News Zenbleed: Sicherheitslücke gefährdet Zen-2-Architektur von AMD

usernamehere schrieb:
Ist halt gerade für produktive Epyc-Systeme sowas von inakzeptabel.
epyc hat doch schon das microcode-update bekommen.
 
  • Gefällt mir
Reaktionen: DaToni, aid0nex, emerald und 11 andere
usernamehere schrieb:
Ist halt gerade für produktive Epyc-Systeme sowas von inakzeptabel.
Wo sicher der Patch eher da ist als beim armen Endkunden der seinen 3x00er noch am laufen hat.
 
  • Gefällt mir
Reaktionen: Krazee, Santa Clause und usernamehere
Solche Hardwarenahen"Sicherheitslücken" gab es schon immer und wird es immer geben. Von den Meisten wird nur nie Jemand etwas erfahren, weil sie schlicht nie entdeckt werden.
 
  • Gefällt mir
Reaktionen: LamaTux, EntelodonX, GrenSo und 5 andere
  • Gefällt mir
Reaktionen: CableGuy82
Glück gehabt, ich habe Zen1 und Zen3. Würde mich allerdings schon etwas wundern, wenn etwas ähnliches dann nicht auch in einer der Generationen auftaucht. Dass das nur eine Architekturgeneration betrifft, scheint mir zu gut um wahr zu sein.


stereoprologic schrieb:
Ich nutze Arch, übrigens...
Und trotzdem findest du Zeit, hier zu schreiben? Respekt!😉
 
  • Gefällt mir
Reaktionen: bullit1, rosenholz, Apocalypse und 5 andere
Neodar schrieb:
Das liegt aber nicht an AMD, sondern an den Mainboardherstellern, die teils ewig brauchen um sowas mal in BIOS Updates einzupflegen.
Wobei ich mich ja frage, ob da überhaupt noch großartig BIOS-Updates von den Boardherstellern kommen. Immerhin ist Zen2 die vorletzte Generation und noch AM4, also beides aus Sicht der meisten Boardhersteller quasi EOL.
 
Wie man zu Spectre und Meltdown über Intel gelästert hat. Immer wieder schön zu sehen, dass AMD genauso Mist baut.
 
  • Gefällt mir
Reaktionen: Munkman
Keine Frage, dass Zen 2 für AMD ein großer Wurf war, aber erst mit Zen 3 hat AMD den blauen Riesen die Rücklichter gezeigt.
 
  • Gefällt mir
Reaktionen: IsaacClarke
Solche Lücken sind doch nur bei relevanten Geschäftsgeheimnissen und deren Abläufen oder Staatsgeheimnissen interessant für einen Angreifer. Bei irgendwelchen Normalusern ist doch eh nichts zu holen beziehungsweise gibt es einfachere Methoden diese auszuforschen. Aber ja ist eine Sicherheitslücke muss natürlich erwähnt werden. Sicher ist eh nie drin solange man einen Computer oder Ähnliches verwendet. Eigentlich sind diese Nachrichten vollkommen unbedeutend. Wenn Jemand etwas wirklich wissen will wird es ihm auch gelingen die Information zu beschaffen.
 
  • Gefällt mir
Reaktionen: LamaTux, aid0nex, hans_meiser und 4 andere
Innocience schrieb:
Wie man zu Spectre und Meltdown über Intel gelästert hat. Immer wieder schön zu sehen, dass AMD genauso Mist baut.

wie lange hats gedauert bis man Spectre und Meltdown gefixt hat?

ich denke die kritik war gerechtfertigt
 
  • Gefällt mir
Reaktionen: bullit1, DaToni, hurcos und 18 andere
HardRockDude schrieb:
Wäre sicherlich auch sehr interessant, die gleiche Forschung an SoCs für Smartphones durchzuführen. Wer weiß, was da alles im Argen liegt und für Privatnutzer vielleicht sogar stärkere Auswirkungen hätte...
Finanziert wird diese Arbeit häufig durch die großen Cloud-Anbieter, in diesem Fall Google, da diese natürlich großes Interesse an allen Sicherheitslücken haben, die es erlauben, aus einer virtuellen Maschine auszubrechen.

Das ist deren Brot und Butter, sollte das in der Praxis passieren und sensible Kundendaten abgegriffen werden, könnte das längerfristig Milliardeneinbußen bedeuten, wenn sich Großkunden für die Konkurrenz oder eigenes Hosting entscheiden.

Da ARM seit ein paar Jahren Fahrt in diesem Segment aufnimmt, könnte es auch aus der Ecke in Zukunft mehr Meldungen geben.
 
  • Gefällt mir
Reaktionen: AlphaKaninchen, CableGuy82, HardRockDude und eine weitere Person
Und wie viele Promille von uns Privat-Usern mit Zen 2 werden durch diese Sicherheitslücke dann wirklich geschädigt? Sagen wir mal von 10.000.000 Leuten, die noch Zen 2 einsetzen?

Ohne belastbare Zahlen, kann man ein noch so bedrohliches Möglichkeitsszenario an die Wand malen.
Das bringt mich jetzt nicht in Panik.
Die Wahrscheinlichkeit, wenn ich das nächste Mal aus dem Haus gehe, vom Auto überfahren zu werden, ist vermutlich bedeutend höher.

Das heißt natürlich nicht, dass ich Sicherheitslücken grundsätzlich als irrelevant abtue. Ich installiere auch immer brav meine Updates.
Aber hier reden wir mal wieder von einem Spezialfall eines Spezialfalls. Ohne Evidenz ist das m. E. wenig wert.
Und dementsprechend werden auch noch Updates auf sich warten lassen.

Mein HTPC hat noch Zen 2. Den sollte ich jetzt am besten nicht mehr anmachen, richtig?

Für Cloud-Anbieter , sprich Firmen, ist die Sicherheitslücke freilich relevanter.
 
  • Gefällt mir
Reaktionen: Zocker1996 und Asmodis
leipziger1979 schrieb:
Denn wenn man es eh schon auf das System geschafft hat warum dann einen enormen Aufwand betreiben um irgendwas im RAM/CPU abzugreifen wenn man die Daten gleich direkt abgreifen kann.
Das dachte ich mir auch.
Allerdings wird es interessant wenn man an virtuelle Systeme denkt.
Du hast dir Zugang zu einer VM verschafft, kommst von da aber nicht weiter. Dann könnte man über Zugriff auf RAM/CPU direkt Zugang zum Hypervisor erhalten und damit auch zu den anderen VMs oder sogar zum ganzen Netz.
Das bei Cloud-Diensten wie AWS oder Azure...
Aber ich habe nie was mitbekommen, dass sowas tatsächlich passiert ist.
 
Raptor85 schrieb:
Und wie viele Promille von uns Privat-Usern mit Zen 2 werden durch diese Sicherheitslücke dann wirklich geschädigt? Sagen wir mal von 10.000.000 Leuten, die noch Zen 2 einsetzen?
Noch Zen 2 klingt so, als sei die Architektur uralt und seit Jahren obsolet, aber es werden noch heute Zen 2 Produkte verkauft und wahrscheinlich sogar nach wie vor neue Chips gefertigt.

Das Lowend von AMDs Ryzen 7000 Lineup im Notebook mit der 2 an dritter Stelle (z.B. 7520) basiert nach wie vor auf Zen 2 und das sind neue Produkte mit Erscheinungsdatum 2022/2023.
 
  • Gefällt mir
Reaktionen: idle curiosity, Syagrius, KoKane und 7 andere
Lasst euch Zeit… Ich hab nur 4650g bei Kunden Deployed als opnsense Hardware Appliances
 
t3chn0 schrieb:
Wie war das noch mit dem "Wasser kochen" ?

Ich kann mich noch genau daran erinnern wie hier bestimmt 70% der AMD Boys sich gefeiert haben, dass sie AMD gekauft haben, weil Intel ja so typisch inkompetent ist.

Das hier ein Patch Monate auf sich warten lassen wird, ist gerade bei dieser Schwere; absolut inakzeptabel.
AMD hat doch schon einen Patch....Die Mainboard Hersteller sind am Zug...Dafür kann AMD nix...
 
  • Gefällt mir
Reaktionen: CableGuy82, aragorn92, SSGFrost und eine weitere Person
Mittlerweile gebe es auch ein Microcode-Update, das die Sicherheitslücke schließt.
Fraglich bleibt nun aber, wann dieses auch die Besitzer der anfälligen Systeme erreicht. Hier sind wieder einmal die Mainboard-Hersteller in der Pflicht, entsprechende BIOS-Updates bereitzustellen. Viele Updates sind laut Tom's Hardware erst gegen Ende 2023 zu erwarten.
Dafür ist kein BIOS-Update notwendig, unter linux ist es ganz normal den aktuellen microcode beim Systemstart zu laden ganz egal welchen Stand das BIOS hat.

Bei windows ist es bestimmt auch möglich.
Ergänzung ()

t3chn0 schrieb:
Das hier ein Patch Monate auf sich warten lassen wird, ist gerade bei dieser Schwere; absolut inakzeptabel.
Gibt es nicht schon einen Patch ? Schließlich gibt es ein Microcode Update welches das Problem beheben soll.

Alles andere hängt dann an den Betriebssystemen und/oder Mainboard herstellern.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: CableGuy82, PulsarS und SSGFrost
Zurück
Oben