teils. Beide Maschinen besitze ich übrigens noch heute. Wer sich damals mit Computern befasste wußte danach in den meisten Fällen WIRKLICH wie ein Computer arbeitet. Spieler unter MS-DOS mußten sich zwangsweise mit config.sys und autoexec.bat beschäftigen, weil sonst der Arbeitsspeicher einfach nicht reichte. Man brauchte also einfach ein gewisses Verständnis, weil diese Kisten sonst einfach nicht das machten was sie sollten.

Heute dagegen sind Computer für die meisten Nutzer wie die berühmte Black Box von der sie nicht wissen wie sie arbeitet. Sie wollen es auch gar nicht wissen, weil sie die Dinger ungefähr so benutzen wie man ein Radio benutzt. Man drückt auf den Einschaltknopf und wählt das Programm aus. Das war es dann auch schon. Und wenn etwas nicht funktioniert wird jemand gerufen der die Sache wieder geraderückt. Selbst wenn der irgendwelche Erklärungen abgäbe, würden diese ohnehin nicht verstanden.

Das sorgt dann aber auch dafür, daß Sicherheitslücken oder einfach Bugs von vielen gar nicht mehr richtig eingeordnet werden können. Die Leute hören nur Sicherheitslücke und mehr nicht. Das die Lücke (oder Bug) nur unter bestimmten Umständen ausgenutzt werden kann interessiert schon nicht mehr, weil da ohnehin jegliches Verständnis fehlt.

 

[Postman]

An so einer Geschichte sieht man sehr gut

- dass es unter selbst ernannten "Sicherheitsforschern" jede Menge Flachpfeifen wie CTS "Labs" gibt, deren Hauptgeschäft aus Aktien-Manipulationen, Photoshop, Powerpoint und "gefährlich klingenden Codenamen" besteht

- dass es riesige Qualitäts-Unterschiede bei der Presse gibt. Manche machen wirklich nur Copy & Paste aus der Pressemitteilung der CTS-Pfeifen, ohne mal 5 Minuten nachzudenken. ComputerBase hat in diesem Fall einen guten Job gemacht, das ist aber leider nicht immer so.

Mich würde wirklich mal interessieren wer denn überhaupt Aktien bei AMD oder INTEL hat?

Die AMD Hauptzielgruppe ist doch eher in der Realität bei den Sparfüchsen zu suchen, sonst würde man eher in die schnellere INTEL Hardware investieren. Das hat mit der Vorliebe für eine Firma rein gar nichts zu tun, viele wollen nur ein flüssiges Spielen in höchster Auflösung haben.

Da machen sich viele Sorgen als wären sie von der Aktienaufsichtsbehörde oder als wenn solche Themen mit den CPU Lücken oder Bugs direkt zu tun haben.

Es gibt in einem Rechtsstaat Gesetze, die auch ohne Unterstützung oder generelle Internetmeldungen funktionieren. Reine Stimmungsmachen sind in der Politik an der Tagesordnung, da heißt es nur ganz legal Lobbyismus.

 

[anexX]

Tja nur leider bringt der ganze Kultismus nichts weil alle Firmen machen zwischendurch mal Mist - ein gelungenes Produkt kann man Klasse finden und sich auch dazu bekennen, aber ner Firma würde ich keinen Tempel bauen weil nobody is perfect, auch (oder grade) Firmen nicht, egal wie sie heissen.

 

[noxon]

@noxon:
Und was ist nun genau mit den Lücken in Intels ME ? Sind die nun gepatched oder nicht ? Ermöglichen doch ebenfalls das verstecken von Malware in der IME.
Ja schlimm genug dass so was geht - aber es ist schon erstaunlich wie die Leute kollektiv vergessen dass bei Intels ME ganz vergleichbare Lücken genauso existieren und das schon seit GERAUMER Zeit und Intel hierzu NICHTS macht. Und die ASMedie Chips die AMD hat sind bei sehr vielen Intel Produkten genauso verbaut.
AMD hat aber bereits nach wenigen Tagen einen kompletten Bugfix angekündigt !
So macht man Security.

Und was willst du mir jetzt damit sagen? Das ich damit unrecht hatte die Sicherheitslücken als solche zu bezeichnen und sie als kritisch zu betrachten, bloß weil Intel auch sowas hat?

Ja, dies habe ich auch schon so gehört. In manchen schweren Fällen hat der Rechner sogar Beine bekommen und ist Nachts unter das Bett gekrabbelt und hat dort tagelang für Angst und Schrecken gesorgt.
Ich gehöre zwar nicht zu den Ängstlichen, aber dies würde mir tatsächlich ein Unbehagen erzeugen.

Na dann guck mal selbst, was die IME alles kann.
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

 

[deo]

Ich hatte mich darüber aufgeregt, dass das neue AMD BIOS verhindert, dass Windows 7 bootet und der allgemeine Tenor war, dass man mit der Zukunft gehen solle und man hinter dem Mond lebe, wenn man das nicht akzeptiere. Aber genau das ist die Gefahr, weil man zukünftig keine Alternative mehr hat und auf gut Deutsch Scheiße fressen muss.
Ich will weiterhin auch den legacy Modus auswählen können und die standardmäßige Fernwartung mit irgendwelche Modulen, die wie ein Geheimdienst daherkommen, will ich auch nicht akzeptieren.

 

[Volkimann]

Dann deaktiviere doch im BIOS das PSP bzw aktiviere es erst gar nicht.

 

[deo]

Mein Mainboard aus 2014 hat kein PSP

 

[kisser]

@TrueAzrael
Es bestreitet ja auch keiner das es Fehler sind. Aber Sicherheitslücken?

Was denn sonst, lieber Volkimann? Sobald man Dinge tun kann, die man eigentlich nicht darf, redet man von Sicherheitslücken.
Bugs sind etwas ganz anderes, nämlich bei nomaler Nutzung auftretende Fehler, die z.B. zu einem Programmabsturz führen.

Jemand der volle Adminrechte an einem System haben muss um diese nutzen zu können, ist dann auch eine Sicherheitslücke.
Gemäß dieser Logik darf es keine Admins mehr geben.

Völliger Blödsinn. Auch ein Admin darf nicht alles, er hat keine Systemrechte.

Ergänzung (21. März 2018)

Oder folgendes Szenario:
Irgendjemand verschafft sich Zugang zu einem beliebigen Hersteller/Händler von PCs (Dell, HP, Amazon oder der Schrauber um die Ecke). Er installiert in einem unbeobachteten Augenblick auf den PCs Schadsoftware in den PSP/IME und die neuen Rechner werden dann an ahnungslose Kunden verkauft. Selbst wenn die alles schön sauber neu installieren, das System regelmäßig scannen und es irgendwie schaffen, dass sich nie wieder jemand unerlaubt Admin-Zugriff verschaffen kann, sind und bleiben diese Rechner kompromitiert.

Man braucht gar kein so aufwendiges Szenario. Eine mit Administrator- oder Systemrechten laufende Software, wie z.B. einen Treiber (die haben nicht umsonst seit einiger Zeit ein Sicherheitszertifikat!!) die kompromitiert und zum Download bereitgestellt wurde.

Oder um mal ein konkretes Beispiel zu nennen:

https://www.heise.de/security/meldu...licht-weitere-Analyse-Ergebnisse-3840809.html

 

[Dai6oro]

AMD machts genau richtig. Transparent, unaufgeregt und professionell im Gegensatz zu den Unbekannten angeblichen "Sicherheitsexperten".

BTW: Intel ist doch nach Recherche auch von der Asmedia-Lücke betroffen. Wie haben die sich eigentlich geäußert?

 

[Meetthecutthe]

Du machst die Sache halt größer als sie ist und malst (mit mehrfachen Wiederholungen) einen Teufel an die Wand, der praktisch keine Auswirkungen haben wird.

Deshalb (und nicht wegen irgendwelcher Fanboy-Geschichten) wird das nicht ernst genommen.

Die Sache wird von "Uns" die kommende Tage und Wochen hier und in anderen Foren noch genug hochgekocht, davon darfst du mal ausgehen .

Unterm Strich gilt also zu vermerken das AMD hier hochgradig anfällige Prozessoren sehenden Auges auf den Markt geschmissen hat. Zudem fängt der Laden ja jetzt schon wieder an zu mauern wie wir es von ihnen gewohnt sind.

 

[Iscaran]

Unterm Strich gilt also zu vermerken das AMD hier hochgradig anfällige Prozessoren sehenden Auges auf den Markt geschmissen hat. Zudem fängt der Laden ja jetzt schon wieder an zu mauern wie wir es von ihnen gewohnt sind.

Mauern ?!?
AMD hat ein vollständigen Patch angekündigt. AMD bekam lediglich 24h Zeit vor der bekanntgabe der Lücken. Üblich sind bei derartigen Lücken meist 90 Tage.

Intel hat die seit 2016 bekannten Lücken in der ME bis heute nicht gefixed !
https://de.wikipedia.org/wiki/Intel_Active_Management_Technology
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology#Known_vulnerabilities_and_exploits

siehe Ring3-root kit
siehe Silent Bob is Silent

einzige die SA-0086 Lücke hat Intel zähneknirschend gepatched.

Wer mauert hier also eigentlich ?

Hauptsache hier mal wieder AMD trashen ....das nenn ich mal wieder "differenzierte" Betrachtungsweise.

 

[Denniss]

Bei dem Beitrag von Meetthecutthe fehlt irgendwie der Ironie-Tag denn : "hochgradig anfällige Prozessoren sehenden Auges auf den Markt geschmissen" = Coffee Lake

 

[HaZweiOh]

das AMD hier hochgradig anfällige Prozessoren sehenden Auges auf den Markt geschmissen

Steht dieser Beitrag stellvertretend für das Niveau, was man von diesem Forum erwarten darf?

Wenn es so wäre, würde ich sagen: "Armes Deutschland!"

Ansonsten vielleicht einfach mal den Artikel lesen, und die beiden Beiträge über mir. Das erspart so manche Blamage.

 

[Rockstar85]

@volker:
Bitte endlich Sarkasmus und Ironie Tags einfügen, Danke :*

@all:
Beruhigt euch, er will nur den Herren hier den Spiegel vorhalten Natürlich meint er Coffee Lake

@all Kritiker:
Ein Bug, bleibt ein Bug. Und Admin Zugriff kriegst du in Unternehmen auch nicht mal so eben. Schade das die Themen Meltdown und Spectre nicht so vehement von den Herren Experten™ hier gefordert wurden.
So und nun dürft ihr mich melden 😛

 

[immortuos]

Unterm Strich gilt also zu vermerken das AMD hier hochgradig anfällige Prozessoren sehenden Auges auf den Markt geschmissen hat. Zudem fängt der Laden ja jetzt schon wieder an zu mauern wie wir es von ihnen gewohnt sind.

Wie kommst du bitte auf "sehenden Auges"? Ich glaub du verwechselst das gerade mit Intel, die haben Coffee Lake auf den Markt geworfen als sie schon längst von Spectre und Meltdown wussten, AMD kann man das mit Ryzen weder bei den beiden Exploits noch den neuen hier vorwerfen.

 

[Pulsar77]

Sehr gute Analyse der CTS Versuche (offenbar) AMD zu schaden. Ich sage nur: Intel und Israel (wo bekanntlich auch Fabs stehen - von mir aus auch nur eine Fab aber es fließt viel Geld dahin).

https://youtu.be/GNPcxXZ2ki8

Der Bericht ist relativ lang aber notwendig für Laien (wie mich) zu sehen, dass das keine koshere (Achtung Wortspiel ) Aktion war.
Bildet euch eure eigene Meinung und bitte teilt diese hier mit uns!