News Zenbleed: Sicherheitslücke gefährdet Zen-2-Architektur von AMD
- Ersteller coffee4free
- Erstellt am
- Zur News: Zenbleed: Sicherheitslücke gefährdet Zen-2-Architektur von AMD
Naja, ich bezweifle, dass der Großteil der User extra airgapped Systeme für ihre sensiblen Daten haben[wege]mini schrieb:
Von dem her finde ich eine Lücke, die in der Lage ist, jede Form von Sandbox in gewissen Aspekten auszuhebeln durchaus auch für Privatanwender relevant.
Klar wird sich kein Hacker die Mühe machen, manuell bei Lieschen Meier einzubrechen. Aber wer sagt denn, dass der Angrirff nicht auch automatisiert bei Besuch einer präparierten Webseite durchgeführt werden kann?
Dass dafür bisher kein PoC veröffentlicht wurde KANN man als gutes Zeichen werten, ein 'grünes Licht' ist es aber sicher nicht.
Klar ist unnötige Panikmache genauso wenig angebracht, aber das Verharmlosen finde ich ebenso ungut.
Was aber primär am 'ist vorinstalliert' liegt.scryed schrieb:
Setze die Milliarden vor eine Linux-Kiste und sie werden tendenziell weniger Probleme haben (wenn sich nicht schon durch vorherige Windows-Erfahrungen wie z.b. das Runterladen von windigen Installern versaut wurden!). Für den normalen, unbedarften Anwender nehmen sich Windows und Linux nichts, in vielen Bereichen (Einstellungen, Installation von Software) würde ich sogar sagen, dass die meisten Linux-Distro da einen leichten Vorsprung haben...
Aber da du keinen 'Doktor' hast glaubst du mir das jetzt sicherlich sowieso nicht, ne?
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.898
RobZ- schrieb:
Ich glaube, du unterschätzt, wie motiviert Kriminelle sind, solche Sicherheitslücken zu finden und auszunutzen. Die werden da wesentlich mehr Zeit und Energie rein stecken, als die paar Sicherheitsexperten. Einfach, weil sie sehr viel mehr daran verdienen können.
Ich befürchte, in allen modernen CPUs, Betriebssystemen und sonstigen, komplexen und sicherheitsrelevanten Systemen, sind etliche kritische Sicherheitslücken, von denen noch kein Sicherheitsexperte etwas weiß oder veröffentlicht hat, aber die schon lange von bestimmten Kriminellen (oder auch Geheimdiensten) aktiv ausgenutzt werden.
Wir sollten uns also eher über solche Meldungen freuen statt ärgern. Eine Lücke weniger, die (demnächst) auf Systemen, die ordentlich gepflegt werden, nicht mehr genutzt werden kann.
Paladin-HH
Ensign
- Registriert
- Okt. 2005
- Beiträge
- 224
Der Patch ist doch schon da, AMD kann ja keine BIOS-Updates für Asus, MSI etc. rausbringen…t3chn0 schrieb:
- Registriert
- Jan. 2018
- Beiträge
- 19.284
OT: die anderen Autofahrer konnte ich schlecht davon abhalten, mir nicht hinten raufzufahren.[wege]mini schrieb:
Und ja, auf einer Abbiegespur oder an einer roten Ampel kann man nichts mehr machen. Wenn der denn von seiner Spur abkommt oder die Autokolonne vor sich über sieht
Ergänzung ()
Das lässt sich nicht vermeiden.Herdware schrieb:
Der WDR Computerclub hatte bei ein paar hundert oder tausend Zeilen Code auch nen kleinen Fehler, der sich eingeschlichen hatte.
Und heutige Betriebssysteme etc. sind ja wesentlich umfangreicher, als Software aus den 90ern.
![[wege]mini](https://pics.computerbase.de/forum/avatars/m/778/778975.jpg?1575883542){kind=avatar}
[wege]mini
Banned
- Registriert
- Juli 2018
- Beiträge
- 8.357
Termy schrieb:
Leider wahr.
Ich benutze z.B. ein Notebook zum Gamen (läuft über mein Alter Ego auf den Bahamas) ein System im kompletten Offlinezustand für wichtige Abrechnungen, 2 Telefone, kein Internetbanking und extrem viele Email Adressen.
Die Menschen, die mich persönlich nicht kennen, die mit mir Geschäftlich zu tun haben, denken z.B. aufgrund meiner persönlichen Email Adresse, ich wäre Australier. Die wundern sich dann immer, warum ich so gut deutsch spreche.
andi_sco schrieb:
So lange du eine Knautschzone um dich rum hast, ist doch alles i.O. Dafür wurde sie erfunden. Vorbeugen, nicht auf die Schuhe kotzen.
mfg
emerald
Lt. Junior Grade
- Registriert
- Dez. 2004
- Beiträge
- 278
Ich sehe da keinen Fix...LochinSocke schrieb:
Ergänzend, gemäß https://en.wikichip.org/wiki/amd/cpuid#Family_23_.2817h.29 :
Microcode patches in microcode_amd_fam17h.bin:
Family=0x17 Model=0x08 Stepping=0x02: Patch=0x0800820d < Zen+: Colfax, Pinnacle Ridge
Family=0x17 Model=0x31 Stepping=0x00: Patch=0x0830107a < Zen2: Rome, Castle Peak
Family=0x17 Model=0xa0 Stepping=0x00: Patch=0x08a00008 < Zen2: Mendocino
Family=0x17 Model=0x01 Stepping=0x02: Patch=0x0800126e < Zen: Naples, Whitehaven, Summit Ridge, Snowy Owl
Zuletzt bearbeitet:
PegasusHunter
Lt. Commander
- Registriert
- März 2004
- Beiträge
- 1.371
BlueLightning
Ensign
- Registriert
- Feb. 2018
- Beiträge
- 140
Wow. Mit diesem kurzen Beitrag hast Du bewiesen, dass Du überhaupt nichts von IT-Sicherheit verstehst.RobZ- schrieb:
Das wichtigste Prinzip ist es, Sicherheit nicht durch Verschleierung ("Security through obscurity") zu erlangen, sondern Fehler bei Erkennung verantwortungsvoll offenzulegen (responsible disclosure), damit diese nicht im Hintergrund munter von findigen Kriminellen genutzt werden.
Das ist das kerckhoffs'sche Prinzip, dass bereits 1883 veröffentlicht wurde und in Kryptographie und IT-Sicherheit quasi Gesetz ist.
Paladin-HH schrieb:
Nein er ist nicht da. Es gibt nur für die EPYC Serie einen entsprechenden Fix. Für alles andere existiert kein Update. Das wurde bereits mehrfach verlinkt: https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html
Und die Links mit dem angeblichen Fix ist nur für die Epyc.
- Registriert
- Okt. 2020
- Beiträge
- 427
Es kommt auf die Details drauf an.LochinSocke schrieb:
Diese AMD microcode update haben Arch, Debian und andere ebenfalls schon veröffentlicht, aber darin ist nur der Epyc Server microcode gefixed.
Nachtrag: Bei Debian ist das auch entsprechend dokumentiert https://security-tracker.debian.org/tracker/CVE-2023-20593
Auf einer Kiste mit Zen2 5700U CPU (family: 0x17, model: 0x68, stepping: 0x1) funktioniert der zenbleed PoC bei mir aber auch mit neuestem microcode noch (amd-microcode version 3.20230719.1~deb12u1, CPU patch_level=0x08608102). Schutz bietet hier wohl erst das Linux Kernel update, auf das ich bei Debian Bookworm noch warte
Auf meinem Spiele-Rechner mit Arch läuft schon der aktualisierte Linux kernel. Allerdings habe ich da eine Zen3 5600X CPU, die nicht betroffen ist, was sich mit dem PoC auch leicht testen lässt.
Zuletzt bearbeitet:
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.898
Weyoun schrieb:
Das Debakel von P4/Netburst (und Pentium Pro?) hat aber auch gezeigt, was fehlende, oder zu schlechte, spekulative Befehlsausführung bedeuten kann.
Abseits von den simpelsten Low-Power-CPUs, kommt man um solche Features wohl einfach nicht herum. Trotz der Sicherheitsrisiken, die sie mitbringen.
Vielleicht könnte man spezielle Hochsicherheits-CPUs ohne Sprungvorhersage für kritische Anwendungen (Cloud-Server usw.) entwickeln. Aber halt auf Kosten von Leistung und Effizienz.
Ripcord
Lt. Commander
- Registriert
- Dez. 2013
- Beiträge
- 1.356
Scheint alles nicht so wild zu sein. Noch hat Lisa Su keine ihrer Aktien verkauftt3chn0 schrieb:
Immerhin hat es lange genug gedauert bis die Intel Boys nun endlich auch mal Luftsprünge machen dürfen. Ich vermute aber mal, sie sollten sicht daran gewöhnen und können daher weiterhin nur von den strammen Waden der AMD Boys träumen.
H
HierGibtsNichts
Gast
Weil Linux trotz viele Verbesserungen und Veränderungen für Gaming immernoch nicht Alltagstauglich für sämtliche Spiele.LochinSocke schrieb:
