News Ryzenfall und Co.: AMD kündigt BIOS‑Updates gegen Sicherheitslücken an

[gustlegga]

Könnte man auch die Gegenfrage stellen:
Wieviele von den Leuten, die nicht wie wir Selbstbauer in Foren unterwegs sind, werden wissen dass sie Biosupdates machen sollten.
Ist in etwa das selbe wie bei Meltdown/Spectre. Wobei da noch dazukommt, dass bei den Blauen sich noch die Frage stellt bis zu welcher Generation die Boardpartner überhaupt neue Biosversionen machen aus den Microcodeupdates .

Und bitte.... CTS ist doch eine super Firma...
Hatte den Link und meine Meinung dazu ja schon auf der vorherigen Seite mal geschrieben.
https://www.ctsflaws.com/

 

[HaZweiOh]

Der wichtigste Parameter für die Wahrscheinlichkeit eines Angriffs ist die Zahl der möglichen Opfer, die man erreichen kann (=Marktanteil des Herstellers).

Da rollt auf Intel noch so einiges zu, auch wegen Spectre und Meltdown.

 

[gustlegga]

Da rollt auf Intel noch so einiges zu,....

Was glaubst du warum ich in meinen eigenen PCs seit 1999 nur AMD CPUs verbaut habe?
Nein, aber Spaß beiseite...
Bin auch gespannt wie sich die ganze Thematik mit Lücken direkt in der Hardware die nächste Zeit entwickelt.
Software ist ja mehr oder weniger recht schnell mal gepatcht.
Ich finde ohnehin dass das ganze auch viel zu sehr hochgekocht wird.
Natürlich soll man solche Sachen nicht unterschätzen, aber was man teilweise so an Artikeln *hust*heise*hust*... usw
zu lesen bekam war schon schlimmes Klickbait.
Von den Kommentaren in den Foren von solchen "Experten" von denen ich jetzt keine Namen nennen will mal ganz abgesehen....
oft zum fremdschämen mittlerweile...

 

[Iapetos]

Lücken in Hardware wird es immer geben, so wie es immer Lücken in Software geben wird. Das ist auch gar nicht das Problem.

Das eigentliche Problem ist, dass man als Nutzer mit drei parallel laufenden Betriebssystemen und ihren individuellen Sicherheitsproblemen konfrontiert ist:

• UEFI
• ME/PSP
• Nutzerbetriebssystem

Das sind zwei zu viel. Mit Coreboot/Libreboot lässt sich das UEFI eliminieren, an ME und PSP kommt man zur Zeit nur über Trickserei vorbei. ME lässt sich stark verkrüppeln und beim PSP wird aufgrund der kleineren Marktrelevanz weniger Forschung betrieben.

Die aktuelle Empfehlung kann nur lauten, auf klassische Desktops/Laptops/etc. zu verzichten und Coreboot- oder noch besser Libreboot-Systeme zu benutzen, z. B. ein Chromebook, auf das man eine Linux-Distribution installiert und die ME aushebelt. Oder man kauft ein Laptop von Purism. Oder von Minifree. Oder man nimmt einen Raspberry Pi (demnächst auch mit komplett freiem Bootcode).

Alles andere wäre zumindest halbherzig.

 

[Wadenbeisser]

CTS Labs hat ursprünglich nach Fehlern bei ASMedia Chips gesucht und dann rausgefunden, dass man einige Exploits bei AMD nutzen konnte und dann haben die schlussendlich bei AMD nach Fehlern gesucht. Das so zumindest laut eines Interviews wo es auch hiess, dass "andere PCs ebenfalls Probleme haben können".

Und genau das ist der Kanckpunkt bei der Geschichte.
Sie haben den Bug bei den ASMedia Chips gefunden, aufgrund des Chipsatz Entwurfes von ASMedia für AMD auch bei AMD gesucht, ihn dort ebenfalls gefunden und sich dann ausgekotzt wie schlecht AMD doch sei.
Warum hat diese möchtegern Sicherheitsexperten Firma also nochmal nicht vor ASMedia Chipsätzen gewarnt, welche auf allen Plattformen beheimatet sind, und zusätzlich angegeben das die AM4 Chipsätze ebenfalls betroffen wären?
Warum haben sie also einen kleinen Teilbereich an den Pranger gestellt und nur auf Nachfrage den Rest des Eisberges eingeräumt obwohl dieser das Hauptziel bei den Untersuchungen war? Schon eigenartig, oder?

 

[gustlegga]

Schon eigenartig, oder?

Ob Intel Haifa eventuell Sicherheitsexperten sucht ??
https://jobs.intel.com/ListJobs/All/Country-IL/State-{}/City-Haifa/

Man beißt ja nicht die Hand die einen vielleicht füttern könnte.
Aber neee.... den Aluhut haben ja schon andere auf. ^^

 

[Wadenbeisser]

Wenn dann würde ich eher vermuten das die angeheuerte Marketing Agentur ihre Finger im Spiel hätte.
Das würde zum Zeitpunkt und zur Vorgehensweise und man könnte die Schuld von sich weisen. Getreu dem Motto "wenn man die Fehler nicht zerreden kann zieht man eben den Ruf der Konkurrenz runter".
Es ist ja mehr oder weniger für jeden Bug ein Gegenstück vertreten den Intel die letzten Jahre verzapft hat.

 

[gustlegga]

Der Gedanke an diese Agentur kam mir durchaus auch, als ich bei heise Security (böses Wort...gg) das erste mal davon gelesen hab.
Aber wie gesagt, das ist schon ziemlich Aluhut; Bei Verschwörungstheorien gabs allerdings auch schon Überraschungen. ^^
Ich trau Intel durchaus einiges zu.
Hab das damals auch noch mitbekommen, als Ende der 90er auf der Computex in Taipeh über Nacht die ganzen AMD Athlon Fähnchen und Mainboards von den Ständen der Boardhersteller verschwanden.
Was macht man nicht alles für etwas günstigere Chipsatzpreise...
Bin jedenfalls gespannt was bei den Untersuchungen von AMD und Börsenaufsicht zum Verdacht auf Aktienmanipulation rauskommt.

 

[Wadenbeisser]

Der Alu Hut kommt erst ins Spiel wenn man die Theorie als Tatsache ansieht.
So ist das nichts anderes als ein nahe liegender Verdacht.

 

[noxon]

Dazu der identische USB-Chipsatz Bug mit dem ASmedia Zusatzchip der vermutlich sogar auf MEHR intel Plattformen in Umlauf ist als AMD bislang Promontory überhaupt verkauft hat....

lol

Intel hat die seit 2016 bekannten Lücken in der ME bis heute nicht gefixed !
https://de.wikipedia.org/wiki/Intel_Active_Management_Technology
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology#Known_vulnerabilities_and_exploits

siehe Ring3-root kit
siehe Silent Bob is Silent

Jetzt verstehe ich so einiges. Du verwendest Wikipedia tatsächlich als Informationsquelle?

Wie wär's damit und den darin enthaltenenden Links auf Intels Security Advisory?
https://blog.trendmicro.com/trendla...7-5689-intel-management-engine-vulnerability/
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

 

[gustlegga]

Faszinierend ist auch, das du so Fantastereien ins Spiel bringst, wie das die Hardware schon kompromitiert wird, wenn sie auf dem Weg ist.

Öhhmmm....
https://www.heise.de/newsticker/mel...ost-versandte-US-Netzwerktechnik-2187858.html
https://www.heise.de/newsticker/mel...ueber-manipulierte-Postsendungen-2190470.html
https://arstechnica.com/tech-policy...de-factory-show-cisco-router-getting-implant/

 

[Iscaran]

lol
Jetzt verstehe ich so einiges. Du verwendest Wikipedia tatsächlich als Informationsquelle?

Und warum nicht ? Welche der Aussagen auf der Wiki ist denn hier nicht korrekt ?

Das die Lücke noch existieren ?
Oder dass man den Exploit der Lücken verhindern kann in dem man bestimmte Netzwerkports lahmlegen lässt ?

Wo steht da wa davon dass INTEL höchstselbst hier einen Patch anbietet.... ?

Wie wär's damit und den darin enthaltenenden Links auf Intels Security Advisory?
https://blog.trendmicro.com/trendla...7-5689-intel-management-engine-vulnerability/
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Ja danke. Damit wissen wir nun das Silent Bob auch als CVE-2017-5689 bezeichnet wird.

Und was ist die CVE nummer des ring3 root kits ?

Das die von Intel mit SA-00086 bezeichnete Lücke gefixed ist hatte ich aber erwähnt wie du hoffentlich gelesen hast. Und das steht so ebenfalls in der Wikipedia die du so belächelst.

 

[DonL_]

Reptoline reicht bei Intel CPUs ab Skylake nicht immer aus, dies betrifft aber AMD eben nicht, das wurde schon öfter in Fachartikeln bei Anandtech, hier und PCGH erörtert, also dehne dieses Problem nicht auf die ZEN Architektur aus, die eine andere ("konserative") Sprungvorhersage hat, als Intel CPUs ab Skylake!

 

[Iscaran]

Zum Thema man möchte evtl. möglichst performante Patches haben:

Kürzlich bei Phoronix ein Windows vs Linux Spectre/Meltdown Performance breakdown bericht:
https://www.phoronix.com/scan.php?page=article&item=spectre-melt-os&num=2

UND bei Anand:
https://www.anandtech.com/show/12566/analyzing-meltdown-spectre-perf-impact-on-intel-nuc7i7bnh/4

effektiv bleiben ca 0-10% Einbruch für beide Patches zusammen (Spectre/Meltdown) nur bei der Schreibrate ist es mal deutlich mehr (und vermutlich Meltdown only ?).

 

[kisser]

Reptoline reicht bei Intel CPUs ab Skylake nicht immer aus, dies betrifft aber AMD eben nicht,

Doch das betrifft auch AMD, sonst würden die ja nicht an Microcode-Updates arbeiten.

https://access.redhat.com/articles/3311301

AMD Defaults:
...The correct default values will be set on AMD hardware based on dynamic checks during the boot sequence.

pti=0 ibrs=0 ibpb=1 retp=1 -> fix variant #1 #2 if the microcode update is applied
pti=0 ibrs=2 ibpb=1 retp=1 -> fix variant #1 #2 on older processors that can disable indirect branch prediction without microcode updates

 

[xenon-seven]

Intel Core 8th Gen Prozessoren werden ja wegen der Lücken ohnehin in der zweiten Jahreshälfte 2018 neu aufgelegt. Sie werden dabei in ihrer Hardware modifiziert, um sie gegen die vor einiger Zeit unter den Namen "Meltdown" und "Spectre" bekanntgewordenen Schwachstellen zu schützen. Damit hätten dann das leidige Microcode-Update-Problem nur noch AMD bei seinen neusten CPUs.

 

[Iscaran]

Neuere CPUs werden sicherlich schon mit passenden µcode ausgeliefert werden. Verbleibt einzig das notwendige nachträgliche µcode Patchen für ältere CPUs.
Das übernimmt hoffentlich Microsoft via WU (zusätzlich zur Option via Hersteller BIOSe)

Ergänzung (28. März 2018)

Und wie ich es mir dachte...ein bisschen Suchen in den Tiefen der mailing lists fördert zutage dass man offensichtlich an einer Retpoline_AMD version arbeitet: Datum ist vom 21.3
https://www.systutorials.com/linux-...to-select-spectre-v2-mitigation-linux-4-9-77/

Also offenbar hat man eben eine Prioritätenliste:
1.) Retpoline zum laufen bringen
2.) Retpoline auch auf anderen Intel CPU-Archs patchen wo nötig (Skylake etc.
3.) AMDs spezifische Retpoline mit LFENCE umsetzen (das wirkt dann zurück AFAIK bis Phenom und auch ohne µcode)
4.) AMDs Retpoline um ggf. notwendige Arch-Spezifische Zusätze patchen.

 

[Wadenbeisser]

Ja aber das ist doch nicht das besagte µCode Update nach dem er verlangt, am besten wie seinerzeit bei der ersten Phenom Generation mit möglichst hohen Auswirkungen auf die Performance damit seine heile anti AMD Welt nicht mehr so ins wanken gerät. Damals waren Software Lösungen bei Linux schließlich auch deutlich performanter.

 

[Iscaran]

OMFG:

https://blog.frizk.net/2018/03/total-meltdown.html
https://www.heise.de/security/meldu...erschlimmert-die-Lage-dramatisch-4006862.html

Ein Glück dass AMD nicht von Meltdown betroffen ist und damit auch nicht von dem Patch-Disaster. Soviel zu man kümmert sich eben erstmal um sichere und stabile Patches und übereilt nichts...

 

[aldaric]

Wird ja immer besser.