Dragonias
PC-Selbstbauer(in)
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
Echt jetzt
Echt jetzt
Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
- Ersteller PCGH-Redaktion
- Erstellt am
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
Die größten Sicherheitslücken der letzten Jahrzehnte waren Heartbleed und das, worüber sich Sasser verbreitet hat.
Meltdown und Spectre sind da, in der Praxis, unbedeutende Fürze, da ein Angriff damit eher theoretischer Natur ist und (nachdem die Browser gepacht wurdeN) nurnoch für Virtuelle Maschinen und Cloudanbieter, wirklich relevant ist. Und nein, das wird nicht von allen anerkannten Experten bestätigt, weil es schlichtweg Blödsinn ist.
Es ist üblich, mit der Offenlegung zu warten, bis die betroffenen gepatcht haben. Google wartet auch bei unwichtigen Sicherheitslücken, üblich sind 6 Monate.
Dazu muß der Angreifer erstmal die Software auf dem Ziel PC installieren oder dafür sorgen, dass der Anwender sie installiert. Es wäre dann einfach nur dämlich Spectre und Meltdown zu nutzen, da der Angreifer die benötigten Daten entweder direkt absaugen oder Sicherheitslücken verwenden kann, die wesentlich einfacher zu handhaben sind.
Wichtig war es nur bei Browsern und die sind gepatcht.
Unbegründet Panik zu verbreiten ist ebenfalls gefährlich und genau das machst du.
Guter Punkt, was sind deine Gründe?
AMD Fan oder Unwissenheit?
Aber auch AMD ist betroffen, das ist ebenfalls Fakt !!!!!!!!! (jetzt mit noch mehr Ausrufezeichen)
Du hast Blödsinn verbreitet und ja, damit triffst du einen Nerv, nur nicht den, den du geglaubt hast.
Die größten Sicherheitslücken der letzten Jahrzehnte waren Heartbleed und das, worüber sich Sasser verbreitet hat.
Meltdown und Spectre sind da, in der Praxis, unbedeutende Fürze, da ein Angriff damit eher theoretischer Natur ist und (nachdem die Browser gepacht wurdeN) nurnoch für Virtuelle Maschinen und Cloudanbieter, wirklich relevant ist. Und nein, das wird nicht von allen anerkannten Experten bestätigt, weil es schlichtweg Blödsinn ist.
Es ist üblich, mit der Offenlegung zu warten, bis die betroffenen gepatcht haben. Google wartet auch bei unwichtigen Sicherheitslücken, üblich sind 6 Monate.
Dazu muß der Angreifer erstmal die Software auf dem Ziel PC installieren oder dafür sorgen, dass der Anwender sie installiert. Es wäre dann einfach nur dämlich Spectre und Meltdown zu nutzen, da der Angreifer die benötigten Daten entweder direkt absaugen oder Sicherheitslücken verwenden kann, die wesentlich einfacher zu handhaben sind.
Wichtig war es nur bei Browsern und die sind gepatcht.
Unbegründet Panik zu verbreiten ist ebenfalls gefährlich und genau das machst du.
Guter Punkt, was sind deine Gründe?
AMD Fan oder Unwissenheit?
Aber auch AMD ist betroffen, das ist ebenfalls Fakt !!!!!!!!! (jetzt mit noch mehr Ausrufezeichen)
Du hast Blödsinn verbreitet und ja, damit triffst du einen Nerv, nur nicht den, den du geglaubt hast.
Zuletzt bearbeitet:
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
Ein Interpreter, der schädlichen Code ausführt und ohne Wissen/Absicht des Users den Code lädt. Also in den allermeisten Fällen JavaScript im browser, wogegen ein aktueller Browser soweit gehärtet ist, dass eine Ausnutzung derzeit jedenalls nicht bekannt ist. Wer JS in einnem ungepatchten Mailclient aktiv hat oder gar noch Java-Plugins/Flash-Plugins nutzt, ist selber Schuld und fällt für mich unter sie selben User wie die des zweiten bekannten Einfallsweges: Exploits mit Office-Makros oder JavaScript in PDFs sind mir noch keine bekannt, beides sollte man aber sowieso nur in begründeten Fällen aktivieren.
Ein Programm, das irgendwer auf dem PC aktiv startet. Da ich der einzige Nutzer auf meinem Rechner bin, muss ich das also selber tun. Oder es macht irgendeine Updateroutine.
Also EXAKT das, was auch ein Virus/Trojaner/Treiber/Spielepatch schon seit Jahrzehnten kann und auch noch jahrzehnte können wird, nicht nur mit 0-day Exploits. Ob das vom Virenscanner nicht erkannte Programm dann S/M ausnutzt, einen Keylogger installiert oder eine andere 0-day Lücke ausnutzt, ist vom Ergebnis her vollkommen egal. Nach einer Aktion durch mich werde ich auf meinem PC ausspioniert.
Wenn Deine Gefahrenanalyse für den von mir einzig angesprochenen Heimbereich etwas anderes ergibt, musst Du halt anders handeln. Im Firmenumfeld handele ich auch anders wie privat.
Warum Du dann mich zitierst aber plötzlich einzelne CPU-Hersteller ins Gepräch bringst, dürfte für immer ein Rätsel bleiben.
Weil es sich selbstverständlich kein Experte leisten kann und darf, einzig auf die Heimanwender zu schauen. Und schon haben sie recht. Wenn auf dem Shared-Root-Server einer der X Kunden alles auslesen kann, was die andern X-1 Kunden so treiben, dann ist das eine riesige Sicherheitslücke.
Die Frage ist aber WIE die Sicherheitslücken im Heimbereich oder auf einem Single-User System ausgenutzt werden können. das sit dann eine (in dem Fall recht sinpele) Risikoanalyse, wenn man nur die bisher bekannte Einfallstore betrachtet, nämlich die zwei:
Ein Interpreter, der schädlichen Code ausführt und ohne Wissen/Absicht des Users den Code lädt. Also in den allermeisten Fällen JavaScript im browser, wogegen ein aktueller Browser soweit gehärtet ist, dass eine Ausnutzung derzeit jedenalls nicht bekannt ist. Wer JS in einnem ungepatchten Mailclient aktiv hat oder gar noch Java-Plugins/Flash-Plugins nutzt, ist selber Schuld und fällt für mich unter sie selben User wie die des zweiten bekannten Einfallsweges: Exploits mit Office-Makros oder JavaScript in PDFs sind mir noch keine bekannt, beides sollte man aber sowieso nur in begründeten Fällen aktivieren.
Ein Programm, das irgendwer auf dem PC aktiv startet. Da ich der einzige Nutzer auf meinem Rechner bin, muss ich das also selber tun. Oder es macht irgendeine Updateroutine.
Also EXAKT das, was auch ein Virus/Trojaner/Treiber/Spielepatch schon seit Jahrzehnten kann und auch noch jahrzehnte können wird, nicht nur mit 0-day Exploits. Ob das vom Virenscanner nicht erkannte Programm dann S/M ausnutzt, einen Keylogger installiert oder eine andere 0-day Lücke ausnutzt, ist vom Ergebnis her vollkommen egal. Nach einer Aktion durch mich werde ich auf meinem PC ausspioniert.
Wenn Deine Gefahrenanalyse für den von mir einzig angesprochenen Heimbereich etwas anderes ergibt, musst Du halt anders handeln. Im Firmenumfeld handele ich auch anders wie privat.
Warum Du dann mich zitierst aber plötzlich einzelne CPU-Hersteller ins Gepräch bringst, dürfte für immer ein Rätsel bleiben.
A
Arkintosz
Guest
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
Im Kernel-Code gibt es beispielsweise immer mal wieder Kommentare zu lesen, die auf Unterschiede zwischen Intel und AMD hinweisen und dort bin ich auch mal auf einen Hinweis gestoßen, der davon ausgeht, dass bei AMD ein Bug wäre, da es, wie man es bei Intel macht, schneller wäre(Kontext switching oder sowas in der Art).
Allerdings stellt sich nun wohl heraus, dass AMD diese "Features" zum größten Teil mit Absicht nicht eingebaut hat, oder, wie bei Spectre v2, wenigstens extrem begrenzt hat, um die Sicherheit nicht zu gefährden. Man muss also zum aktuellen Zeitpunkt davon ausgehen, dass vor allem Intel mit jeder Lücke ein bisschen mehr Leistung verliert.
Ich denke deshalb, dass sie Jim Keller nicht geholt haben, um Sicherheitslücken zu fixen, sondern weil sie jetzt die verlorene Leistung irgendwoher holen müssen. Schließlich ist die Leistung pro Takt bei AMD aktuell etwa gleich. Das heißt, in 7nm vs. 10nm wird Intel ganz extreme Probleme haben und das optimistische Szenario, AMD bei unter 15% Marktanteilen auf dem Servermarkt zu halten, halte ich persönlich für extrem unwahrscheinlich. Das war eher eine Einstimmung der Aktionäre und der Belegschaft, dass sie ganz massiv einstecken werden, weil sie über dieses Jahr hinweg so viel Vertrauen bei Geschäftskunden verlieren, dass es Ewigkeiten dauern wird, bis sie das wieder zurückgewonnen haben. Edit: Und mal ganz ehrlich: Wenn Ihr heute einen Server für 15.000€ kaufen würdet - würdet Ihr da wirklich auf eine CPU setzen, von der Ihr wisst, dass sie massive Lücken hat? - Zudem der SP3-Sockel von AMD... Da wird es sicherlich noch Updates geben und das ganze System kostet vielleicht dann nur 12-13k statt 15k. Also Ich wüsste ganz sicher, was ich im Moment auf gar keinen Fall kaufen würde. Bin gerade eher dabei, bestimmte Hardware abzustoßen
Ich sehe das anders. Die Intel-Ingenieure müssen zumindest teilweise gewusst haben, was sie da machen. Ironischerweise sind ja diese Sicherheitslücken bisher soweit ich das abschätzen kann, alle indirekt mit voller Absicht eingebaut worden. Indirekt deshalb, weil sie dazu führen, die Leistung zu steigern, indem z.B. Abfragen fehlen, wer auf eine Cache-Adresse zufreifen darf. Und es kam den Ingenieuren natürlich auf die Leistungssteigerung an und nicht darum, den Leuten Sicherheitslücken in die CPUs zu bauen.
Im Kernel-Code gibt es beispielsweise immer mal wieder Kommentare zu lesen, die auf Unterschiede zwischen Intel und AMD hinweisen und dort bin ich auch mal auf einen Hinweis gestoßen, der davon ausgeht, dass bei AMD ein Bug wäre, da es, wie man es bei Intel macht, schneller wäre(Kontext switching oder sowas in der Art).
Allerdings stellt sich nun wohl heraus, dass AMD diese "Features" zum größten Teil mit Absicht nicht eingebaut hat, oder, wie bei Spectre v2, wenigstens extrem begrenzt hat, um die Sicherheit nicht zu gefährden. Man muss also zum aktuellen Zeitpunkt davon ausgehen, dass vor allem Intel mit jeder Lücke ein bisschen mehr Leistung verliert.
Ich denke deshalb, dass sie Jim Keller nicht geholt haben, um Sicherheitslücken zu fixen, sondern weil sie jetzt die verlorene Leistung irgendwoher holen müssen. Schließlich ist die Leistung pro Takt bei AMD aktuell etwa gleich. Das heißt, in 7nm vs. 10nm wird Intel ganz extreme Probleme haben und das optimistische Szenario, AMD bei unter 15% Marktanteilen auf dem Servermarkt zu halten, halte ich persönlich für extrem unwahrscheinlich. Das war eher eine Einstimmung der Aktionäre und der Belegschaft, dass sie ganz massiv einstecken werden, weil sie über dieses Jahr hinweg so viel Vertrauen bei Geschäftskunden verlieren, dass es Ewigkeiten dauern wird, bis sie das wieder zurückgewonnen haben. Edit: Und mal ganz ehrlich: Wenn Ihr heute einen Server für 15.000€ kaufen würdet - würdet Ihr da wirklich auf eine CPU setzen, von der Ihr wisst, dass sie massive Lücken hat? - Zudem der SP3-Sockel von AMD... Da wird es sicherlich noch Updates geben und das ganze System kostet vielleicht dann nur 12-13k statt 15k. Also Ich wüsste ganz sicher, was ich im Moment auf gar keinen Fall kaufen würde. Bin gerade eher dabei, bestimmte Hardware abzustoßen
Zuletzt bearbeitet:
Chiba_Ryunosuke
Kabelverknoter(in)
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
Das sehe ich anders, Intel läuft schon seit Ewigkeiten auf fast allen Servern und AMDs Architektur ist noch relativ neu und es gibt genug Gründe, gerade bei Virtualisierung, um dort bei Intel zu bleiben
Schließlich ist die Leistung pro Takt bei AMD aktuell etwa gleich. Das heißt, in 7nm vs. 10nm wird Intel ganz extreme Probleme haben und das optimistische Szenario, AMD bei unter 15% Marktanteilen auf dem Servermarkt zu halten, halte ich persönlich für extrem unwahrscheinlich. Das war eher eine Einstimmung der Aktionäre und der Belegschaft, dass sie ganz massiv einstecken werden, weil sie über dieses Jahr hinweg so viel Vertrauen bei Geschäftskunden verlieren, dass es Ewigkeiten dauern wird, bis sie das wieder zurückgewonnen haben. Edit: Und mal ganz ehrlich: Wenn Ihr heute einen Server für 15.000€ kaufen würdet - würdet Ihr da wirklich auf eine CPU setzen, von der Ihr wisst, dass sie massive Lücken hat? - Zudem der SP3-Sockel von AMD... Da wird es sicherlich noch Updates geben und das ganze System kostet vielleicht dann nur 12-13k statt 15k. Also Ich wüsste ganz sicher, was ich im Moment auf gar keinen Fall kaufen würde. Bin gerade eher dabei, bestimmte Hardware abzustoßen
Das sehe ich anders, Intel läuft schon seit Ewigkeiten auf fast allen Servern und AMDs Architektur ist noch relativ neu und es gibt genug Gründe, gerade bei Virtualisierung, um dort bei Intel zu bleiben
yummycandy
Software-Overclocker(in)
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
Nein, das läuft anders. Kein Entscheider würde nur nach einer neuen Generation auf eine neue Plattform wechseln. Zuverlässigkeit ist eines der Hauptkritierien dabei. Wenn es um Investitionen geht, wird auch auf Nachhaltigkeit geschaut und das muß (neben technischen Aspekten) gegeben sein.
Btw. Gerade Cores und PCIe-Lanes wären ein Grund um auf AMD zu wechseln. Weniger Server -> weniger Aufwand -> Manager glücklich.
Das sehe ich anders, Intel läuft schon seit Ewigkeiten auf fast allen Servern und AMDs Architektur ist noch relativ neu und es gibt genug Gründe, gerade bei Virtualisierung, um dort bei Intel zu bleiben
Nein, das läuft anders. Kein Entscheider würde nur nach einer neuen Generation auf eine neue Plattform wechseln. Zuverlässigkeit ist eines der Hauptkritierien dabei. Wenn es um Investitionen geht, wird auch auf Nachhaltigkeit geschaut und das muß (neben technischen Aspekten) gegeben sein.
Btw. Gerade Cores und PCIe-Lanes wären ein Grund um auf AMD zu wechseln. Weniger Server -> weniger Aufwand -> Manager glücklich.
A
Arkintosz
Guest
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
Das darfst Du ja auch anders sehen. Aber ich wüsste auch gern, was an der Virtualisierung mit Xeons geht was mit EPYC nicht geht.
Ich persönlich habe erst kürzlich mehrere Neuanschaffungen komplett abgelehnt, weil es Xeons waren. Xeons kommen mir mindestens bis ich weiß, was von der Leistung nach dem Schließen der Sicherheitslücken, noch übrig bleibt, nicht mehr ins Haus! Zur Not ist ein Anbieterwechsel fällig. Es ist aktuell eine Unverschämtheit, mir überhaupt Xeons zu empfehlen und darin sehe ich auch einen gewissen Vertrauensbruch.
Ich finde sogar, dass man politisch erzwingen muss, dass sofort aufgeklärt wird, welche CPU welche Lücken hat, ein Embargo sollte gesetzt werden, um sie zu fixen, z.B. 30. Juni und basta. Damit man wieder Klarheit hat. Woher weiß ich denn, dass überhaupt alle Lücken fixbar sind?
Die bestehenden Systeme werden jetzt bis EPYC in 7nm an der Kotzgrenze laufen, aber ich verbrenne mit Sicherheit kein Geld.
Das sehe ich anders, Intel läuft schon seit Ewigkeiten auf fast allen Servern und AMDs Architektur ist noch relativ neu und es gibt genug Gründe, gerade bei Virtualisierung, um dort bei Intel zu bleiben
Das darfst Du ja auch anders sehen. Aber ich wüsste auch gern, was an der Virtualisierung mit Xeons geht was mit EPYC nicht geht.
Ich persönlich habe erst kürzlich mehrere Neuanschaffungen komplett abgelehnt, weil es Xeons waren. Xeons kommen mir mindestens bis ich weiß, was von der Leistung nach dem Schließen der Sicherheitslücken, noch übrig bleibt, nicht mehr ins Haus! Zur Not ist ein Anbieterwechsel fällig. Es ist aktuell eine Unverschämtheit, mir überhaupt Xeons zu empfehlen und darin sehe ich auch einen gewissen Vertrauensbruch.
Ich finde sogar, dass man politisch erzwingen muss, dass sofort aufgeklärt wird, welche CPU welche Lücken hat, ein Embargo sollte gesetzt werden, um sie zu fixen, z.B. 30. Juni und basta. Damit man wieder Klarheit hat. Woher weiß ich denn, dass überhaupt alle Lücken fixbar sind?
Die bestehenden Systeme werden jetzt bis EPYC in 7nm an der Kotzgrenze laufen, aber ich verbrenne mit Sicherheit kein Geld.
Ähnliche Themen
