Aktuelles
  • Hallo Gast!
    Wir haben wieder unsere jährliche Umfrage zu dem IT-Kaufverhalten und den Meinungen unserer Leser zu aktuellen Trends. Als Gewinn wird dieses Mal unter allen Teilnehmern eine ZOTAC Magnus One im Wert von 1.599 Euro verlost. Über eine Teilnahme würden wir uns sehr freuen!

Predictive Store Forwarding ist mögliche Sicherheitslücke für alle Zen-3-Prozessoren

Thread Starter
Mitglied seit
06.03.2017
Beiträge
13.188
ryzen_5000_logo.jpg
In einem Whitepaper haben AMDs Sicherheitsforscher eine Analyse zu einem möglichen Sicherheitsrisiko beim Predictive-Store-Forwarding-Feature (kurz: PSF) der Öffentlichkeit offenbart. Die Sicherheitslücke soll ausschließlich die aktuellen Zen-3-Prozessoren betreffen und von der Schwere her ähnlich sein, wie die Spectre-V4-Lücke. Die positive Nachricht ist natürlich, dass sich PSF deaktivieren lässt.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Holzmann

The Saint
Mitglied seit
02.05.2017
Beiträge
25.797
Ort
50.969
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
 
Zuletzt bearbeitet:

Luxxiator

Experte
Mitglied seit
01.12.2017
Beiträge
1.592
Ort
Thüringen
Stell Dir mal vor, AMD verheimlicht das und fliegt wie Intel irgendwann auf. Solche Steilvorlagen sollte man nicht geben...

Warum es allerdings ein Feature braucht, dass eh "nur " 0,5% Mehrleistung bringt?
Gute Frage.... :unsure:
 

Richard88

Semiprofi
Mitglied seit
05.11.2020
Beiträge
253
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
Wird wohl je nach situation anders sein. Und wenn jemand gleich mal ne serverfarm von AMD bezieht. Können 0,5% schnell mal eine eingesparte SW lizenz sein.
 

Holzmann

The Saint
Mitglied seit
02.05.2017
Beiträge
25.797
Ort
50.969

sch4kal

Experte
Mitglied seit
18.07.2016
Beiträge
2.530
Stell Dir mal vor, AMD verheimlicht das und fliegt wie Intel irgendwann auf. Solche Steilvorlagen sollte man nicht geben...


Gute Frage.... :unsure:
Achso, von wem wurden denn die ganzen Forschungen finanziert, die die ganzen Sidechannel-Lücken offen legten ?
 

n3cron

Semiprofi
Mitglied seit
13.05.2020
Beiträge
1.091
Ort
Großhabersdorf
Viel wichtiger ist einfach die Tatsache das ich über Linux die Funktion deaktivieren, aber über Windows 10 nicht.

Heißt das im Umkehrschluss ?Kann ich über Linux per Remote über die CLI Schadcode einschleusen und bei Windows 10 nur mit physischem Zugang?
So genau wird das nicht beschrieben, sei es drum. Wer Server hat, hat in der Regel eh Linux (VMware)und deaktiviert das feature. Man muss alles einfach viel nüchterner betrachten.

So viele Sicherheitslücken die Windows selbst hat und Leute meckern über komplexe Sicherheitslücken die man nicht einfach mal eben ausführen kann wie bei den Prozessoren.
Die Intel Sicherheitslücken sind für privat Anwender auch nicht relevant, sondern eher im B2B / Server Farmen und selbst da brauch man Administrative Berechtigung und dann kommt noch die Frage ob man das nur nativ ausnutzen kann oder auch aus einer Virtualisierten Maschine etc.

Sicherheitslücken wo man physischen Zugang brauch um diese Auszunutzen, finde den Fehler ....xD
 
Zuletzt bearbeitet:

Sockrattes

Experte
Mitglied seit
18.08.2013
Beiträge
311
Ort
Schwabenland
Halb so wild da PSF deaktivierbar ist, sehr löblich auch, dass es AMD selber meldet.
Warum es allerdings ein Feature braucht, dass eh "nur" 0,5% Mehrleistung bringt, könnte hierbei noch hinterfragt werden.
Da 0,5%, hier 0,2% und dort 0,8%. Nach und nach kommen dann doch gewisse Leistungsverbesserungen zum Vorschein. Daß diese potentzielle Angriffsflächen bieten ist halt die Kehrseite. Aber für Otto-Normalverbraucher eigentlich kein Thema. Unternehmen sind hier eher angepisst wenn es eine Attacke gibt.
 

Paddy92

Enthusiast
Mitglied seit
23.08.2010
Beiträge
1.783
Nicht die erste und letzte Lücke in ner CPU, wie bereits angemerkt ist aber AMDs Verhalten etwas offener... ob es mir als Kunden jetzt etwas bringt wage ich aber zu bezweifeln, da ich die Lücke nicht schließen kann.
Ist diesem Fall mag das Verhalten von AMD wohl ein wenig offener sein, aber auch AMD ist da nicht immer ganz offen. Z.B. Ist AMD nicht offen damit, dass man auch von Foreshadow betroffen...
 

n3cron

Semiprofi
Mitglied seit
13.05.2020
Beiträge
1.091
Ort
Großhabersdorf
Bei Team Green wird es Kommentarlos einfach in die Patchnotes beigefügt xD
1617786282317.png
 

n3cron

Semiprofi
Mitglied seit
13.05.2020
Beiträge
1.091
Ort
Großhabersdorf
Wieso wird da kein Link reingeschoben? Wird auch nicht sehr öffentlich gemacht das ganze. Während ich von Intel und AMD immer mal wieder in den News was lese ist über Nvida immer nichts zu hören.
Ist aber auch egal, Es wird ja immer nur auf AMD und Intel rumgeritten, das Nvidia auch Server Virtualisierungslösungen(vGPU) anbieten ist wohl nicht relevant.
 

Paddy92

Enthusiast
Mitglied seit
23.08.2010
Beiträge
1.783
Wieso wird da kein Link reingeschoben?
Hä?
Die Links dazu befinden sich dann in der PDF mit den Release Notes, wenn da irgendwelche Lücken gefixed wurden.

Ist jetzt aber auch genug zu Nvidia. Denn hier geht es um eine Sicherheitslücke bei AMD. ;)
 

florian

Enthusiast
Mitglied seit
09.08.2005
Beiträge
1.932
Hier hat offensichtlich jemand durchgefegt. Das finde ich grundsätzlich gut. Allerdings fehlt der notwendige Hinweis.

Grüße
Florian
 

n3cron

Semiprofi
Mitglied seit
13.05.2020
Beiträge
1.091
Ort
Großhabersdorf
Hä?
Die Links dazu befinden sich dann in der PDF mit den Release Notes, wenn da irgendwelche Lücken gefixed wurden.

Ist jetzt aber auch genug zu Nvidia. Denn hier geht es um eine Sicherheitslücke bei AMD. ;)
Na Hier wird auch allgemein der Umgang mit Sicherheitslücken angekreidet, ich sehe nicht wenn ich mein Experience öffne das ich keinen Hinweis bekomme sondern nur vermüllte unnötige Werbung, anstelle das man unter den news einen Hinweis mit Link zur aktuellen Sicherheitsproblemen reinstellt wird das einfach mehr oder wenig verschwiegen und dann eher Kommentarlos als Einzeiler in den Patchnotes hinterlegt mit "Sicherheitslücken wurden gefixed" finde ich halt nicht so cool.

Stability und Security sind immer erstmal wichtiger, dann kommt erstmal Performance, sowas wie Features die <1% nutzen die optional sind meiner Meinung nach ganz weit hinten.
Welches Game demnächst ANSEL kompatibel ist ??? => Wayne?

In dem Moment wo ich nach Sicherheitslücken und deren Status extra suchen muss und stattdessen Werbung über triviales bekomme, ist halt die Methode schon Fragwürdig.
Grün hätte ja die Möglichkeit durch den Optionalen Zwang von Experience die Leute zumindest mit einem Hinweis zu informieren: "Es wurde eine Sicherheitslücke entdeckt, weitere Infos unter https://www.nvidia.com/de-de/security/
Wäre auch bei AMD Grafikkarten Besitzer möglich, zumal der Treiber auch feststellen kann welchen Prozessor man hat.

Mal davon abgesehen das ich aktiv nach sowas suchen musste um die Seite zu finden. Die ist absolut versteckt und in den Nvidia News wird nicht mal darauf hingewiesen das es Security Fixes gibt oder ähnliches.
Mehr minder sehr schwach gehalten, um nicht zu behaupten fast schon von Vertuschung zu sprechen, sind die anderen nicht besser.

Ich finde es schon relevant wenn ich über vGPU an eine VM weiterreiche und sich ein Schadprogramm über den Treiber Adminrechte holen könnte, schon jetzt nicht ganz trivial auch wenn der Angriff sehr Komplex ist und möglicherweise für den Privatanwender eher trivial ist. Aber jeder der sowas wie BlueStacks verwendet wird automatisch GPU Virtualisierung nutzen auch im privaten Umfeld.


Leider ehrlich gesagt in dem Punkt sind alle großen durchgefallen. Tatsächlich ist in dem Beispiel Intel positiv aufgefallen, unter Lösungen/Sicherheit kommt man zumindest in den richtigen Bereich um weiter such zu können. Bei den anderen Pustekuchen.
Bei AMD ist unter dem Support Bereich zu finden, die machen zwar auch keine große Presse drum aber gänzlich versteckt ist es auch nicht.:rolleyes2:

Bei Nvidia wird in der Fußnote:confused: der Webseite ein Link zu Security angeboten, wieso nicht unter dem Bereich Support z. B?

Vielleicht kann ja Hardwareluxx da einen Journalistischen Test machen wie einfach oder schwer es ist an Infos zu Sicherheitslücken/News zu kommen.
 

thom_cat

Super Moderator
Hardwareluxx Team
Mitglied seit
01.02.2006
Beiträge
43.920
Ort
Hessen\LDK
Hier hat offensichtlich jemand durchgefegt. Das finde ich grundsätzlich gut. Allerdings fehlt der notwendige Hinweis.

Grüße
Florian
ja, es wurde durchgewischt!

off topic und persönliche befindlichkeiten entfernt, bitte sachlich und beim thema bleiben.
 

n3cron

Semiprofi
Mitglied seit
13.05.2020
Beiträge
1.091
Ort
Großhabersdorf
ja, es wurde durchgewischt!

off topic und persönliche befindlichkeiten entfernt, bitte sachlich und beim thema bleiben.
Ich finde auch das man sachlich bleiben sollte. Man darf seine eigene Meinung zu einem Thema äußeren sollte aber niemanden beleidigend oder persönlich angreifen.
 

Holzmann

The Saint
Mitglied seit
02.05.2017
Beiträge
25.797
Ort
50.969

Silberfan

Semiprofi
Mitglied seit
07.04.2017
Beiträge
364
Zumindest unter Linux lässt sich AMDs PSF-Funktion mit CLI-Befehlen (Command Line Interface) deaktivieren - wer auf Nummer sicher gehen möchte. Unter Windows 10 ist es scheinbar nicht möglich, diese Funktion auszuschalten.
Da werden einige Nutzer auf Patches waten müssen während es unter Linux einfach mit ein Paar Befehlen sich Deaktivieren lässt.
 
Oben Unten