ComputerBase Menü
Aktuelles

News Ryzenfall und Co.: AMD kündigt BIOS‑Updates gegen Sicherheitslücken an

Könnte man auch die Gegenfrage stellen:
Wieviele von den Leuten, die nicht wie wir Selbstbauer in Foren unterwegs sind, werden wissen dass sie Biosupdates machen sollten.
Ist in etwa das selbe wie bei Meltdown/Spectre. Wobei da noch dazukommt, dass bei den Blauen sich noch die Frage stellt bis zu welcher Generation die Boardpartner überhaupt neue Biosversionen machen aus den Microcodeupdates .

Und bitte.... CTS ist doch eine super Firma...
Hatte den Link und meine Meinung dazu ja schon auf der vorherigen Seite mal geschrieben.
https://www.ctsflaws.com/
:D
 
Der wichtigste Parameter für die Wahrscheinlichkeit eines Angriffs ist die Zahl der möglichen Opfer, die man erreichen kann (=Marktanteil des Herstellers).

Da rollt auf Intel noch so einiges zu, auch wegen Spectre und Meltdown.
 
HaZweiOh schrieb:
Da rollt auf Intel noch so einiges zu,....
Zum Vergrößern anklicken....
Was glaubst du warum ich in meinen eigenen PCs seit 1999 nur AMD CPUs verbaut habe? :P
Nein, aber Spaß beiseite...
Bin auch gespannt wie sich die ganze Thematik mit Lücken direkt in der Hardware die nächste Zeit entwickelt.
Software ist ja mehr oder weniger recht schnell mal gepatcht.
Ich finde ohnehin dass das ganze auch viel zu sehr hochgekocht wird.
Natürlich soll man solche Sachen nicht unterschätzen, aber was man teilweise so an Artikeln *hust*heise*hust*... usw
zu lesen bekam war schon schlimmes Klickbait.
Von den Kommentaren in den Foren von solchen "Experten" von denen ich jetzt keine Namen nennen will mal ganz abgesehen....
oft zum fremdschämen mittlerweile... :freak:
 
Lücken in Hardware wird es immer geben, so wie es immer Lücken in Software geben wird. Das ist auch gar nicht das Problem.

Das eigentliche Problem ist, dass man als Nutzer mit drei parallel laufenden Betriebssystemen und ihren individuellen Sicherheitsproblemen konfrontiert ist:

  • UEFI
  • ME/PSP
  • Nutzerbetriebssystem
Das sind zwei zu viel. Mit Coreboot/Libreboot lässt sich das UEFI eliminieren, an ME und PSP kommt man zur Zeit nur über Trickserei vorbei. ME lässt sich stark verkrüppeln und beim PSP wird aufgrund der kleineren Marktrelevanz weniger Forschung betrieben.

Die aktuelle Empfehlung kann nur lauten, auf klassische Desktops/Laptops/etc. zu verzichten und Coreboot- oder noch besser Libreboot-Systeme zu benutzen, z. B. ein Chromebook, auf das man eine Linux-Distribution installiert und die ME aushebelt. Oder man kauft ein Laptop von Purism. Oder von Minifree. Oder man nimmt einen Raspberry Pi (demnächst auch mit komplett freiem Bootcode).

Alles andere wäre zumindest halbherzig.
 
tic-tac-toe-x-o schrieb:
CTS Labs hat ursprünglich nach Fehlern bei ASMedia Chips gesucht und dann rausgefunden, dass man einige Exploits bei AMD nutzen konnte und dann haben die schlussendlich bei AMD nach Fehlern gesucht. Das so zumindest laut eines Interviews wo es auch hiess, dass "andere PCs ebenfalls Probleme haben können".
Zum Vergrößern anklicken....

Und genau das ist der Kanckpunkt bei der Geschichte.
Sie haben den Bug bei den ASMedia Chips gefunden, aufgrund des Chipsatz Entwurfes von ASMedia für AMD auch bei AMD gesucht, ihn dort ebenfalls gefunden und sich dann ausgekotzt wie schlecht AMD doch sei.
Warum hat diese möchtegern Sicherheitsexperten Firma also nochmal nicht vor ASMedia Chipsätzen gewarnt, welche auf allen Plattformen beheimatet sind, und zusätzlich angegeben das die AM4 Chipsätze ebenfalls betroffen wären?
Warum haben sie also einen kleinen Teilbereich an den Pranger gestellt und nur auf Nachfrage den Rest des Eisberges eingeräumt obwohl dieser das Hauptziel bei den Untersuchungen war? Schon eigenartig, oder?
 
Zuletzt bearbeitet:
Wenn dann würde ich eher vermuten das die angeheuerte Marketing Agentur ihre Finger im Spiel hätte.
Das würde zum Zeitpunkt und zur Vorgehensweise und man könnte die Schuld von sich weisen. Getreu dem Motto "wenn man die Fehler nicht zerreden kann zieht man eben den Ruf der Konkurrenz runter".
Es ist ja mehr oder weniger für jeden Bug ein Gegenstück vertreten den Intel die letzten Jahre verzapft hat.
 
Der Gedanke an diese Agentur kam mir durchaus auch, als ich bei heise Security (böses Wort...gg) das erste mal davon gelesen hab.
Aber wie gesagt, das ist schon ziemlich Aluhut; Bei Verschwörungstheorien gabs allerdings auch schon Überraschungen. ^^
Ich trau Intel durchaus einiges zu.
Hab das damals auch noch mitbekommen, als Ende der 90er auf der Computex in Taipeh über Nacht die ganzen AMD Athlon Fähnchen und Mainboards von den Ständen der Boardhersteller verschwanden.
Was macht man nicht alles für etwas günstigere Chipsatzpreise...
Bin jedenfalls gespannt was bei den Untersuchungen von AMD und Börsenaufsicht zum Verdacht auf Aktienmanipulation rauskommt.
 
Der Alu Hut kommt erst ins Spiel wenn man die Theorie als Tatsache ansieht. ;)
So ist das nichts anderes als ein nahe liegender Verdacht.
 
Iscaran schrieb:
Dazu der identische USB-Chipsatz Bug mit dem ASmedia Zusatzchip der vermutlich sogar auf MEHR intel Plattformen in Umlauf ist als AMD bislang Promontory überhaupt verkauft hat....
Zum Vergrößern anklicken....
lol

Iscaran schrieb:
Intel hat die seit 2016 bekannten Lücken in der ME bis heute nicht gefixed !
https://de.wikipedia.org/wiki/Intel_Active_Management_Technology
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology#Known_vulnerabilities_and_exploits

siehe Ring3-root kit
siehe Silent Bob is Silent
Zum Vergrößern anklicken....
Jetzt verstehe ich so einiges. Du verwendest Wikipedia tatsächlich als Informationsquelle?

Wie wär's damit und den darin enthaltenenden Links auf Intels Security Advisory?
https://blog.trendmicro.com/trendla...7-5689-intel-management-engine-vulnerability/
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
 
Zuletzt bearbeitet:
noxon schrieb:
lol
Jetzt verstehe ich so einiges. Du verwendest Wikipedia tatsächlich als Informationsquelle?
Zum Vergrößern anklicken....
Und warum nicht ? Welche der Aussagen auf der Wiki ist denn hier nicht korrekt ?

Das die Lücke noch existieren ?
Oder dass man den Exploit der Lücken verhindern kann in dem man bestimmte Netzwerkports lahmlegen lässt ?

Wo steht da wa davon dass INTEL höchstselbst hier einen Patch anbietet.... ?

Wie wär's damit und den darin enthaltenenden Links auf Intels Security Advisory?
https://blog.trendmicro.com/trendla...7-5689-intel-management-engine-vulnerability/
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
Zum Vergrößern anklicken....
Ja danke. Damit wissen wir nun das Silent Bob auch als CVE-2017-5689 bezeichnet wird.

Und was ist die CVE nummer des ring3 root kits ?

Das die von Intel mit SA-00086 bezeichnete Lücke gefixed ist hatte ich aber erwähnt wie du hoffentlich gelesen hast. Und das steht so ebenfalls in der Wikipedia die du so belächelst.
 
Reptoline reicht bei Intel CPUs ab Skylake nicht immer aus, dies betrifft aber AMD eben nicht, das wurde schon öfter in Fachartikeln bei Anandtech, hier und PCGH erörtert, also dehne dieses Problem nicht auf die ZEN Architektur aus, die eine andere ("konserative") Sprungvorhersage hat, als Intel CPUs ab Skylake!
 
Zum Thema man möchte evtl. möglichst performante Patches haben:

Kürzlich bei Phoronix ein Windows vs Linux Spectre/Meltdown Performance breakdown bericht:
https://www.phoronix.com/scan.php?page=article&item=spectre-melt-os&num=2

UND bei Anand:
https://www.anandtech.com/show/12566/analyzing-meltdown-spectre-perf-impact-on-intel-nuc7i7bnh/4

effektiv bleiben ca 0-10% Einbruch für beide Patches zusammen (Spectre/Meltdown) nur bei der Schreibrate ist es mal deutlich mehr (und vermutlich Meltdown only ?).
 
Zuletzt bearbeitet:
DonL_ schrieb:
Reptoline reicht bei Intel CPUs ab Skylake nicht immer aus, dies betrifft aber AMD eben nicht,
Zum Vergrößern anklicken....

Doch das betrifft auch AMD, sonst würden die ja nicht an Microcode-Updates arbeiten.

https://access.redhat.com/articles/3311301

AMD Defaults:
...The correct default values will be set on AMD hardware based on dynamic checks during the boot sequence.

pti=0 ibrs=0 ibpb=1 retp=1 -> fix variant #1 #2 if the microcode update is applied
pti=0 ibrs=2 ibpb=1 retp=1 -> fix variant #1 #2 on older processors that can disable indirect branch prediction without microcode updates
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Intel Core 8th Gen Prozessoren werden ja wegen der Lücken ohnehin in der zweiten Jahreshälfte 2018 neu aufgelegt. Sie werden dabei in ihrer Hardware modifiziert, um sie gegen die vor einiger Zeit unter den Namen "Meltdown" und "Spectre" bekanntgewordenen Schwachstellen zu schützen. Damit hätten dann das leidige Microcode-Update-Problem nur noch AMD bei seinen neusten CPUs.
 
Neuere CPUs werden sicherlich schon mit passenden µcode ausgeliefert werden. Verbleibt einzig das notwendige nachträgliche µcode Patchen für ältere CPUs.
Das übernimmt hoffentlich Microsoft via WU (zusätzlich zur Option via Hersteller BIOSe)
Ergänzung ()

Und wie ich es mir dachte...ein bisschen Suchen in den Tiefen der mailing lists fördert zutage dass man offensichtlich an einer Retpoline_AMD version arbeitet: Datum ist vom 21.3
https://www.systutorials.com/linux-...to-select-spectre-v2-mitigation-linux-4-9-77/

Also offenbar hat man eben eine Prioritätenliste:
1.) Retpoline zum laufen bringen
2.) Retpoline auch auf anderen Intel CPU-Archs patchen wo nötig (Skylake etc.
3.) AMDs spezifische Retpoline mit LFENCE umsetzen (das wirkt dann zurück AFAIK bis Phenom und auch ohne µcode)
4.) AMDs Retpoline um ggf. notwendige Arch-Spezifische Zusätze patchen.
 
Ja aber das ist doch nicht das besagte µCode Update nach dem er verlangt, am besten wie seinerzeit bei der ersten Phenom Generation mit möglichst hohen Auswirkungen auf die Performance damit seine heile anti AMD Welt nicht mehr so ins wanken gerät. Damals waren Software Lösungen bei Linux schließlich auch deutlich performanter.
 
Wird ja immer besser.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz