Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
- Ersteller PCGH-Redaktion
- Erstellt am
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Kann man doch optional laden.
https://support.microsoft.com/en-us...d=_mwrljjk3ugkftmaukk0sohz3x22xgovfg6itts1m00
Kann man doch optional laden.
https://support.microsoft.com/en-us...d=_mwrljjk3ugkftmaukk0sohz3x22xgovfg6itts1m00
Anhänge
Zuletzt bearbeitet:
F
Freiheraus
Guest
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Das wirklich Skandalöse an der ganzen Geschichte wurde in der PCGH-News nicht erwähnt:
ZombieLoad: Intel-Prozessoren erneut gefaehrdet | futurezone.at
Lug und Trug, selbst den eigenen Kunden und Partnern gegenüber. Maulkörbe inkl. Strafandrohungen, denn Leuten gegenüber die die Wahrheit veröffentlichen wollen. Wie soll man sowas noch gutheißen/verteidigen/unterstützen? Ist einem das nicht persönlich peinlich für Intel noch in die Bresche zu springen?
Das wirklich Skandalöse an der ganzen Geschichte wurde in der PCGH-News nicht erwähnt:
ZombieLoad: Intel-Prozessoren erneut gefaehrdet | futurezone.at
Lug und Trug, selbst den eigenen Kunden und Partnern gegenüber. Maulkörbe inkl. Strafandrohungen, denn Leuten gegenüber die die Wahrheit veröffentlichen wollen. Wie soll man sowas noch gutheißen/verteidigen/unterstützen? Ist einem das nicht persönlich peinlich für Intel noch in die Bresche zu springen?
Zuletzt bearbeitet von einem Moderator:
M
Marty2Life
Guest
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Das hier ist für Intel schon selbst Hammer peinlich.
Benchmarks Of JCC Erratum: A New Intel CPU Bug With Performance Implications On Skylake Through Cascade Lake - Phoronix
Das hier ist für Intel schon selbst Hammer peinlich.
Benchmarks Of JCC Erratum: A New Intel CPU Bug With Performance Implications On Skylake Through Cascade Lake - Phoronix
TheGermanEngineer
BIOS-Overclocker(in)
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Bitte: https://www.amd.com/en/corporate/product-security
Ist ja nicht so, dass AMD perfekt oder so wäre. Alle paar Wochen und Monate gibt es eine Meldung über neue Schwachstellen. Sowohl in Core als auch in Zen egal welcher Generation lauern noch eine Menge von mehr oder minder gefährlichen Schwachstellen. Es ist nur eine Frage der Zeit bis sie aufgedeckt werden. Zen ist auch kein Allheilmittel und AMD kein Samariterverein.
Die da wären? Bitte mit Links
Bitte: https://www.amd.com/en/corporate/product-security
Ist ja nicht so, dass AMD perfekt oder so wäre. Alle paar Wochen und Monate gibt es eine Meldung über neue Schwachstellen. Sowohl in Core als auch in Zen egal welcher Generation lauern noch eine Menge von mehr oder minder gefährlichen Schwachstellen. Es ist nur eine Frage der Zeit bis sie aufgedeckt werden. Zen ist auch kein Allheilmittel und AMD kein Samariterverein.
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Ich glaube viele machen sich keine Vorstellung davon wie umständlich das wirklich ist. Wenn normale Privatmenschen glauben, dass sie zur Zielgruppe gehören, grenzt das an Größenwahn.
Ja, sehr frech das den Hackern nicht auf dem Präsentierteller zu servieren, bevor man was dagegen getan hat...
Das schlimme ist, dass man, wenn man so was sagt, gleich als Intel-Fanboy oder AMD-Hater abgestempelt wird, dabei will man nur mit ein paar teils hanebüchenen Behauptungen aufräumen. Ich würde im Moment bei CPUs auch zu AMD tendieren, aber was Intel und ihren Produkten hier teilweise so nachgesagt wird, kann man irgendwie schlecht stehenlassen.
Ich glaube viele machen sich keine Vorstellung davon wie umständlich das wirklich ist. Wenn normale Privatmenschen glauben, dass sie zur Zielgruppe gehören, grenzt das an Größenwahn.
Ja, sehr frech das den Hackern nicht auf dem Präsentierteller zu servieren, bevor man was dagegen getan hat...
Das schlimme ist, dass man, wenn man so was sagt, gleich als Intel-Fanboy oder AMD-Hater abgestempelt wird, dabei will man nur mit ein paar teils hanebüchenen Behauptungen aufräumen. Ich würde im Moment bei CPUs auch zu AMD tendieren, aber was Intel und ihren Produkten hier teilweise so nachgesagt wird, kann man irgendwie schlecht stehenlassen.
boedefelt
PC-Selbstbauer(in)
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Tja und es kommt noch dicker.
Angriffe auf Trusted Platform Modules von Intel und STMicroelectronics | heise online
Tja und es kommt noch dicker.
Angriffe auf Trusted Platform Modules von Intel und STMicroelectronics | heise online
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Na ein Glück, dass hier niemand überhaupt ein TPM-Modul verbaut hat..gif "sm_B-) :-)")
Ein Teil der Angriffe funktionierte auf einer ganzen Reihe von Architekturen. Zwar sind spezifische Optimierungen von Vorteil, aber innerhalb einer Familie werden viele Funktionsprinzipien weiterverwendet, sodass der gleiche Hack bei allen Mitgliedern funktioniert oder nur minimale Anpassungen erfordert. Der ursprünglich auf Broadwell-Basis entwickelte Spectre-Exploit konnte zum Beispiel auch für 10 Jahre alte PowerPCs kompiliert werden und hat Ergebnisse ausgespuckt.
Und: Nein, man muss die Software nicht installieren. Das ist der ganz große Unterschied, der Spectre so viel gefährlicher als viele Sicherheitslücken in Software macht. Es reicht, wenn eigener Code irgendwo auf der gleichen physischen Maschine ausgeführt wird – in einer VM, einer Sandbox, einer Javascript-Engine oder ähnlichem. Damit unterläuft Spectre alle herkömmlichen Schutzmaßnahmen, die dazu genutzt werden, um reichlich Fremdcode "sicher" auf dem eigenen PC auszuführen. Schon der Besuch einer normalen Webseite reicht aus, um Opfer eines Spectre-Angriffes zu werden ohne es zu merken oder verhindern zu können. Mittlerweile hat man diesen Weg durch Browseranpassungen unattraktiver gemacht, aber zur ersten Veröffentlichung war die Gefahr sehr real und der Hack für Kriminelle entsprechend attraktiv.
Heartbleed war aber noch schlimmer, da gebe ich dir recht. Das Spectre so viel mehr Aufmerksamkeit erhielt und erhält liegt an der "live-Berichterstattung". Heartbleed wurde erst bekannt als man eine Lösung hatte. Für Spectre & Ablieger gibt es keine brauchbare, endgültige Lösung und das macht die Story zu einem Dauerbrenner, mit dem sich beliebig Ängste schüren lassen (siehe diverse Diskussions-Threads, in denen Fandom eine größere Rolle als Fakten spielt). Endnuter-Sicherheit ist zwar gegeben, aber nur weil Aufwand und gesicherter Nutzen einer Exploit-Entwicklung in einem für Kriminelle unattraktiven Verhältnis stehen.
Es gibt nur zwei Möglichkeiten, das Problem endgültig und hundertprozentig zu fixen: Verzicht auf alle Zwischenspeicher oder auf jegliche spekulative Ausführung. Der leistungsfähigste Desktop-Prozessor, der erstes praktiziert, ist der 386er (1989). Für letzteres der Atom D2700 (2011 und schon damals low-end). 50 Prozent Leistungsverlust wären also geradezu traumhaft, verglichen mit Zen2 oder Coffee Lake würde ich maximal 1/3 der heute üblichen Pro-Kern-Leistung erwarten und das auch nur, wenn man die alten Bonnell-Atom-Architektur in aktuellen Fertigungsprozessen und mit aktuellen AVX-Einheiten für neue Designs neu auflegt. Die verfügbaren alten Chips erreichen, wenn es hochkommt, 10 Prozent der Performance eines 3950X, vermutlich aber eher 5 Prozent.
Dieser absolute Weg ist also nicht praktikabel, sondern in etwas auf dem Niveau von "wenn wir nur noch Esel reiten gibt es keine tödlichen Autounfälle mehr". Stattdessen bemühen sich die zahlreichen Fixes selektiv um Ausleseverfahren für einzelne Side-Channels oder Hacks, die bestimmte Befehle ausnutzen. Aber das bedeutet eben auch, dass jederzeit jemand einen neuen Exploit finden kann, der zum Beispiel statt dem L3 Cache einen TLB nutzt oder bislang nicht attackierte Befehle missbraucht. Aufgrund der Komplexität moderner Architekturen stehen uns hier noch jede Menge Flickwerk ins Haus.
Na ein Glück, dass hier niemand überhaupt ein TPM-Modul verbaut hat.
Ein Teil der Angriffe funktionierte auf einer ganzen Reihe von Architekturen. Zwar sind spezifische Optimierungen von Vorteil, aber innerhalb einer Familie werden viele Funktionsprinzipien weiterverwendet, sodass der gleiche Hack bei allen Mitgliedern funktioniert oder nur minimale Anpassungen erfordert. Der ursprünglich auf Broadwell-Basis entwickelte Spectre-Exploit konnte zum Beispiel auch für 10 Jahre alte PowerPCs kompiliert werden und hat Ergebnisse ausgespuckt.
Und: Nein, man muss die Software nicht installieren. Das ist der ganz große Unterschied, der Spectre so viel gefährlicher als viele Sicherheitslücken in Software macht. Es reicht, wenn eigener Code irgendwo auf der gleichen physischen Maschine ausgeführt wird – in einer VM, einer Sandbox, einer Javascript-Engine oder ähnlichem. Damit unterläuft Spectre alle herkömmlichen Schutzmaßnahmen, die dazu genutzt werden, um reichlich Fremdcode "sicher" auf dem eigenen PC auszuführen. Schon der Besuch einer normalen Webseite reicht aus, um Opfer eines Spectre-Angriffes zu werden ohne es zu merken oder verhindern zu können. Mittlerweile hat man diesen Weg durch Browseranpassungen unattraktiver gemacht, aber zur ersten Veröffentlichung war die Gefahr sehr real und der Hack für Kriminelle entsprechend attraktiv.
Heartbleed war aber noch schlimmer, da gebe ich dir recht. Das Spectre so viel mehr Aufmerksamkeit erhielt und erhält liegt an der "live-Berichterstattung". Heartbleed wurde erst bekannt als man eine Lösung hatte. Für Spectre & Ablieger gibt es keine brauchbare, endgültige Lösung und das macht die Story zu einem Dauerbrenner, mit dem sich beliebig Ängste schüren lassen (siehe diverse Diskussions-Threads, in denen Fandom eine größere Rolle als Fakten spielt). Endnuter-Sicherheit ist zwar gegeben, aber nur weil Aufwand und gesicherter Nutzen einer Exploit-Entwicklung in einem für Kriminelle unattraktiven Verhältnis stehen.
Es gibt nur zwei Möglichkeiten, das Problem endgültig und hundertprozentig zu fixen: Verzicht auf alle Zwischenspeicher oder auf jegliche spekulative Ausführung. Der leistungsfähigste Desktop-Prozessor, der erstes praktiziert, ist der 386er (1989). Für letzteres der Atom D2700 (2011 und schon damals low-end). 50 Prozent Leistungsverlust wären also geradezu traumhaft, verglichen mit Zen2 oder Coffee Lake würde ich maximal 1/3 der heute üblichen Pro-Kern-Leistung erwarten und das auch nur, wenn man die alten Bonnell-Atom-Architektur in aktuellen Fertigungsprozessen und mit aktuellen AVX-Einheiten für neue Designs neu auflegt. Die verfügbaren alten Chips erreichen, wenn es hochkommt, 10 Prozent der Performance eines 3950X, vermutlich aber eher 5 Prozent.
Dieser absolute Weg ist also nicht praktikabel, sondern in etwas auf dem Niveau von "wenn wir nur noch Esel reiten gibt es keine tödlichen Autounfälle mehr". Stattdessen bemühen sich die zahlreichen Fixes selektiv um Ausleseverfahren für einzelne Side-Channels oder Hacks, die bestimmte Befehle ausnutzen. Aber das bedeutet eben auch, dass jederzeit jemand einen neuen Exploit finden kann, der zum Beispiel statt dem L3 Cache einen TLB nutzt oder bislang nicht attackierte Befehle missbraucht. Aufgrund der Komplexität moderner Architekturen stehen uns hier noch jede Menge Flickwerk ins Haus.
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Schon komisch wie sich die Artikel unterscheiden: TAA/MDS/RIDL_NG: Intel bestaetigt 77 neue Sicherheitsluecken und Fehler - ComputerBase
Auszug:
"Die zehnte Generation der Core-Prozessoren sowie Cascade Lake-SP auf die Liste der betroffenen Prozessoren nennen zu müssen, ist ein erneuter Image-Schaden für Intel." #
"Der Konzern soll der Abwandlung von Zombieload nicht mit genügend Entschlossenheit begegnet sein, den Mai-Patch trotz besserem Wissens unvollständig veröffentlicht und weitere Informationen zurückgehalten haben."
Finde ich schon etwas komisch von PCGH und natürlich auch wieder einmal von Intel, die durch ihre eigenen Fehler auch noch glänzen wollen. Zumal sie "nur" 67 der 77 selbst entdeckt haben.
Schon komisch wie sich die Artikel unterscheiden: TAA/MDS/RIDL_NG: Intel bestaetigt 77 neue Sicherheitsluecken und Fehler - ComputerBase
Auszug:
"Die zehnte Generation der Core-Prozessoren sowie Cascade Lake-SP auf die Liste der betroffenen Prozessoren nennen zu müssen, ist ein erneuter Image-Schaden für Intel." #
"Der Konzern soll der Abwandlung von Zombieload nicht mit genügend Entschlossenheit begegnet sein, den Mai-Patch trotz besserem Wissens unvollständig veröffentlicht und weitere Informationen zurückgehalten haben."
Finde ich schon etwas komisch von PCGH und natürlich auch wieder einmal von Intel, die durch ihre eigenen Fehler auch noch glänzen wollen. Zumal sie "nur" 67 der 77 selbst entdeckt haben.
boedefelt
PC-Selbstbauer(in)
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Ah du siehst also bei jedem Einzelnen von welcher Maschine (über welchen Weg)er hier schreibt?
Vielleicht sollte die Nase mal ein wenig in Richtung Boden kommen.
Na ein Glück, dass hier niemand überhaupt ein TPM-Modul verbaut hat.
Ah du siehst also bei jedem Einzelnen von welcher Maschine (über welchen Weg)er hier schreibt?
Vielleicht sollte die Nase mal ein wenig in Richtung Boden kommen.
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Es gibt eine Schwachstelle im Design. Auf deren Basis könntest du vermutlich 1 Million Sicherheitslücken generieren. Im Grunde sind aber die meisten Sicherheitslücken sehr ähnlich zueinander. Das Thema wird uns noch länger verfolgen, aber das eigentliche Problem lässt sich nur durch eine Änderung am Design ändern.
Es gibt eine Schwachstelle im Design. Auf deren Basis könntest du vermutlich 1 Million Sicherheitslücken generieren. Im Grunde sind aber die meisten Sicherheitslücken sehr ähnlich zueinander. Das Thema wird uns noch länger verfolgen, aber das eigentliche Problem lässt sich nur durch eine Änderung am Design ändern.
Technologie_Texter
BIOS-Overclocker(in)
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Kannst du diese Behauptung auch belegen?
Kommt von deiner Seite mehr als nur eine Behauptung?
Einfach nur Bla Bla...
Damit willst du jetzt eh nur provozieren?
Alyva
PC-Selbstbauer(in)
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Der ist nur Fake und funktioniert nicht, bzw. nur für die Abfragesoftware ob der Schutz angeblich da wäre.
Ja, aber Hand aufs Herz es ist schon etwas dreist was Intel da probiert hat
Mal schauen wann sie ihre neue Arch vorstellen.
Der ist nur Fake und funktioniert nicht, bzw. nur für die Abfragesoftware ob der Schutz angeblich da wäre.
Ja, aber Hand aufs Herz es ist schon etwas dreist was Intel da probiert hat
Mal schauen wann sie ihre neue Arch vorstellen.AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Intel hat doch eh gerade nix neues im Fertigungsverfahren zu bieten, wäre doch die ideale Gelegenheit für eine Design-Anpassung in ihrem so geliebten 14 nm+++++++++ Verfahren
Oder wollen die lieber nochmal in 10 nm etwas neues integrieren, wäre doch auch eine neue Möglichkeit eine Verzögerung zu erklären
Intel hat doch eh gerade nix neues im Fertigungsverfahren zu bieten, wäre doch die ideale Gelegenheit für eine Design-Anpassung in ihrem so geliebten 14 nm+++++++++ Verfahren
Oder wollen die lieber nochmal in 10 nm etwas neues integrieren, wäre doch auch eine neue Möglichkeit eine Verzögerung zu erklären
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Hast du auch irgend wann etwas SInnvolles zu sagen?
Warum widersprichst du ständig AMD die selber immer wieder zähneknirschend Zugeben müssen von Sicherheitslücken betroffen zu sein?
Wen du die wahrheit nicht aushalten kannst - geh zurück in dein rotes Loch.
Hast du auch irgend wann etwas SInnvolles zu sagen?
Warum widersprichst du ständig AMD die selber immer wieder zähneknirschend Zugeben müssen von Sicherheitslücken betroffen zu sein?
Wen du die wahrheit nicht aushalten kannst - geh zurück in dein rotes Loch.
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Du meinst also Microsoft bietet solche MCU -die ja keine Auswirkung haben- an Spaß an der Freud an? Gewagte These.
Du meinst also Microsoft bietet solche MCU -die ja keine Auswirkung haben- an Spaß an der Freud an? Gewagte These.
PC-Bastler_2011
Volt-Modder(in)
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Danke für den Link, aber eigentlich meinte ich Medial ausgeschlachtete wie bei Intel.
Obwohl, wenn man sich die Seite so durchliest, sind von den 10 (!) aufgeführten Sicherheitslücken (2019) grademal 3 dabei, die Fixes benötigen, der Rest ist ein Statement zu den Lücken mit den Hinweis, dass bisher kein Angriff bei AMD gemeldet wurde.
Wenn ich mir dagegen Intels Seite so angucke: Security Center (2019)
Danke für den Link, aber eigentlich meinte ich Medial ausgeschlachtete wie bei Intel.
Obwohl, wenn man sich die Seite so durchliest, sind von den 10 (!) aufgeführten Sicherheitslücken (2019) grademal 3 dabei, die Fixes benötigen, der Rest ist ein Statement zu den Lücken mit den Hinweis, dass bisher kein Angriff bei AMD gemeldet wurde.
Wenn ich mir dagegen Intels Seite so angucke: Security Center (2019)
AW: Intel stopft 77 Sicherheitslücken mit Microcode-Updates und entdeckt neue Zombieland-Malware
Die Kommunikation war und ist miserabel, ja. Aber solange man bei AMD nach jedem "wir sind [soweit wir wissen] nicht betroffen"-Statement 6-12 Monate Uni-Veröffentlichungen abwarten muss um zu wissen, ob die Lücke in Zen tatsächlich nicht vorhanden ist oder ob man es nur nicht für nötig hält, mal nachzugucken (von älteren Architekturen ganz zu schweigen), werfe ich keine Steine in irgend eine Richtung. (Gibt ja auch genug andere, die mir diese Arbeit abnehmen)
Was mich als Technik-Redakteur am meisten stört ist aber die mangelhafte Dokumentation dieser nebenbei-Veröffentlichungen.
Natürlich ist PCGH ein Spezialfall, der zwischen 95 Prozent der Weltbevölkerung ("Mir doch egal") und einer kleinen Gruppe Profis ("[Spezialistenanlayse die niemand versteht]") wenig Beachtung findet. Aber unsere Leser haben definitiv großes Interesse an dem Thema und wir Redakteure haben weder die Zeit noch irgend einen anderen Anlass dafür, uns in die Programmierung jedes einzelnen Server-Features einzulesen. Ich versuche zwar, trotzdem einen groben Überblick zu behalten, aber wäre es soviel verlangt, einfach ranzuschreiben wer von welcher Lücke nicht betroffen ist? Gerade bei exotischen Befehlssatzerweiterungen weiß man bestenfalls, welche man selbst mit Sicherheit nutzt aber nur sehr selten welche man alle nicht nutzt. Und dann werden mehrere dutzend Fixes veröffentlicht und man müsste bei jedem einzelnen recherchieren, wofür die betroffene Funktion eigentlich gut ist, unter welchen Bedingungen sie zur Verfügung steht und welche Software sie möglicherweise einsetzen könnte und dann muss man noch herausfinden welche Einbringungsmöglichkeiten mit dem vorgeschlagenen Exploit funktionieren könnten und welche nicht. Am Ende von mehreren Stunden Arbeit pro Fehler steht dann in aller Regel "betrifft Heimanwender gar nicht". Siehe zum Beispiel den jetzigen Hack für TSX – eine nur bei Xeons und einigen High-End-Core-Modellen implementierte Funktion, die meist händisch im UEFI aktiviert werden müsste um überhaupt aktiv zu werden und die eigens für die Beschleunigung großer Datenbanken gedacht ist. Können Intel (und AMD) da nicht direkt ranschreiben, dass Endkunden 100 Prozent sicher sind, weil sie die Funktion gar nicht nutzen?
Hier wurden gerade 77 Fixes veröffentlicht und auf einige weitere Lücken verlinkt, ein Teil der Leser macht sich in die Hose, Intel-Hasser beschwören einen Shitstorm herauf und Fans der Gegenseite werfen den Mist weiter in Richtung von AMD, in der Hoffnung dass ein Teil der dampfenden Kacke kleben bleibt und das alles (möglicherweise) wegen gar nichts. Intel ist für gewöhnlich nicht gut darin, aus den Fehlern anderer zu lernen, aber vielleicht sollten sich die Verantwortlichen noch einmal AMDs TLB-Debakel angucken. Das betraf eigentlich so gut wie keinen Endkunden. Aber ehe die Endkunden wussten, dass dem so ist, war ein Dreiviertel Jahr mit vielen Flames und wenig Verkäufen vergangen. Einfach nur weil niemand bereit war, direkt die ganze Story zu erzielen aus Angst, dass sie dann noch mehr Aufmerksamkeit erhält.
Als wenn dieses Prinzip jemals funktioniert hätte.
Ja, aber Hand aufs Herz es ist schon etwas dreist was Intel da probiert hat
Die Kommunikation war und ist miserabel, ja. Aber solange man bei AMD nach jedem "wir sind [soweit wir wissen] nicht betroffen"-Statement 6-12 Monate Uni-Veröffentlichungen abwarten muss um zu wissen, ob die Lücke in Zen tatsächlich nicht vorhanden ist oder ob man es nur nicht für nötig hält, mal nachzugucken (von älteren Architekturen ganz zu schweigen), werfe ich keine Steine in irgend eine Richtung. (Gibt ja auch genug andere, die mir diese Arbeit abnehmen
)Was mich als Technik-Redakteur am meisten stört ist aber die mangelhafte Dokumentation dieser nebenbei-Veröffentlichungen.
Natürlich ist PCGH ein Spezialfall, der zwischen 95 Prozent der Weltbevölkerung ("Mir doch egal") und einer kleinen Gruppe Profis ("[Spezialistenanlayse die niemand versteht]") wenig Beachtung findet. Aber unsere Leser haben definitiv großes Interesse an dem Thema und wir Redakteure haben weder die Zeit noch irgend einen anderen Anlass dafür, uns in die Programmierung jedes einzelnen Server-Features einzulesen. Ich versuche zwar, trotzdem einen groben Überblick zu behalten, aber wäre es soviel verlangt, einfach ranzuschreiben wer von welcher Lücke nicht betroffen ist? Gerade bei exotischen Befehlssatzerweiterungen weiß man bestenfalls, welche man selbst mit Sicherheit nutzt aber nur sehr selten welche man alle nicht nutzt. Und dann werden mehrere dutzend Fixes veröffentlicht und man müsste bei jedem einzelnen recherchieren, wofür die betroffene Funktion eigentlich gut ist, unter welchen Bedingungen sie zur Verfügung steht und welche Software sie möglicherweise einsetzen könnte und dann muss man noch herausfinden welche Einbringungsmöglichkeiten mit dem vorgeschlagenen Exploit funktionieren könnten und welche nicht. Am Ende von mehreren Stunden Arbeit pro Fehler steht dann in aller Regel "betrifft Heimanwender gar nicht". Siehe zum Beispiel den jetzigen Hack für TSX – eine nur bei Xeons und einigen High-End-Core-Modellen implementierte Funktion, die meist händisch im UEFI aktiviert werden müsste um überhaupt aktiv zu werden und die eigens für die Beschleunigung großer Datenbanken gedacht ist. Können Intel (und AMD) da nicht direkt ranschreiben, dass Endkunden 100 Prozent sicher sind, weil sie die Funktion gar nicht nutzen?
Hier wurden gerade 77 Fixes veröffentlicht und auf einige weitere Lücken verlinkt, ein Teil der Leser macht sich in die Hose, Intel-Hasser beschwören einen Shitstorm herauf und Fans der Gegenseite werfen den Mist weiter in Richtung von AMD, in der Hoffnung dass ein Teil der dampfenden Kacke kleben bleibt und das alles (möglicherweise) wegen gar nichts. Intel ist für gewöhnlich nicht gut darin, aus den Fehlern anderer zu lernen, aber vielleicht sollten sich die Verantwortlichen noch einmal AMDs TLB-Debakel angucken. Das betraf eigentlich so gut wie keinen Endkunden. Aber ehe die Endkunden wussten, dass dem so ist, war ein Dreiviertel Jahr mit vielen Flames und wenig Verkäufen vergangen. Einfach nur weil niemand bereit war, direkt die ganze Story zu erzielen aus Angst, dass sie dann noch mehr Aufmerksamkeit erhält.
Als wenn dieses Prinzip jemals funktioniert hätte.
Zuletzt bearbeitet:
Ähnliche Themen
