ComputerBase Menü
Aktuelles

News Spectre: Details zu Microcode-Updates für CPUs von AMD

@rg88: Ja das bedeutet dass die Sicherheit "inkrementell" steigt mit jedem Treiber der tatsächlich gepatcht wird.

Hier kann Microsoft aber Druck auf die Herstellerfirmen ausüben, z.B. über notification-windows etc. auf Userseite.

Und "inkompatibel" heisst ja nicht das das System dann nicht mehr funktioniert sondern nur dass ein Exploit der auf einen bestimmten noch ungefixten Treiber zugeschnitten ist dann immernoch das System kompromittieren kann.
Das ist schon ein Himmelweiter unterschied.

Außerdem kann Microsoft evtl. entsprechende Treiber die keinen "flag" haben, Spectre-gepatched, immer noch gesondert behandeln indem man diese dann z.B. nur über einen IBRS-Prozess ausführen läßt.

Aber das ist alles spekulativ - mal sehen wann die ersten Benchmarks anrollen. Vor allem mit Retpoline vs IBRS patch variante....
Da bin ich mal aus Skylake gespannt vor allem :-)

EDIT: https://www.heise.de/forum/p-31754512/
Spectre v2:
"AMD benutzt im Gegensatz zu Intel keine Adress-"flattening" in der branch prediction. Da immer die volle Adresse genutzt wird bei AMD gibt es nicht die Möglichkeit anhand der bisher gezeigten Methoden, mittels einer vom Hacker kontrollierten Teiladresse die branch prediction auszutricksen und den Rest der Adresse mit Daten anderer Herkunft zu vervollständigen und dann auszulesen. Bisher ist es noch keinem gelungen Daten aus einer vollständigen Adresse auszulesen."

Spectre v1 ist was anderes - aber dagegen hilft nur software mitigation - oder ein völliges deaktivieren der spekulativen ausführung und das betrifft ALLE prozessoren die spekulativ arbeiten. Also eigentlich ALLES siet ca 1995 egal ob Intel, ARM, AMD usw....

Aber die Mitigations gegen Spectre v1 sind "relativ" simpel und effektiv müssen halt aber für jede anfällige Software, vor allem aber Browser, geschlossen werden via Softwarepatch. Firefox, Chrome, Safari sind ja schon gepatched. Firefox seit v57.0.4
 
Zuletzt bearbeitet:
Mr_Tee schrieb:
Damit fliegt MS von der Platte. Seit den letzten Patches von MS schmiert mir die Kiste (Win 10) ständig ab. Erst fing es mit Grafikfehlern an. Spiele starteten nicht oder hatten Glitches. Neuer Treiber von Nvidia, alles gut. Nun schmieren mir die Tabs beim Firefox ständig ab. Also Chrome installiert (FF Update hat nichts gebracht) und ab und zu bekomme ich nun ein Blue Screen den ich bisher noch nie hatte, wtf. Langsam hab ich echt nen Hals und die Kiste wurde erst vor paar Monaten neu aufgesetzt und hat kaum was drauf. Hab nen Core I5 4670, danke Intel & MS. Intel wird seine Lösung durchdrücken und die wird AMD negativ beeinflussen.
Zum Vergrößern anklicken....
Ich hab seit heute ähnliche Probleme, aber mein Grafikkartentreiber war da noch von November. Dachte, meine Graka sei plötzlich hin, aber vielleicht sind es wirklich die Zwangsupdates.
 
DonL_ schrieb:
Dann zeigt ihr AMD "Basher" doch endlich mal einen erfolgreichen Spectre 2 Exploit auf einem AMD System?!

Bis jetzt stimmt AMDs Behauptung einfach, da sie bis jetzt noch nicht angegriffen werden konnten, jedenfalls hat das noch keiner nachvollziehbar geschafft!
Zum Vergrößern anklicken....

Ist doch auch egal, Aussagen ändern sich. Warum verteidigst du eine Industrie, die dich im Ernstfall im Regen stehen lässt, nur wegen den übermäßigen Kosten oder wegen Berufung auf einen Support-Zeitraum, Sicherheit ist nicht gefragt. Alle haben Dreck am Stecken und so wird es immer bleiben! :

... AMD musste nun einräumen, dass seine Hauptprozessoren offenbar doch wesentlich anfälliger für die zweite Variante des Angriffsszenarios Spectre sind (CVE-2017-5715, Branch Target Injection) sind als bislang gedacht. Dies gab AMDs Senior Vice President Mark Papermaster in einer aktualisierten Sicherheitsinformation auf der AMD-Website bekannt.
CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

...

Bis vor kurzem hatte AMD noch erklärt, dass AMD-Prozessoren aufgrund ihrer Architektur ein Risiko nahe Null hätten, von Spectre 2 betroffen zu sein, außerdem sei die Anfälligkeit der Variante 2 auf AMD-Prozessoren nicht nachgewiesen. Doch diese Einschätzung hat sich nun geändert.

AMD spricht mittlerweile davon, dass es die AMD-Prozessorarchitektur "schwierig" mache, die Spectre-Variante 2 auszunutzen ...
Zum Vergrößern anklicken....

JaJa, blablabla ... :D
 
Das "Risiko nahe Null" bei Spectre 2 steht laut AMD immer noch, egal was der Schreiberling von heise da reininterpretiert/falsch übersetzt.
 
Ach komm, ist mir eigentlich auch egal, aber trotzdem:

Zuerst steht:
...
Differences in AMD architecture mean there is a near zero risk of exploitation of this variant. Vulnerability to Variant 2 has not been demonstrated on AMD processors to date.
...
Zum Vergrößern anklicken....

Im Update vom 1/11/2018:
...
While we believe that AMD’s processor architectures make it difficult to exploit Variant 2
...
Zum Vergrößern anklicken....

https://www.amd.com/en/corporate/speculative-execution

Man kann sich vieles schön reden, das macht es leichter es zu ertragen, aber nicht besser :D .
 
Naja, also die Herren haben 6 Monate versucht den Exploit auf AMD durchzuführen und sind gescheitert. Ich glaube da ist nichts mit schönreden, sondern einfach Architekturbedingt deutlich schwieriger. Theoretisch gehts, praktisch bisher nicht anwendbar.
 
Zuletzt bearbeitet:
Es ist mühsam Benutzer eines Systems vom Negativen zu überzeugen, was aber ganz natürlich ist,
denn dann entfällt ja das berühmte "ätsch, ich bin sauber", "ich habe früher alles richtig gemacht", "ich habs doch immer schon gewusst" usw.

Was mich aber besonders an den ganzen Betrügereien der Unternehmen missfällt, ist, das Unternehmen auf Kosten der Benutzer dann sogar unter Mithilfe der Regierung in z.B. Deutschland dann 2x Gewinne machen und der Benutzer auch noch den Schaden zahlt.
Als Dank werden dann noch Mitarbeiter entlassen, im schlimmsten Fall.

Die von AMD können spectre 2 sicher ausnutzen, aber veröffentlichen es sicherlich nicht.
Es heißt "schwierig gestalten" und nicht es ist unmöglich oder sehr schwierig.
Woher sollte AMD denn wissen, dass es nur schwierig ist.
Es ist nur eine Frage der Zeit, ihr erinnert euch, bei Intel ca. 20 Jahre.
Und spectre 2 auf Intel auszunutzen ist in freier Wildbahn auch kein Kinderspiel, wie man hört, und um das geht es doch.

Dafür das AMD gegen spectre 2 "sicher" sein soll, kümmern die sich aber "sehr" um die Update, so wie es scheint?

...
GPZ Variant 2 (Branch Target Injection oder Spectre) betrifft auch AMD Prozessoren.

Auch wenn wir der Meinung sind, dass die Prozessorarchitekturen von AMD die Ausnutzung von „Variant 2“ schwierig gestalten, arbeiten wir in der Branche weiterhin eng im Hinblick auf diese Bedrohung zusammen. Durch eine Kombination aus Prozessor-Microcode-Updates und BS-Patches haben wir zusätzliche Schritte festgelegt, die wir Kunden und Partnern von AMD an die Hand geben werden, um dieser Bedrohung zu begegnen.
AMD wird den Kunden und Partnern ab dieser Woche optionale Microcode-Updates für Ryzen und EPYC Prozessoren zur Verfügung stellen. Wir gehen davon aus, dass wir in den kommenden Wochen Updates für vorherige Produktgenerationen bereitstellen können. Diese Software-Updates werden von den System- und BS-Anbietern bereitgestellt. Bitte wenden Sie sich an Ihren Anbieter, um die neuesten Informationen zu den verfügbaren Optionen für Ihre Konfiguration und Ihre Anforderungen zu erfahren.
Linux-Anbieter haben bereits mit der Bereitstellung von BS-Patches für AMD Systeme begonnen und wir arbeiten im Hinblick auf den Zeitplan für die Bereitstellung der Microsoft-Patches eng mit Microsoft zusammen. Darüber hinaus arbeiten wir mit der Linux-Community eng an der Entwicklung der Software-Entschärfungsmaßnahme „Return Trampoline“ (Retpoline) zusammen.
...
Zum Vergrößern anklicken....

Hier ist übrigens eine deutsche AMD-Übersetzung:
https://www.amd.com/de/corporate/speculative-execution
 
Zuletzt bearbeitet:
Bisserl mehr in die Materie einlesen bevor Du hier mit "Wissen" prahlst. Die von AMD vorbereiteten Microcode Updates rüsten nur die zusätzlichen Befehle nach die Microsoft zum Umgehen von Spectre benötigt. Unter Linux sind diese dank Retpoline flüssiger als Wasser - überflüssig.
 
Denniss, du bist ja ein Witzbold, das ist doch der Sinn auch bei Intel, die Microcode-Updates rüsten CPU-Befehle nach, damit das BS damit umgehen kann :D .

Hier, seit ein paar Beiträgen, geht um AMD, nicht um Linux und retpoline.
 
Na gut kisser, dann zeig uns mal eine bestätigte Quelle wo der Spectre V2 auf einem AMD System erfolgreich durchgeführt wurde.
 
Du hast doch behauptet, es wäre 6 Monate erfolglos versucht werden und für diese Behauptung hast du doch sicher einen Beleg? Aber wohl eher nicht. Wieso sollte also ICH hier irgendetwas zeigen?
 
Aldaric87 schrieb:
Na gut kisser, dann zeig uns mal eine bestätigte Quelle wo der Spectre V2 auf einem AMD System erfolgreich durchgeführt wurde.
Zum Vergrößern anklicken....

Es geht vielmehr um deine Behauptung man hätte sich bereits monatelang die Zähne drauf ausgebissen. Das offizielle Dokument spricht da eine andere Sprache und geht auf die Unterschiede zwischen V1 und V2 nicht einmal ein.

Hardware.
We have empirically verified the vulnerability of several Intel processors to Spectre attacks, including
Ivy Bridge, Haswell and Skylake based processors. We have also verified the attack’s applicability to AMD Ryzen CPUs. Finally, we have also successfully mounted Spectre attacks on several Samsung and Qualcomm processors (which use an ARM architecture) found in popular mobile phones.
...
Unlike Meltdown, the Spectre attack works on nonIntel processors, including AMD and ARM processors. Furthermore, the KAISER patch [19], which has been widely applied as a mitigation to the Meltdown attack, does not protect against Spectre.
...
Experiments were performed on multiple x86 processor architectures, including Intel Ivy Bridge (i7-3630QM), Intel Haswell (i7-4650U), Intel Skylake (unspecified Xeon on Google Cloud), and AMD Ryzen. The Spectre vulnerability was observed on all of these CPUs. Similar results were observed on both 32- and 64-bit modes, and both Linux and Windows.
Zum Vergrößern anklicken....

Die wichtigste Aussage aus diesem Dokument ist jedoch diese.
As the attack involves currently-undocumented hardware effects, exploitability of a given software program may vary among processors. For example, some indirect branch redirection tests worked on Skylake but not on Haswell. AMD states that its Ryzen processors have “an artificial intelligence neural network that learns to predict what future pathway an application will take based
on past runs” [3, 5], implying even more complex speculative behavior. As a result, while the stop-gap coun-termeasures described in the previous section may help limit practical exploits in the short term, there is currently no way to know whether a particular code construction is, or is not, safe across today’s processors – much less future designs.
Zum Vergrößern anklicken....

Deshalb lautet auch die offizielle Aussage von AMD, dass Spectre auf deren Prozessoren schwierig anzuwenden sei. Nur eine Sicherheit ist das nicht, auch wenn derzeit noch kein POC dafür existiert.
 
Zuletzt bearbeitet:
@kisser:
Du stellst immer Beiträge anderer Nutzer in Frage, dann solltest du das wenigstens mit Quellen unterlegen. Ich sehe im Internet keine Aussage darüber das der Exploit auf AMD Prozessoren erfolgreich durchgeführt wurde (PoC).
 
Zuletzt bearbeitet:
kisser schrieb:
Du hast doch behauptet, es wäre 6 Monate erfolglos versucht werden und für diese Behauptung hast du doch sicher einen Beleg? Aber wohl eher nicht. Wieso sollte also ICH hier irgendetwas zeigen?
Zum Vergrößern anklicken....

Wie soll er zeigen, dass etwas NICHT geht. Das weißt du ganz genau
 
rg88 schrieb:
Wie soll er zeigen, dass etwas NICHT geht. Das weißt du ganz genau
Zum Vergrößern anklicken....

Er soll nur zeigen, dass es jemand 6 Monate lang erfolglos versucht hat! Die Forschergruppe hat es jedenfalls nicht getan und AMD sagt letztlich auch nur, dass es ihrer Meinung nach schwierig ist.

Das plötzliche Umdenken von AMD bei ihrer offiziellen Aussage, kann entweder gar nichts bedeuten oder dass man doch einen Weg fand.

Mit Sicherheit können wir jedoch sagen, dass nach dem Bekanntwerden dieser Lücken sich nicht "nur" 10 Forscher damit beschäftigt haben und die meisten davon werden ihre Ergebnisse nicht öffentlich präsentieren.
 
Zuletzt bearbeitet:
Die Lücke besteht potentiell bei jeder CPU die nach diesem Prinzip arbeitet. Das ist der springende Punkt. Aber ob man es auch schafft die auszunutzen ist was anderes.
 
Also bevor hier jemand Nachweise von Aldaric verlangt, bin ich dran... er meinte im anderen Thread ja auch, dass Meltdown nur mit Microcode zu patchen sei ;-)

Aber um es nochmal anders zu sagen: Man weiß es bzgl AMD schlicht nicht... ja es gab keine Exploits, man weiß aber nicht wieviel hier probiert wurde... AMD hat im Enterprise Markt nun mal kaum Marktanteile, daher wurde sich primär um Intel gekümmert... Daraus zu schlussfolgern, dass man sich an AMD die Zähne ausgebissen hat, ist in etwa so sinnig, wie zu sagen, der 1. FC St. Pauli sei besser als der FC Bayern... haben sie ja immerhin mal besiegt...

Was aber natürlich auf einem anderen Blatt steht, und die gesamte Industrie betrifft: Seit Juli ist es bekannt (Meltdown war ja quasi schon vorher bekannt), bis Dezember hat da keiner was auf die Reihe bekommen... sprich, man weiß nicht so wirklich, was da eigtl abgeht... dann wird ein Update rausgehauen... und mittlerweile (soweit ich das überblicke) KOMPLETT zurückgezogen... Dass es da keinen größeren Aufschrei gibt finde ich schon krass... stand jetzt sind alle mit unsicheren System unterwegs.... Allerdings soll Spectre ja auch nicht so leicht auzunutzen sein...
 
Oh schön das du einen Link hier hinklatschst von einem meiner Posts. Ich habe mich diesbezüglich geirrt gehabt, haben auch Leute geschrieben. Mea culpa. Es hieß lange in den Meltdown News, dass Skylake + neuere CPU's erst mit Microcode-Update sicher seien gegen Meltdown, da der Meltdown Fix von Windows nicht aktiv war. Da ich keine Skylake+ CPU besitze habe ich dort den weiteren Verlauf dementsprechend nicht verfolgt.

Aber schön das dir das so wichtig war, dass du den Post nochmal rausgesucht hast. Ein Strohhalm brauch jeder mal, gelle DFFVB?
 
Zuletzt bearbeitet:
Aldaric87 schrieb:
Es hieß lange in den Meltdown News, dass Skylake + neuere CPU's erst mit Microcode-Update sicher seien gegen Meltdown, da der Meltdown Fix von Windows nicht aktiv war.
Zum Vergrößern anklicken....
Da hast du wohl eher was falsch verstanden - und ich habe auch das Gefühl dir fehlt der Detailgrad um die Problematik hinter der Ausnutzbarkeit der Lücken zu verstehen.

Fakt ist meiner Meinung nach aktuell nur folgendes: Das Ausnutzen von Spectre Variante 2 ist sowohl bei Intel als auch AMD möglich - jedoch sind nur für Intel-CPUs Exploits öffentlich verfügbar. Alles andere ist aus meiner Sicht eine grüne Fanboy-Brille...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Steffen
News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs
192 193 194
Antworten
3.864
Aufrufe
555.926
vander
V

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz