News „Spectre Next Generation“: Acht neue CPU-Lücken sollen gefunden worden sein

[donend]

Bei Intel wird einfach direkt ausgeführt was der Predictor spekulativ meint gut zu sein....und hinterher kann man den Scherbenhauen eben nicht mehr kitten.

Danke für die Hyperlinks.

Ich denke ich belasse es dabei. Rein als Empfehlung das Whitepaper, in dem AMD empfiehlt IBPB zu nutzen (soweit es einen betrifft), da andere Befehle wie IBRS und STIBP die Performance der CPU "unzweckmäßig" (so AMDs Wortwahl) beeinflussen können.

Hier nochmals ein anderer Link: https://support.microsoft.com/en-us...ive-execution-side-channel-vulnerabilities-in

Leider läuft vieles der Hersteller (IHVs) auch ins Leere, weil Microsoft diesbezüglich auch Bugs in W10 findet (mal als Beispiel ASLR anfangs des Jahres was "Mechanismen" aushebelte). Daher hat sich imo auch der April Patchday vom 10. offiziell auf ein späteres Datum verschoben. Wichtig ist, wenn es verfügbar ist das neuste Bios aufzuspielen.

Danke an die Redaktion für die Updatemeldung das AMD gleichfalls prüft, schnell reagiert.

 

[Alexus6677]

Wie kann man nur denken, von den Bugs nicht betroffen zu sein?! Jedes Rechenzentrum nutzt doch anfällige CPUs (generell Vorhersage.. da kommt bestimmt noch mehr)... jeder Arzt, die Krankenkasse, Schufa, Bank, Uni einfach alles speichert Daten und verarbeitet diese. Wenn ich (als böswilliger Prozess) aber in diese Bereichen der CPU Dinge lesen oder sogar ausführen kann, die ich niemals hätte sehen dürfen, dann ist doch Missbrauch Tür und Tor geöffnet. Die Konsequenzen sind doch für jeden Menschen eine totale Katastrophe. Hoffentlich wird auf Security bei der kompletten Überarbeitung der Sprungvorhersage diesmal Wert gelegt. Ungeachtet davon hofffe ich natürlich, dass es AMD nicht erwischt und die Marktanteile angeglichen werden können.

 

[MC´s]

Das schöne digitale Leben, irgendwie doch schön das nix wirklich sicher ist, auch wenn sie es uns als sicher verkaufen wollen.

 

[AYAlf]

Ich hab es immer gewusst, eigentlich ist AMD schon immer 10% vor Intel. Nur Intel hat halt alle Sicherheit sausen lassen um die Hardwarekrone zu bekommen.


Es leben die Balken. Je länger um so besser.

 

[Vendetta]

nun die preisfrage. wird die performance durch patches gegen die neuen 8 sicherheitslücken weiter fallen bei intel oder nicht ?!?

Das einzige was sicher ist, ist dass sie nicht steigen wird.

Das Problem ist, dass diese Patches die CPUs prediction weiter beschneiden werden und damit die Fähigkeit Daten in "weiser Voraussicht" zu speichern bevor sie abgerufen werden. In Spielen wird das weniger ein Problem, da diese bekanntlich recht unberechenbar sind, am Ende des Tages wird sich also nicht viel ändern: 8700K bleibt die stärkste Gaming-CPU und 2700X bleibt die stärkste(leistbare) Arbeits-CPU. Hart treffen wirds wieder mal den Serversektor, speziell Cloud Services und natürlich auch Spielserver, das ist natürlich die Gelegenheit für AMD hier ordentlich Reibach zu machen und endlich intel ein paar wertvolle Anteile wegzuschnappen.

Ich hab es immer gewusst, eigentlich ist AMD schon immer 10% vor Intel. Nur Intel hat halt alle Sicherheit sausen lassen um die Hardwarekrone zu bekommen.

Das ist Unsinn, intels CPUs haben eben einen anderen Ansatz verfolgt und diesen perfektioniert, dieser hat ihnen auch für Jahre einen gewaltigen Rechenvorteil beschert, diese Stärke wird jetzt eben für Angreifer eine Schwachstelle um Daten auszulesen.

Ob intel über die Risiken Bescheid wusste oder nicht, kann man schwer sagen, die Lücke gibts ja schon seit 10+ Jahren, vielleicht wusste intel davon und hoffte, dass sie Niemand ausnutzt, vielleicht wussten sie aber, wie offenbar der Rest der Welt bis vor 10 Jahren auch nichts davon.

 

[Zotac2012]

Ich hab es immer gewusst, eigentlich ist AMD schon immer 10% vor Intel. Nur Intel hat halt alle Sicherheit sausen lassen um die Hardwarekrone zu bekommen.

Es leben die Balken. Je länger um so besser.

Sich beschweren wegen der Balken, dann aber ein Intel System mit einer Intel CPU nutzen! Wenn Du es doch immer gewußt hast, warum hast Du dann nicht einem AMD Prozessor gekauft?

 

[Schrotti]

Das ist doch alles nur Panikmache.

 

[conspectumortis]

Irgendwie verstehe ich nicht wie manche menschen ticken.
Sie installieren sich firewalls, virenscanner usw, aber bei so einem wichtigen thema verschliessen sie die augen.

Ich warte noch mit dem kauf eines neuen rechners. Was für einen ich mir letztendlich kaufe hängt davon ab, ob er sicher und dabei eventuell leistungsfähiger ist.

Dann kommt doch erstmal nur ne neue graka her. Auch nicht schlimm

 

[engine]

Panikmache hin oder her, aber das möchte ich dann selber entscheiden.
Wenn aber cloud-Anbieter besonders gefährdet sind, trifft das mein System, welches viel sicherer als jedes cloud-System ist, indirekt.
Es trifft unsere Daten-Gesellschaft genau dort, wo es am meisten schmerzt, nämlich dort, wo Daten vermeintlich sicher abgelegt werden, dabei war das noch nie sicher. Jetzt heißt es dann, wieder lokal sichern.
Eigentlich gar nicht mal so schlecht, wenn ein neues Sicherheitsbewusstsein Einzug hält, dann gehen vielleicht einige etwas sensibler mit Daten um, wenn statt früher heimliche Datendiebe am Werk waren, jetzt richtige Verbrecher dran sind, die Sicherheitslücken ausnutzen.

 

[mambokurt]

Nein, braucht man weder noch. Hast du dich mal mit den Lücken beschäftigt? Z.B. https://nvd.nist.gov/vuln/detail/CVE-2018-8932

Attack Vector (AV): Network

Privileges Required (PR): None

https://blog.trailofbits.com/2018/03/15/amd-flaws-technical-summary/
(aus deiner Quelle)

All exploits require the ability to run an executable as admin (no physical access is required)
MASTERKEY additionally requires issuing a BIOS update + reboot

Da steht Network als Vector sobald du das von der Ferne über eine Remote Console machen kannst. Zusätzlich brauchst du aber noch Adminrechte. Heißt du musst dir erstmal Zugang zum System verschaffen (über eine andere Sicherheitslücke) und eine Remote Console mit Adminrechten laufen haben. Wie andere schon schrieben: wenn du so weit bist können dir die Ryzenfall und Chimera und *bunten Namen hier einfügen* schon wieder völlig egal sein, dann gehört die Kiste quasi schon dir.

 

[Ctrl]

die meisten Beiträge hier sind absolut hirnlos und verbittert.. das macht mir Angst..

 

[Alexus6677]

@Ctrl verstehe auch nicht wie man sich da über Performance in Spielen streiten kann.
Wenn irgendwelche Trottel aus Spaß bei der Schufa die Kreditwürdigkeit auf 0 setzen, weil sie dank der großartigen Vernetzung heutzutage in Verbindung mit dieser Art von Angriffen (das wird bestimmt nicht das letzte Problem mit der spekulativen Ausführung sein) einfachen Zugang zu den Systemen bekommen, dann ist das doch gruselig.

 

[Krautmaster]

die meisten Beiträge hier sind absolut hirnlos und verbittert.. das macht mir Angst..

haha true. Auf jeden Fall mehr Angst als irgendwelche potentiellen Lücken in der CPU meines Privatrechners.

 

[Unnu]

Als Privatanwender neige ich dazu zu resignieren und mich an den Gedanken zu gewöhnen, dass mein PC und die darauf gespeicherten Daten niemals sicher sein werden. Damit muss ich mich halt irgendwie darauf einrichten.

Ahem, jetzt erst?
Also mal davon abgesehen, dass es in der guten alten Zeit so hübsche Sachen wie Telnet, rsh und anderes gab, sollte man sich immer bewusst sein, dass es digital, so wie wir es jetzt sehen, erst seit gut 30 Jahren gibt.
Das Ganze ist nach wie vor in den Kinderschuhen.
Und ist entsprechend experimentell.

Mittlerweile - oder auch seit längerem - je nach Lesart werden kritische Systeme ja komplett isoliert. Also nur direkter Zugang. Nix Ethernet.
Und wirklich wichtige Dokumente sind wieder analog abgelegt bzw. gar nicht erst digitalisiert.
Denn für die angesprochenen Gruppen ist digital - noch - eine Hochrisiko-Technologie.
Auch wenn manche darauf angewiesen sind.

 

[engine]

die meisten Beiträge hier sind absolut hirnlos und verbittert.. das macht mir Angst..

Bei uns regnet es und die Sonne scheint nicht.
Ich warte immer noch auf den Bus.

 

[werpu]

https://blog.trailofbits.com/2018/03/15/amd-flaws-technical-summary/
(aus deiner Quelle)


Da steht Network als Vector sobald du das von der Ferne über eine Remote Console machen kannst. Zusätzlich brauchst du aber noch Adminrechte. Heißt du musst dir erstmal Zugang zum System verschaffen (über eine andere Sicherheitslücke) und eine Remote Console mit Adminrechten laufen haben. Wie andere schon schrieben: wenn du so weit bist können dir die Ryzenfall und Chimera und *bunten Namen hier einfügen* schon wieder völlig egal sein, dann gehört die Kiste quasi schon dir.

Man kanns auf den Punkt bringen, Sicherheitslücke ist: Ein lokaler Admin darf auf der Kiste alles ....

 

[Discovery_1]

Mir geht es hier nicht um die "potentiellen Lücken" in der CPU, sondern wie stark die Leistungseinbußen meines Systems sein werden, wenn die ganzen Lücken durch Sicherheitsupdates gestopft werden (sofern es denn wirklich zu Leistungseinbußen kommen sollte).

 

[werpu]

Mir geht es hier nicht um die "potentiellen Lücken" in der CPU, sondern wie stark die Leistungseinbußen meines Systems sein werden, wenn die ganzen Lücken durch Sicherheitsupdates gestopft werden (sofern es denn wirklich zu Leistungseinbußen kommen sollte).

Derzeit stehts etwa so
Intel 10% (weniger bei Games mehr bei extremen IO) : AMD 0.0-0.-1%....

Das kann sich je nachdem wieviele Lücken wo noch gefunden werden natürlich ändern.
Aber die 10% bei Intel haben die Webhoster und Cloudanbieter ziemlich hart getroffen.

 

[drckeberger]

Von wegen PR-Gau für Intel. Bisher hat sich das ganze Thema doch auch nicht groß ausgewirkt. Im Gegenteil. Trotz der Lücken und der erstarkten AMD Konkurrenz präsentiert Intel weiterhin Rekordzahlen. Ein Lerneffekt setzt bei der Kundschaft also offenbar nicht wirklich ein.

So ein Quatsch. Die tatsächlich gefährdeten Unternehmen haben sich über Jahre per Wartungsverträge an Intel gebunden. So schnell/leicht kommt man aus den Verträgen nicht raus, vor Allem wenn's dabei um die Kernkompetenzen mancher Unternehmen geht.

Auf zukünftige Zahlen wird das sehr wohl Einfluss haben.

 

[MK one]

haha true. Auf jeden Fall mehr Angst als irgendwelche potentiellen Lücken in der CPU meines Privatrechners.

ziemlich kurzsichtige Sichtweise , du hättest recht wenn Intel nur dir allein ne CPU verkauft hätte , aber ist dem tatsächlich so ?
Auf wen glaubst du , werden die Kosten von Umrüstungen in sicherheitssensitiven Bereichen bei Unternehmen umgelegt ( sollten die Lücken sich tatsächlich als generelles Intel Hardware Problem erweisen und Patches diese nur unzureichend bzw vorübergehend stopfen ) .
Auf den Kunden , oder ? so war s in der Vergangenheit , so wird s in der Zukunft sein ...
Nur weil die Server CPU Xenon und nicht Syklake -X oder Coffeelake heißt , heißt das nicht das diese nicht dieselbe angreifbare Sprungvorhersage besitzen ...
Es gab mal nen Virus/ Malware da stand dann " Überweisen sie XXXXX Bitcoin oder wir legen ihren Rechner lahm und löschen alle Daten " , nen krimineller Hacker der es schafft sich die Spectre Lücken bei Intel zunutze zu machen , kann sich ne goldene Nase verdienen ( sofern er sich die richtigen Opfer aussucht) .
Auch im og. Fall wurde recht häufig Geld überwiesen , sei s um die Daten auf dem Rechner zu erhalten , sei s um zeitaufwendige Produktionsausfälle zu vermeiden , bekannt wurde davon aus PR Gründen selbstverständlich recht wenig .