Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Casurin schrieb:
Meltdown - die intel-spezifische Sicherheitslücke - wurde bereits mit dem Holzhammer geschlossen. Das ging Softwareseitig und ist dadurch schnell zu implementieren, dafür aber auch die schlechtest mögliche Leistung (und trozdem im normalfall < 5%).
Das Problem ist das Sicherheitsrisiko für Serveranbieter - auch wen dies nach bisherigen erkenntnissen gering ist, da es nur um lesezugriffe geht.
Trozdem ist das ein gewaltiger Nachteil denn viel Serversoftware, im gegensatz zu jeglicher Software die auf Rechenleistung setzt, nutzt oft viele SystemCalls und genau das wird durch den Holzhammer stark beeinträchtigt.


Da hast du es genau falsch herrum.
Meltdown ist leichter herbei zu führen, dabei aber nciht wirklich dazu geeignet Schadcode auszuführen da es nur das Auslesen ebreits bekannter Ram-Adressen erlaubt. Auch ist dies durch die Architektur des TLB geschuldet - was aber wiederum das ganze auch per Microcode änderbar macht.
Spectre dagegen erlaubt auch Code-injection und ist ein Grundlegendes problem von OoOe und iwürde bei einer ähnlichen Holzhammermethode wie der Linux-kernel-patch deutliche und konsistente leistungseinbusen bedeuten (nicht nur in spezialfällen).





.. Kannst du auch die seiten die du verlinkst zuerst lesen bevor du hier herrum lügsts?
Direkt von der von dir verlinkten Seite geht hervor das AMD nur nicht von Meltdown, sowohl aber von beiden varianten von Spectre betroffen ist - wobei ihre Einschätzung auf den leistungseinfluss sehr sehr optimistisch sind .... sie glauben sie können ein Grundproblem der gesammten x86_64 einfach in Software ohne auswirkungen lösen XD
Zum Vergrößern anklicken....
Intel weiß doch schon länger von dem Problem, wenn Meltdown so leicht abzustellen wäre wie du das darstellst hätten sie das schon getan.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Steinigt den blauen Riesen!!!! :ugly:

Spectre wäre mir ja egal aber Meltdown :kotz:


Edit: Bei Geizhals steht unter Features bei Intel sicher bald: SSE, TSX, AVX, Meltdown, VT-d :banane:
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Meltdown - die intel-spezifische Sicherheitslücke - wurde bereits mit dem Holzhammer geschlossen. Das ging Softwareseitig und ist dadurch schnell zu implementieren, dafür aber auch die schlechtest mögliche Leistung (und trozdem im normalfall < 5%).
Das Problem ist das Sicherheitsrisiko für Serveranbieter - auch wen dies nach bisherigen erkenntnissen gering ist, da es nur um lesezugriffe geht.
Trozdem ist das ein gewaltiger Nachteil denn viel Serversoftware, im gegensatz zu jeglicher Software die auf Rechenleistung setzt, nutzt oft viele SystemCalls und genau das wird durch den Holzhammer stark beeinträchtigt.


Da hast du es genau falsch herrum.
Meltdown ist leichter herbei zu führen, dabei aber nciht wirklich dazu geeignet Schadcode auszuführen da es nur das Auslesen ebreits bekannter Ram-Adressen erlaubt. Auch ist dies durch die Architektur des TLB geschuldet - was aber wiederum das ganze auch per Microcode änderbar macht.
Spectre dagegen erlaubt auch Code-injection und ist ein Grundlegendes problem von OoOe und iwürde bei einer ähnlichen Holzhammermethode wie der Linux-kernel-patch deutliche und konsistente leistungseinbusen bedeuten (nicht nur in spezialfällen).
Zum Vergrößern anklicken....

Das ist absoluter Käse, da man mit Meltdown aus einer VM ausbrechen kann und den ganzen Host übernehmen kann, darum dreht sich ja alles bei Intels Sicherheitslücke Meltdown und deshalb sind gerade die Cloudbetreiber so betroffen!
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Casurin schrieb:
Das Problem ist das Sicherheitsrisiko für Serveranbieter - auch wen dies nach bisherigen erkenntnissen gering ist, da es nur um lesezugriffe geht.
Zum Vergrößern anklicken....

Bitte was? :ugly:

Eingaben wie Passwörter, Schlüssel, etc. auslesen können ist ein KLEINES Risiko?
Ganz davon abgesehen, dass ich mir mit den gelesenen Daten früher oder später wohl Zugriff zum eigentlichen Gerät verschaffen kann.

sgdJacksy schrieb:
Edit: Bei Geizhals steht unter Features bei Intel sicher bald: SSE, TSX, AVX, Meltdown, VT-d :banane:
Zum Vergrößern anklicken....

fies :D
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Backdoor heißt jetzt Bug?

Endlich mal wieder was los! :)
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

fipS09 schrieb:
Deine überspitzte Darstellung ist doch Unsinn und das weißt du. Wähle das geringere Übel:

A) Spectre und Meltdown
B) Spectre
Zum Vergrößern anklicken....

Antwort B

überspitzt ist das sicher nicht. Ist die funktionsweise einmal im Darknet dann wird's lustig. Oder findest du es halb so schlimm wenn man den RAM per Fernzugriff auslesen kann?
Schau dir mal das Video der TU Graz an. Da wird schön der ganze Adressraum ausgelesen.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

sterreich schrieb:
Bitte was? :ugly:

Eingaben wie Passwörter, Schlüssel, etc. auslesen können ist ein KLEINES Risiko?
Ganz davon abgesehen, dass ich mir mit den gelesenen Daten früher oder später wohl Zugriff zum eigentlichen Gerät verschaffen kann.



fies :D
Zum Vergrößern anklicken....

LOL
Also "früher oder später" wird man sich idR zu jedem System Zugriff "verschaffen" können. Heutzutage geht es doch eigentlich "nur" darum, dass es möglichst später ist. ;)
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

sgdJacksy schrieb:
Antwort B

überspitzt ist das sicher nicht. Ist die funktionsweise einmal im Darknet dann wird's lustig. Oder findest du es halb so schlimm wenn man den RAM per Fernzugriff auslesen kann?
Zum Vergrößern anklicken....
Natürlich finde ich das auch schlimm, aber das Problem scheint ja ein genereller Fehler in der gesamten Prozessorwelt zu sein. Das muss natürlich auch gefixt werden, notfalls auch mit Performanceeinbußen. Genereller Konsens in der Security Welt ist allerdings das Spectre schwieriger zu nutzen ist als Meltdown, nur Casurin sieht das anders. Aber Meltdown wurde ja bereits gefixt.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

fipS09 schrieb:
Natürlich finde ich das auch schlimm, aber das Problem scheint ja ein genereller Fehler in der gesamten Prozessorwelt zu sein. Das muss natürlich auch gefixt werden, notfalls auch mit Performanceeinbußen. Genereller Konsens in der Security Welt ist allerdings das Spectre schwieriger zu nutzen ist als Meltdown, nur Casurin sieht das anders. Aber Meltdown wurde ja bereits gefixt.
Zum Vergrößern anklicken....

Naja da bin ich skeptisch. Zu wie vielen % wurde Meltdown gefixt? Mit welchem Patch und vor Allem: auf wie vielen Systemen?
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

sgdJacksy schrieb:
Naja da bin ich skeptisch. Zu wie vielen % wurde Meltdown gefixt? Mit welchem Patch und vor Allem: auf wie vielen Systemen?
Zum Vergrößern anklicken....
Das ist natürlich ein gutes Argument, dank dem gehassten Windows 10 wohl auf ein paar mehr Rechnern als das noch vor einigen Jahren der Fall gewesen wäre. :)
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

usernamepleasehere schrieb:
Genau jetzt wäre der perfekte Zeitpunkt für einen neuen CPU-Hersteller der diese Schwachstellen nicht hat und damit "sicherer" ist.
Btw. ist uns das auch schon aufgefallen, die Patches waren einfach zu schnell da - sprich man wusste über die Lücken bescheid. Respekt auch an Intel, seit 1995 alle CPUs betroffen :stick:

Und das mit den Aktien... Hoffentlich klagt da jemand :)
Zum Vergrößern anklicken....

Eigentlich war die Lücke noch bis 9. Jänner unter NDA, da das ganze aber an die Öffentlichkeit gekommen ist, haben sie den Termin vorverschoben und heute gleich alles dazu released. An der Problembehebung wird schon seit Monaten gearbeitet.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

brunnen153 schrieb:
Eigentlich war die Lücke noch bis 9. Jänner unter NDA, da das ganze aber an die Öffentlichkeit gekommen ist, haben sie den Termin vorverschoben und heute gleich alles dazu released. An der Problembehebung wird schon seit Monaten gearbeitet.
Zum Vergrößern anklicken....

Wie kann das unter NDA laufen, wenn die Publikation schon im Juni bei Springer online gestellt wurde?
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Was ich so gesehen habe gibt es derzeit noch keine Updates für Betriebssysteme vor W10.
Für W10 ist es: KB4056892
 
Zuletzt bearbeitet:
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Bin mal gespannt, welche Auswirkung das in Unternehmen und Behörden hat, die mit sensiblen Informationen arbeiten... :what:

Oder auch allgemein mit Daten, die den Datenschutz genießen...
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

sterreich schrieb:
Wie kann das unter NDA laufen, wenn die Publikation schon im Juni bei Springer online gestellt wurde?
Zum Vergrößern anklicken....

Google Online Security Blog: Today's CPU vulnerability: what you need to know
We are posting before an originally coordinated disclosure date of January 9, 2018 because of existing public reports and growing speculation in the press and security research community about the issue, which raises the risk of exploitation. The full Project Zero report is forthcoming (update: this has been published; see above).
Zum Vergrößern anklicken....
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

sgdJacksy schrieb:
Naja da bin ich skeptisch. Zu wie vielen % wurde Meltdown gefixt? Mit welchem Patch und vor Allem: auf wie vielen Systemen?
Zum Vergrößern anklicken....

100% -d er fix ist einfach mit dem Holzhammer das prefetchen und alles was dranhängt zu isoliren und den cache jedesmal zu leeren - deshlab auch die Leistungseinbusen.

Welche systeme? So gut wie jede Linuxdistro und Windows 10. da es aber ein ahrdwareseitiger Bug ist is abzuwarten wann Intel einen richtigen fix bringt - und für welche Prozessoren. Wäre schön wenns bis zum Core2Duo zurück geht (viel was älteress wird wohl kaum mehr laufen), aber wird eher so bis Sandy sein. (machen müssten sie glaub soagr nur erst ab haswell)
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Geoblocking weitet sich aus: Webseiten sperren Zugriffe wegen Gesetzesauflagen
2
Antworten
29
Aufrufe
2K
JoeyTai
JoeyTai
PCGH-Redaktion
News Intel verteilt Patches: Sicherheitslücke bedroht Core-CPUs mehrere Generationen
Antworten
4
Aufrufe
649
T-MAXX
T-MAXX
PCGH-Redaktion
News Belohnung für Sicherheitslücken
Antworten
0
Aufrufe
25
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Vista: Sicherheitslücke durch AMD und Nvidia
Antworten
0
Aufrufe
30
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Microsoft Patchday: 20 Sicherheitslücken geschlossen
Antworten
0
Aufrufe
36
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück