Sicherheitshinweise von Intel: Neue BIOS-Updates

[HWL News Bot]

Da der US-amerikanische Halbleiterhersteller Intel die Frequenz der BIOS-Updates reduzieren möchte, werden Sicherheitslücken aktuell nur noch quartalsweise veröffentlicht. So wurden am 12. März diesen Jahres seitens Intel unter anderem die Bugs des vierten Quartals des Jahres 2018 veröffentlicht. Insgesamt sind 17 Probleme vermeldet worden. Dies bezieht sich unter anderem auf die Firmware der Management Engine (ME) alias Converged Security and Management Engine (CSME). Aber auch die Unterfunktionen Trusted Execution Engine (TXE) und Active Management Technology (AMT) sind betroffen.Dabei handelt es sich unter anderem um Produkte wie die Core-i-Modelle der siebten und achten...

... weiterlesen

 

[Mr.Mito]

Gibt für die meisten Systeme ja eh mal wieder keine Updates, wie immer. So lange da seitens der Politik nicht endlich mal was passiert, wird sich das auch nicht ändern.

 

[FirstAid]

Ironie an: So erhöht INTEL die Sicherheit seiner Prozessoren. Was sind schon Meltdown, Spectre, Fore Shadow. Spoiler. Ironie aus!

 

[Holzmann]

Das nenn ich mal ne schnelle Reaktion von Intel top, Jetzt wäre mal wieder ein Performance-Test angebracht.

 

[fortunes]

Wird man von Sicherheitsexperten, auf dem offiziellen Wege mit den 90 Tagen Frist, auf die Sicherheitslücken hingewiesen, kann man in Ruhe patchen.

Aber wehe Paddy92 liest das hier, der denkt dann gleich wieder an "Ryzenfall", bei dem auf einen AMD-Aktienkursfall spekuliert und die Sicherheitshinweise deutlich vor den 90 Tagen veröffentlicht wurden.

Tja, so kann es gehen, wenn man sich an das normale Protokoll hält.

 

[Paddy92]

Aber wehe Paddy92 liest das hier, der denkt dann gleich wieder an "Ryzenfall", bei dem auf einen AMD-Aktienkursfall spekuliert und die Sicherheitshinweise deutlich vor den 90 Tagen veröffentlicht wurden.

Ich habe das Vorgehen von CTS-Lab ebenfalls kritisiert. Also was genau ist dein Problem?

 

[fortunes]

Ich habe das Vorgehen von CTS-Lab ebenfalls kritisiert. Also was genau ist dein Problem?

Keins. Aber wo bleibt dein Aufschrei über diese Sicherheitslücken, die denen von "Ryzenfall" ähneln? Wieder ist Intels ME betroffen, wie damals AMDs PSP. Aber hier ist es egal, weil hier durfte Intel ja in Ruhe 90 Tage lang patchen.

Bei Meltdown und Spectre, über die Intel bereits im Juni 2017 informiert wurde, ist bis Weihnachten nichts passiert. Über zwei Monate. Google als Entdecker der Schwachstelle hat sogar ein zweites Mal um 90 Tage die Frist verlängert.

Aber Ryzenfall ist genau so schlimm wie Meltdown, Spectre & Co.

 

[thegian]

Manche sollten vielleicht einfach mal an die frische Luft.
Jetzt wird man schon angefeindet wenn man in einer News was geschrieben hat und in der anderen halt nicht. Damit das Gleichgewicht stimmt oder was?
Und dieses "mal abwarten wie lange es geht bis User X schreibt" total krank, echt jetzt

Edit: Eigentlich wollte ich mir diesen Kommentar sparen, aber geht mal durch die News in den letzten Tagen durch und ihr werdet sehen was ich meine. Man kann keine verd.... CPU/GPU News mehr durchlesen ohne die selbe Art von Kommentar zu lesen.

 

[Gamerkind]

Keins. Aber wo bleibt dein Aufschrei über diese Sicherheitslücken, die denen von "Ryzenfall" ähneln? Wieder ist Intels ME betroffen, wie damals AMDs PSP.

Es geht hier um Intel, da reagieren viele anders als bei AMD:\

 

[Joshua2go]

Ist doch wie bei der Boing, da sollte ein Sicherheitsupdate erst ein halbes Jahr nach dem Absturz geliefert werden. Jetzt sieht man, wohin sowas führt. Der Intel-Prozessor sollte ganz vom Markt genommen werden.

 

[fl0]

Bei Meltdown und Spectre, über die Intel bereits im Juni 2017 informiert wurde, ist bis Weihnachten nichts passiert.

das stimmt so nicht, der ceo hat seine aktien verkauft. :P

 

[Paddy92]

Keins. Aber wo bleibt dein Aufschrei über diese Sicherheitslücken, die denen von "Ryzenfall" ähneln? Wieder ist Intels ME betroffen, wie damals AMDs PSP. Aber hier ist es egal, weil hier durfte Intel ja in Ruhe 90 Tage lang patchen.

Bei Meltdown und Spectre, über die Intel bereits im Juni 2017 informiert wurde, ist bis Weihnachten nichts passiert. Über zwei Monate. Google als Entdecker der Schwachstelle hat sogar ein zweites Mal um 90 Tage die Frist verlängert.

Aber Ryzenfall ist genau so schlimm wie Meltdown, Spectre & Co.

Gegenfrage, wo ist deine Erklärung, dass diese Lücken sinnfrei sind, da der Angreifer physischen Zugriff benötigt?
Oder warum hat AMD länger als Intel gebraucht Updates gegen Spectre zu liefern, obwohl diese ja auch frühzeitig informiert wurden?

Was soll dieser Kindergarten?!

 

[fortunes]

Gegenfrage, wo ist deine Erklärung, dass diese Lücken sinnfrei sind, da der Angreifer physischen Zugriff benötigt?

Wo habe ich gesagt, dass sie sinnfrei sind? Es sind normale Sicherheitslücken wie die bei Intels ME auch. Da kommen regelmäßig CVEs rein und die Patches folgen auf dem Fuße. Alles normal, wo sich niemand aufregt. Aber Bei "Ryzenfall & Co.", das nichts anderes ist, wird dann gehyped.

Oder warum hat AMD länger als Intel gebraucht Updates gegen Spectre zu liefern, obwohl diese ja auch frühzeitig informiert wurden?

Weil die zahlreichen Angriffsvektoren erst später kamen. AMD ging ja davon aus, dass sie nicht betroffen sind, bis man kurze Zeit später einen Weg fand, SpectreV2 doch auf AMD anzuwenden. Das gleiche Spiel bei Meltdown. Intel war ja glasklar von Anfang an betroffen. Aber Meltdown, Spectre, Spoiler (und was da noch so alles kommt) sind ja erst der Anfang. Witzig ist nur, dass Intel beim Thema Sicherheit "voll auf die Zwölf" bekommt, die CPUs von AMD sich jedoch deutlich resistenter zeigen.

 

[Jaimewolf3060]

@fortunes

Könnte am viel geringeren Anteil der AMD CPU‘s liegen!

 

[fortunes]

@fortunes

Könnte am viel geringeren Anteil der AMD CPU‘s liegen!

Seit Bekanntwerden von Meltdown, Spectre & Co. sitzen permanent Tüftler an den CPUs aller Hersteller. Deswegen kommt ja nachträglich so viel Mist rein.

Und trotzdem ist die Bandbreite bei Intel ungleich höher. Am Anfang - ja, das kann ich mir vorstellen, dass der Fehler zuerst bei Intel aufgrund der Marktverbreitung aufgetaucht ist. Aber jetzt hat das nichts mehr mit der Verteilung zu tun.

 

[Paddy92]

Wo habe ich gesagt, dass sie sinnfrei sind?

Das war deine erste Reaktion zu den AMD-Flaws:

"Dazu muss der Angreifer allerdings das BIOS des verwendeten Mainboards flashen können."

Für viele der beschriebenen Angriffe ist ein Zugriff mit Administrator-Rechten notwendig – teilweise in Kombination mit neu signierten Treibern.



Diese Anleitung beschreibt, wie man problemlos aus jedem Gefängnis der Welt ausbrechen kann. Voraussetzung dafür ist, dass man sich außerhalb des Gefängnisses befindet.

oder hier:

Ja, letztlich ist jedes Sicherheitssystem anfällig, weil Menschen daran programmiert haben.

Ich empfinde jedoch das, was hier präsentiert wird, einfach nur lächerlich. Die Voraussetzungen, um die "Fehler" ausnutzen zu können, laufen quasi darauf hinaus, an dem PC zu sitzen und Admin zu sein oder wenigstens laaaaaaange Zeit unbeobachtet an dem PC mit AMD-Technik hantieren zu können.

Was ein ganz großer Käse von den Deppen.

- - - Updated - - -


Naja, auch die "Lücken" an sich sind fragwürdig. Wieso spricht man von einer Lücke, wenn man entweder physikalischen Zugriff auf den PC und/oder Admin-Rechte braucht, um diese überhaupt ausnutzen zu können?

Die "Lücken" klingen eher nach Programmierfehlern, die ohne großflächigen Zugriff von außen eher gar nicht auszunutzen sind.

und ganz frisch:

Für die restlichen "Probleme" benötigst du Admin-Rechte auf dem angegriffenen PC. Und genau das hinterfragt die Sinnhaftigkeit der "Probleme". Wenn ich eh schon Admin auf der Maschine bin - was soll das dann?

AMD ging ja davon aus, dass sie nicht betroffen sind, bis man kurze Zeit später einen Weg fand, SpectreV2 doch auf AMD anzuwenden.

Ach, hast du denn auch einen Beleg für diese Aussage?
AMD sprach von einem near-zero risk und nirgends davon, dass sie nicht betroffen seien..
Zudem ist dem offiziellen Whitepaper zu Spectre zu entnehmen, dass AMD von beiden Varianten von Anfang an betroffen war. Dieses ganze nur theoretisch betroffen oder was weiß ich, wurde von anderen Leuten in Umlauf gebracht.

 

[fortunes]

und ganz frisch:

Ich kürze mal ab, weil meine Aussage es doch treffend auf den Punkt bringt.

Deine Unterstellung der "Sinnfreiheit" habe ich nie zum Ausdruck gebracht. Ich habe die Sinnhaftigkeit hinterfragt. Äpfel und Birnen.

Ach, hast du denn auch einen Beleg für diese Aussage?
AMD sprach von einem near-zero risk und nirgends davon, dass sie nicht betroffen seien..
Zudem ist dem offiziellen Whitepaper zu Spectre zu entnehmen, dass AMD von beiden Varianten von Anfang an betroffen war. Dieses ganze nur theoretisch betroffen oder was weiß ich, wurde von anderen Leuten in Umlauf gebracht.

Daniel Gruss, Mitentdecker des Exploits, gibt im Interview an, dass man AMD, wie Intel auch, mitgeteilt hätte, dass die Fehler bestehen. Von AMD bekam man wohl aber die Antwort, dass die eigenen CPUs nicht betroffen seien:
Meltdown- und Spectre-Mitentdecker Daniel Gruss - "Es sind alle Prozessorenhersteller betroffen" (Archiv)

 

[sch4kal]

Witzig ist nur, dass Intel beim Thema Sicherheit "voll auf die Zwölf" bekommt, die CPUs von AMD sich jedoch deutlich resistenter zeigen.

Weil AMD nicht von der vollen Bandbreite an Meltdown und Spoiler betroffen war, sind sie "deutlich resistenter" ? Wohl kaum...
Es war von Anfang an klar, dass OoOe ein Sicherheitsproblem darstellt, völlig egal welche CPU von welchem Hersteller das Verfahren einsetzt.
Meltdown, die schwerwiegendste Lücke (CVSS 3.0 Base Score HIGH), wurde weitestgehend gefixt (bis auf den Leak von Adressregionen, die sowieso eine geringe Relevanz haben).
Die Spectre-Lücken klaffen in nahezu allen aktuellen CPUs, sogar die PowerPC-Architektur von IBM bleibt nicht verschont. Die Komplexität diese Lücke nach all den Gegenmaßnahmen auszunutzen ist hoch (sagt auch der CVSS Score).
Jeder fucking 0-Day einer beliebten Anwendung ist schlimmer als Spectre. Auch die Funktionsweise von AMDs PSP und Intels ME sind grundlegend schlimmer.

Ich versteh deinen Aufschrei bzgl. Intel hier nicht so ganz. Ja, Intel war anfällig für Meltdown und AMD (und alle Anderen außer ein paar ARM) (fast) nicht, ja Meltdown Patches kosten Leistung, aber trotz Fixes waren Intel CPUs in den meisten Anwendungen und Spielen schneller.

 

[Romsky]

Gibt für die meisten Systeme ja eh mal wieder keine Updates, wie immer. So lange da seitens der Politik nicht endlich mal was passiert, wird sich das auch nicht ändern.

Einfach den Ball flach halten. Das ist so eine Panikmache. 99,9% aller User sind davon gar nicht betroffen und benötigen diese Updates einfach nicht. (Die auch noch Leistung kosten). Die User die den Schutz benötigen wissen das schon und kümmern sich auch darum.

 

[Paddy92]

Ich kürze mal ab, weil meine Aussage es doch treffend auf den Punkt bringt.

Deine Unterstellung der "Sinnfreiheit" habe ich nie zum Ausdruck gebracht. Ich habe die Sinnhaftigkeit hinterfragt. Äpfel und Birnen.

Blabla. Zugeben ist eh nicht deine Stärke. Blabla.

Daniel Gruss, Mitentdecker des Exploits, gibt im Interview an, dass man AMD, wie Intel auch, mitgeteilt hätte, dass die Fehler bestehen. Von AMD bekam man wohl aber die Antwort, dass die eigenen CPUs nicht betroffen seien:
Meltdown- und Spectre-Mitentdecker Daniel Gruss - "Es sind alle Prozessorenhersteller betroffen" (Archiv)

Warum gilt dein Vorwurf dann nur Intel, obwohl AMD genauso geschlampt hat und von Anfang an betroffen war?
Zu behaupten, man sei nicht betroffen, obwohl man nachweislich betroffen ist, ist jetzt nicht sonderlich positiv..

 

[Phantomias88]

Hier gibt es ein paar Infos bezüglich Meltdown/Forceshadow bei AMD:

Wie auch beim Fall Meltdown glauben wir, dass unsere Prozessoren diesen neuen spekulativen Ausführungs-Angriffsvarianten gegenüber nicht anfällig sind: L1 Terminal Fault – SGX (auch als Foreshadow bekannt) CVE 2018-3615, L1 Terminal Fault – OS/SMM (auch als Foreshadow-NG bekannt) CVE 2018-3620 und L1 Terminal Fault – VMM (auch als Foreshadow-NG bekannt) CVE 2018-3646. Dies ist in den Schutzmechanismen für Hardware-Paging in unserer Architektur begründet. Wir empfehlen Kunden, die AMD EPYC™ Prozessoren in ihren Rechenzentren betreiben (inkl. in virtualisierten Umgebungen), keine Foreshadow-bezogenen Software-Abwehrmaßnahmen für ihre AMD-Plattformen zu implementieren.

AMD Prozessorsicherheit | AMD

Am besten immer direkt bei Hersteller nachschauen, Dritte sind meist nie Up to date.

 

[fortunes]

Blabla. Zugeben ist eh nicht deine Stärke. Blabla.

Du solltest nicht von dir auf andere schließen. Ich hinterfrage etwas und stelle es damit für dich direkt als so gegeben dar. Äpfel und Birnen zum zweiten Mal.

Warum gilt dein Vorwurf dann nur Intel, obwohl AMD genauso geschlampt hat und von Anfang an betroffen war?
Zu behaupten, man sei nicht betroffen, obwohl man nachweislich betroffen ist, ist jetzt nicht sonderlich positiv..

Der PoC, dass AMD genau so betroffen ist, kam erst nach der Veröffentlichung von Meltdown & Spectre. Bis dahin hatte AMD selbst getestet und keine Angriffsflächje - im Vergleich zu Intel - gefunden. Es sind ja später noch viel mehr Angriffsvektoren gefunden worden.

Deswegen gab es ja anfangs auch gar keine Angriffsmöglichkeiten, dann plötzlich doch Spectre2 unter bestimmten Voraussetzungen, dann plötzlich Meltdown x.x usw.

 

[Paddy92]

Der PoC, dass AMD genau so betroffen ist, kam erst nach der Veröffentlichung von Meltdown & Spectre. Bis dahin hatte AMD selbst getestet und keine Angriffsflächje - im Vergleich zu Intel - gefunden. Es sind ja später noch viel mehr Angriffsvektoren gefunden worden.

Deswegen gab es ja anfangs auch gar keine Angriffsmöglichkeiten, dann plötzlich doch Spectre2 unter bestimmten Voraussetzungen, dann plötzlich Meltdown x.x usw.

Was laberst du?
Welcher PoC kam erst später?
Welche bestimmten Voraussetzungen?

 

[fortunes]

Was laberst du?
Welcher PoC kam erst später?
Welche bestimmten Voraussetzungen?

Oh man. Hast du alles von damals vergessen.

Wie schon geschrieben und dir quasi wieder mal beigebracht:

AMD ist anfangs davon ausgegangen, dass die Spectres bei AMD-CPUs nicht funktionieren:
Meltdown Spectre: Details und BenchÂ*marks zu den SicherheitsÂ*lücken in CPUs - ComputerBase

Da AMD zunächst daran festhielt, gab es auf Github eine Reihe von PoCs, die das Gegenteil nahelegten. Allerdings mussten dafür die Angriffsvektoren modifiziert werden, weil man nicht die gleichen Angriffsmuster wie bei Intel fahren konnte:
Project Zero: Reading privileged memory with a side-channel

Das Problem bei den ganzen PoCs: keiner hat einen Proof für Ryzen geliefert. Der kam tags darauf:
Spectre example code · GitHub

@Jaime
Ignore.

 

[Paddy92]

Oh man. Hast du alles von damals vergessen.

Ne, du laberst meistens nur Schwachsinn. Lernst du eigentlich nicht daraus, wenn dich jemand korrigiert?
Was frage ich überhaupt, du posaunst den gleichen Quatsch paar Tage wieder in einem anderen Thread rum..

Da AMD zunächst daran festhielt, gab es auf Github eine Reihe von PoCs, die das Gegenteil nahelegten. Allerdings mussten dafür die Angriffsvektoren modifiziert werden, weil man nicht die gleichen Angriffsmuster wie bei Intel fahren konnte:
Project Zero: Reading privileged memory with a side-channel

Kommt jetzt wieder dieses Gelaber über eBPF, was du schon damals nicht geschnallt hast?

Das Problem bei den ganzen PoCs: keiner hat einen Proof für Ryzen geliefert. Der kam tags darauf:
Spectre example code · GitHub

Dir ist aber schon bewusst, dass dies der PoC aus dem Whitepaper zu Spectre ist und laut dem Whitepaper auch auf Ryzen funktioniert hat?!
Das Whitepaper habe ich dir hier schon verlinkt..

Die Intel-Fanatiker können mit Fakten mal wiweder nicht umgehen, sind hier aber eh immer die paar gleichen User...

Du sei doch mal ganz ruhig. Von dir kommt meistens nur polemisches Gelaber und seltenst was konstruktives.
Zeig mir bei welchen Fakten ich falsch liege und erkläre es mir.
Oder kannst du das nicht?

 

[fortunes]

Kommt jetzt wieder dieses Gelaber über eBPF, was du schon damals nicht geschnallt hast?

Dein Leseverständnis ist echt für'n Popo. Ich stelle dir hier einen zeitlichen Ablauf dar und du willst plötzlich wieder über die Voraussetzungen diskutieren.

Du redest hier über die Verwundbarkeit durch eBPF JIT, welches aber nur für V1 eine Rolle spielt.

Dir ist aber schon bewusst, dass dies der PoC aus dem Whitepaper zu Spectre ist und laut dem Whitepaper auch auf Ryzen funktioniert hat?!
Das Whitepaper habe ich dir hier schon verlinkt..

Hier? Nö, du hast nur davon geredet. Verlinkt hast du nichts. Deine grauen Zellen lassen nach.

Du sei doch mal ganz ruhig. Von dir kommt meistens nur polemisches Gelaber und seltenst was konstruktives.
Zeig mir bei welchen Fakten ich falsch liege und erkläre es mir.
Oder kannst du das nicht?

Bei welchen Fakten? Beim Thema cTDP hast du hinterm Mond gelebt und redest dich dann damit raus, dass du mich nur aufziehen wolltest. Du bist der einzige, der dein Geschwafel überhaupt noch glaubt.

 

[p21121970]

Ich will euch nicht stören, aber vielleicht habt Ihr ja nen kleinen Tip für mich. Ich würde auch gerne das neue Bios installieren, möcht aber nicht alles noch mal neu einstellen.Kann ich alle aktuellen Einstellungen sichern und dann unter dem neuen Bios einfach wieder aktivieren? Ich habe ein Asus Rog Strix z390-F gaming

 

[senju]

Update einfach auslassen, da sinnlos.
Um von dem Problem betroffen zu sein, müßte jemand direkt an deinem PC sitzen und daran rumpfuschen.

Da spar ich mir diese nächste Bremse auch

 

[Paddy92]

Dein Leseverständnis ist echt für'n Popo. Ich stelle dir hier einen zeitlichen Ablauf dar und du willst plötzlich wieder über die Voraussetzungen diskutieren.

Du hast doch was von speziellen Voraussetzungen gefaselt und ich habe dich daraufhin gefragt, welche das wären. Den Link hast du halt in diesem Zusammenhang schon öfters gebracht..

Hier? Nö, du hast nur davon geredet. Verlinkt hast du nichts. Deine grauen Zellen lassen nach.

https://spectreattack.com/spectre.pdf

Du hättest es dir auch selber zusammensuchen können. Ich werde halt nachlässig, da ich nicht so wirklich Bock auf deinen Kindergarten hier oder anderen Threads habe...

Du bist der einzige, der dein Geschwafel überhaupt noch glaubt.

Oh und das von jemanden, der nachweislich lügt.

 

[Gamerkind]

Da spar ich mir diese nächste Bremse auch

Was genau soll da den Rechner langsamer machen?