Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Hmmm ich bin jetzt seit 1999 in der IT tätig (nicht im Hardware/CPU Umfeld) und befasse mich seit ca 2006 als Hobby mit Hardware. Was ich so höre, ist das Ding richtig groß, ggf noch größer als "Error Inside".
Die Aktien Verkaufe könnten das belegen. Naja wir werden sehen.
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Vielleicht will man die MicroCode Updates auch gar nicht haben für CPUs die älter sind als 2 Jahre, wenn sie den PC um bis zu 40% verkrüppeln.
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

iWebi schrieb:
Der Bug existiert wie lang? Genau seit 1995 und ist bis jetzt was passiert? Nein.

Ich jedenfalls werde nicht das Bios aufspielen.

Gesendet von meinem SM-G935F mit Tapatalk
Zum Vergrößern anklicken....

"Bis jetzt ist nichts passiert" ist ein merkwürdiges Sicherheitsbewußtsein. Lies mal: Re: Sind Core 2 Duo und altere tatsachlich n… | Forum - heise online

Nicht zwingend. Der Exploit braucht ja nicht nur Speculative Execution als solches. Die muß auch noch so funktionieren, daß sie Befehle ausführt und auf Speicher zugreift für die die Erlaubnis fehlt, d.h. die Prüfung auf Segfault darf erst nach der Ausführung stattfinden.

AMD nutzt ja auch Speculative Execution und scheint trotzdem nicht im selben Umfang betroffen zu sein. So einfach ist das also nicht.

Neuere CPUs werden auch deutlich mehr Code spekulativ ausführen können, da der Unterschied zwischen Cache- und Hauptspeicher-Geschwindigkeit immer größer wurde, d.h. neuere CPUs haben mehr Zyklen totzuschlagen.

Ich könnte mir auch vorstellen, daß das Thema Speculative Execution anfangs deutlich konservativer angegangen wurde, da es z.B. für Memory-Mapped-IO ziemlich furchtbare Konsequenzen hat - und wenn z.B. nur mit Registerwerten spekulativ gerechnet wird (d.h. ohne Speicherzugriffe), dann funktioniert der Exploit schonmal gar nicht.
Zum Vergrößern anklicken....

Ums mal einfach zu sagen. Frühere CPUs waren teilweise auch nicht schnell genug, um programmatisch diese Lücken ausnützen zu können.
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

iWebi schrieb:
Der Bug existiert wie lang? Genau seit 1995 und ist bis jetzt was passiert? Nein.
Ich jedenfalls werde nicht das Bios aufspielen.
Zum Vergrößern anklicken....

FireFox hat mit einem der vergangenen Updates eine Website (irgendein Unternehmen) als unsicher geflaggt.
Daraufhin hat sich der Admin im Forum beschwert, was das solle, er nutze seit Jahren die gleichen Protokolle und bislang wäre noch nie was passiert.
Stunde später war sein System gehackt & im gleichen Thread wurde aufgezeigt welche Sicherheitslücken seit JAHREN dort existiert haben.

Warum ist nichts passiert?
Reiner, beschissener Zufall.

Jeder kann sein System patchen, oder es lassen. Aber bitte: Kommt nicht heulend wieder an wenn bekannte Sicherheitslücken nur aufgrund von Faulheit / Ignoranz dann tatsächlich ausgenutzt werden.
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Tekkla schrieb:
Warum muss man die speichern?Der Witz an der Lücke ist doch, dass man aus einem Programm heraus den Speicher von anderen Programmen und auch Kernelspeicher auslesen kann
Zum Vergrößern anklicken....
Weil ich nur ein Mensch bin und die Sicherheitslücke etwas falsch verstanden habe ;)
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Habe für mein X79 Extreme 4 mit i7 3930K den ASRock Support zum Thema angeschrieben.

Hier die Rückmeldung:

Hallo,

Wir sind schon mit Intel in Kontakt um dieses zu prüfen und schnellstmöglich eine Lösung anzubieten.
Sobald eine Lösung verfügbar ist, wird diese natürlich schnellstmöglich zur Verfügung gestellt.

Mit freundlichen Grüßen

ASRock Support

ASRock Europe B.V.
Bijsterhuizen 1111
6546 AR Nijmegen
The Netherlands

Also sollte auch bei ASRock in absehbarer Zeit noch etwas passieren. :daumen:
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Für mein Asus H170ProGaming (Win10 64Bit) steht noch kein Update zur Verfügung!!??
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Jetzt mal Hand aufs Herz. Wer glaubt sonst noch, dass dieser "BUG" nicht erst vor 6 Monaten entdeckt wurde? Das kann mir niemand erzählen, dass den CPU- Herstellern dass nie aufgefallen ist, die Produktion ist ein kompliziertes Hi-Tech Verfahren, die Teile werden vorher entworfen und auch getestet. Ich denke eher, dass dies wegen des Kampfes um den schnellsten Prozessor sehenden Auges in Kauf genommen wurde. Seit 1995 ? Ehrlich?
Warum aber jetzt damit plötzlich an die Öffentlichkeit gegangen wird, das wäre die interessante Frage.
 
Zuletzt bearbeitet:
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Ich glaube das. Wenn man sich ansieht, wie der Angriff funktioniert, dann ist es zumindest nicht besonders wahrscheinlich (wenn auch nicht unmöglich), dass da schon vorher jemand drauf gekommen ist. Dazu muss man schon um eine Reihe von Ecken denken und bestimmte Angriffsprinzipien entwickelt haben (z.B. die Zeitmessung über die man indirekt die Funktionalität des Caches zum Ableiten von Bits missbraucht). Die meisten hier stellen sich das glaube ich zu trivial vor.

Einfach wirds erst dann, wenn jemand anderer die Denkarbeit und Forschungsarbeit vorher schon geleistet hat.
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

iWebi schrieb:
Der Bug existiert wie lang? Genau seit 1995 und ist bis jetzt was passiert? Nein.

Ich jedenfalls werde nicht das Bios aufspielen.

Gesendet von meinem SM-G935F mit Tapatalk
Zum Vergrößern anklicken....

:nene:
Na ja mir soll es egal sein, bei Spectre gefährdest nur Du dich selbst, leider wird dieses Denken aber oft auf das ganze System angebracht.
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Grestorn schrieb:
Ich glaube das. Wenn man sich ansieht, wie der Angriff funktioniert, dann ist es zumindest nicht besonders wahrscheinlich (wenn auch nicht unmöglich), dass da schon vorher jemand drauf gekommen ist. Dazu muss man schon um eine Reihe von Ecken denken und bestimmte Angriffsprinzipien entwickelt haben (z.B. die Zeitmessung über die man indirekt die Funktionalität des Caches zum Ableiten von Bits missbraucht). Die meisten hier stellen sich das glaube ich zu trivial vor.

Einfach wirds erst dann, wenn jemand anderer die Denkarbeit und Forschungsarbeit vorher schon geleistet hat.
Zum Vergrößern anklicken....

EIn Freund, der sich beruflich mit der Materie wesentlich besser auskennt als ich, sagte ähnliches. Es geht ja nicht darum, ob es schon von Hackern ausgenutzt wurde, das halte ich auch für unwahrscheinlich. Die Frage war aber, war es den Herstellern nicht doch früher bekannt, als sie jetzt zugeben wollen? Das Hard- und Software eigentlich immer unentdeckte Fehler haben, die auch Profis oft bemerken, selbstverständlich. Aber über 20 Jahre ? Der Bug wurde immer auf die nächste CPU-Generation portiert? Ok, vielleicht ist es so geschehen, aber ich halte das für unwahrscheinlich. Unabhängig davon, die Veröffentlichung hätten sie sich sparen sollen, obwohl ich eigentlich immer für Transparenz bin. Jetzt beginnt nämlich die Entwicklung, oder wie Du es genannt hast, Forschungsarbeit. Und es werden Verfahren entwickelt werden, die irgendwann einfach zu handhaben sind. Das sollte man aus der Vergangenheit gelernt haben, es wurde alles geknackt und jede Lücke genutzt, die es gibt. Da Spectre nicht durch Patches behoben werden kann, das ist jetzt bereits klar, wird es dann nur die Möglichkeit geben, offline zu bleiben, kein Online-Banking oder sonst kritisches zu betreiben und dann die neue CPU Generation zu kaufen, die es momentan noch nicht gibt.
In mehreren anderen Foren, oder in den Kommentaren unter News-Artikeln zu diesem Thema hört man immer das gleiche: momentan besteht wohl, gerade für Otto-Normal, keine Gefahr, viele stellen sich das zu trivial vor. Aber jeder warnt davor, wenns mal ausgenutzt werden kann.
Man muss halt abwarten und Tee trinken ;)
 
AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Ich halte es für denkbar, dass ein Prozessor-Ingenieur schon mal mit flauem Gefühl gedacht hat, "rein theoretisch würde eine verworfene Branch-Prediction ja Reste im Cache hinterlassen... Und wenn man es ganz genau nimmt, könnte man über die Analyse der Antwortzeiten.... Ugh... denken wir mal lieber nicht weiter drüber nach... " (jetzt mal grob vereinfacht).

Von der Idee zur Erforschung und einem funktionierenden Proof of Concept ist es aber ein weiter Weg. Dass sich ein Prof und ein paar Studenten dem Thema angenommen haben, ist vermutlich - neben einem wirklich engagierten Hacker - der einzige Weg, wie das jemals ans Tageslicht kommen konnte. Es ist schon denkbar, dass in absoluten Elite-Hacker Kreisen so etwas bekannt war. Bei Intel selbst, auf Ebene von Leuten wo etwas entschieden wird, halte ich das für ausgesprochen unwahrscheinlich.

Genaues kann man natürlich nie wissen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH_Sven
News AMD Ryzen: Sicherheitslücken bedrohen alle CPU-Generationen
Antworten
9
Aufrufe
1K
ΔΣΛ
ΔΣΛ
PCGH-Redaktion
News Asrock-Update: AM5-Mainboards mit BIOS für Ryzen 9 9950X3D2
Antworten
11
Aufrufe
664
HardWareFresser87
HardWareFresser87
PCGH_Jacky
News Asus AEMP: Neue BIOS-Versionen verbessern DDR5-Mischbetrieb
Antworten
3
Aufrufe
316
PCGH_Dave
PCGH_Dave
PCGH_Jacky
News Asus AM5-Mainboards: BIOS 2102 soll Bitlocker-Problem beheben
Antworten
2
Aufrufe
397
PCGH_Torsten
PCGH_Torsten
PCGH-Redaktion
News Kampf gegen PC-Cheater: Valorant-Entwickler findet Sicherheitslücke in bekannten Mainboards
Antworten
19
Aufrufe
1K
x2K
x2K
Oben Unten
Zurück