Ernste Sicherheitslücken in allen modernen CPUs (x86, ARM, POWER, SPARC)

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16841

05.01.2018 - 23:05

wäre das hier nicht derzeit die exaktere suche solang es nur ein rollup gibt?
https://www.catalog.update.microsof....aspx?q=2018-01

enjoy

Addicted

Registered: Sep 2000
Location: Tullnerfeld
Posts: 410

06.01.2018 - 08:42

Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau

Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau. EIne Analyse von Andreas Stiller.

Link: www.heise.de

maXX

16 bit herz

Registered: Dec 2002
Location: dahoam
Posts: 10609

06.01.2018 - 13:05

wie soll man sich zur zeit verhalten, wenn man online-banking betreibt?

habe hier einen i7 3790k, windows 8.1 und den aktuellen opera browser (50.xxx).

tia

edit:

opera derzeit nicht sicher. sehe ich das richtig?

https://forums.opera.com/topic/2430...vulnerabilities

Bearbeitet von maXX am 06.01.2018, 13:07

Chrissicom

Rise of the Ryzen

Registered: Jul 2006
Location: Falkensee
Posts: 1942

06.01.2018 - 13:11

Nicht anders als sonst. Davon auszugehen das deswegen gleich dein Konto leer geräumt wird würde ich für paranoid halten. Da ist ein Phishing Angriff wesentlich wahrscheinlicher. Außerdem gibt es mit TAN und Co. ja noch zusätzliche Schutzmechanismen damit man nicht einfach mit Logindaten Geld überweisen kann.

Bearbeitet von Chrissicom am 06.01.2018, 14:12

Garbage

Administrator
The Wizard of Owls

Registered: Jul 2000
Location: GR.ch|TI.ch
Posts: 11338

06.01.2018 - 13:29

Ich verstehe die enorme Panik gerade ohnehin nicht, die v.a. von extrem unwissenden Medien an extrem unwissende Enduser verbreitet wird.

Wenn man sich die Meldungen Abseits von Fachmedien ansieht und die Kommentare dazu, omg ... :bash:

Bei Klagen, die in den USA angeblich schon gegen Intel vorbereitet werden, wird es wohl darum gehen, ob Intel davon lange wusste und trotzdem über x-Jahre nichts dagegen getan hat. Aber das trifft zu einem gewissen Grad auf die anderen Hersteller ja genauso zu.
Jedoch: Nur weil ein Problem existiert, das zum Zeitpunkt der Entwicklung nicht bekannt war und das Produkt selbst nach "best practice" und "state of the art" entwickelt wurde, ergibt sich da imho keine Grundlage für Klagen. Jede CPU hat seit Jahrzehnten sogenannte Errata und gerade bei Intel gab es da immer wieder Probleme mit Funktionen, die dann überhaupt gleich deaktiviert wurden (z.B. TSX bei Haswell-E oder VT-d bei SandyBridge-E C1-Stepping).

Dieer Tweet fasst die technische Seite hinsichtlich Lösungen recht einfach zusammen, wenn auch technisch versierten ohnehin klar:
https://mobile.twitter.com/securely...370010652196864

Dazu passend auch die Meldung zum PSP bei neueren AMD Prozessoren.
https://www.computerbase.de/2018-01...herheitsluecke/

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16841

06.01.2018 - 13:34

Zitat aus einem Post von maXX
wie soll man sich zur zeit verhalten, wenn man online-banking betreibt?

habe hier einen i7 3790k, windows 8.1 und den aktuellen opera browser (50.xxx).

tia

edit:

opera derzeit nicht sicher. sehe ich das richtig?

https://forums.opera.com/topic/2430...vulnerabilities

Imho sind PCs bzw. X86 Architektur und deren os nur bedingt sicher, da es kaum Code integrity checks gibt bzw. diese leicht ausgehobelt werden könnn mangels kryptografisch abgesichertem bootvorgang.
Robusteste Variante sind imho Tablets mit aktuellem patchstand und ohne 3rd party apps (besonders bei android) und ein Handy/Smartphone für 2nd factor. Alternativ kannst auch 2 Smartphones nehmen am besten eines iOS, da dort das sicherheitslevel out of the box höher ist als unter den meisten android Smartphones mit Hersteller und Provider Branding.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12192

06.01.2018 - 14:16

Zitat
Imho sind PCs bzw. X86 Architektur und deren os nur bedingt sicher, da es kaum Code integrity checks gibt bzw. diese leicht ausgehobelt werden könnn mangels kryptografisch abgesichertem bootvorgang.
Robusteste Variante sind imho Tablets mit aktuellem patchstand und ohne 3rd party apps (besonders bei android) und ein Handy/Smartphone für 2nd factor. Alternativ kannst auch 2 Smartphones nehmen am besten eines iOS, da dort das sicherheitslevel out of the box höher ist als unter den meisten android Smartphones mit Hersteller und Provider Branding.

ich fühl mich unter debian linux (stable), ohne fremdrepos plus aktuellste firefox oder chromium version in der hinsicht aber sicherer als mit dem geschlossenen system von apple wo man nicht weiß wieviele security holes noch nicht geschlossen wurden weil apple es nicht für notwendig erachtet...

Bearbeitet von davebastard am 06.01.2018, 14:19

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16841

06.01.2018 - 14:39

faktum ist halt, dass du bei debian auch mainboard rootkits ausgesetzt bist und diese nicht erkennbar sind, ist eben ein architekturproblem. ein sauberes debian ist aber dennoch nicht unsicher - versteh mich da bitte nicht falsch. bleibt aber jedem selbst überlassen ob er ein kommerzielles OS einsetzen will bzw. die zeit und das wissen für debian aufbringen will.
btw: wo ist debians meltdown patch?

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12071

06.01.2018 - 14:43

Zitat aus einem Post von Smut
btw: wo ist debians meltdown patch?

https://www.debian.org/security/2018/dsa-4078

Wer allen Ernstes glaubt, dass Code Signing auch nur irgendwas bewirken kann, um Probleme dieser Natur zu verhindern oder zu beheben, ist bestenfalls ahnungslos.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12192

06.01.2018 - 15:01

Zitat
mainboard rootkits

wurde sowas schon großflächig eingesetzt ? ernst gemeinte frage, ich hätt das als extrem selten eingeschätzt - vor allem im vergleich zu einem möglichen security-issue bei IOS

und bez. Zeit und Aufwand investieren. den Aufwand hast bei Windows und MacOSX auch - ich glaub wir wollen darüber jetzt keine Grundsatzdiskussion starten, noch dazu sind wir in einem Technikforum wo man eine debian installation, die schon lang nimma so komplex ist wie viele tun , imho jedem zutraun kann.

Bearbeitet von davebastard am 06.01.2018, 15:05

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16841

06.01.2018 - 15:04

Zitat aus einem Post von davebastard
wurde sowas schon großflächig eingesetzt ? ernst gemeinte frage, ich hätt das als extrem selten eingeschätzt - vor allem im vergleich zu einem möglichem security-issue bei IOS

sind halt zwei verschiedene ebenen. OS bugs gibt es in debian genauso.
aber ich will euch debian gar nicht ausreden - wenn ihr die sicherheit damit gewährleisten könnt, dann war dieser tipp nicht an euch gerichtet.
als ahnungslos würde ich mich aber nicht bezeichnen colo, du hast einfach dein schwarz weiß denken nie abgelegt über die jahre

HVG

untitled

Registered: Jun 2000
Location: NÖ
Posts: 5968

06.01.2018 - 17:19

Epic Services & Stability Update - Forums

Attention Fortnite community,

We wanted to provide a bit more context for the most recent login issues and service instability. All of our cloud services are

Link: www.epicgames.com

Garbage

Administrator
The Wizard of Owls

Registered: Jul 2000
Location: GR.ch|TI.ch
Posts: 11338

06.01.2018 - 17:26

Negligible impact

In other news:

Intel faces class action lawsuits regarding Meltdown and Spectre

Class action lawsuits have been filed in California, Indiana, and Oregon.

Link: arstechnica.com

Römi

Hausmeister

Registered: Feb 2001
Location: Bez. Tulln
Posts: 5304

06.01.2018 - 19:21

Ich würde den M$ Hotfix nicht installieren!

IMO ist das wieder ein ungetesteter Schnellschuss. Ich weiß von jemand anderem der auch einen bluescreen loop hatte nach dem update.

Und ich wollte gerade mit einem Freund Borderlands TPS coop spielen... was vor kurzem noch ging geht nicht mehr. Er kann keine games joinen und sieht auch keine. Nachdem er das Update deinstalliert hat (das einzige was sich geeändert hat) gehts wieder.
Ich glaube das hat weitreichendere Auswirkungen das update. Und nachdem M$ in letzter Zeit so super ist mit der patch-qualität: wartet lieber.

Dreamforcer

New world Order

Registered: Nov 2002
Location: Tirol
Posts: 9022

06.01.2018 - 19:48

glaub aber eher nicht dass es an ms in dem falle liegt sondern an ner sw die dann nicht mehr mag, sowas ist natürlich für ms extremst schwer zu testen.

ich hatte bei mir keine probleme und auch in der firma habts bei gut 1000 gemonitorten clients kein 10 mit problemen gegeben

Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16841	05.01.2018 - 23:05 wäre das hier nicht derzeit die exaktere suche solang es nur ein rollup gibt? https://www.catalog.update.microsof....aspx?q=2018-01
enjoy Addicted Registered: Sep 2000 Location: Tullnerfeld Posts: 410	06.01.2018 - 08:42 Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau. EIne Analyse von Andreas Stiller. Link: www.heise.de
maXX 16 bit herz Registered: Dec 2002 Location: dahoam Posts: 10609	06.01.2018 - 13:05 wie soll man sich zur zeit verhalten, wenn man online-banking betreibt? habe hier einen i7 3790k, windows 8.1 und den aktuellen opera browser (50.xxx). tia edit: opera derzeit nicht sicher. sehe ich das richtig? https://forums.opera.com/topic/2430...vulnerabilities Bearbeitet von maXX am 06.01.2018, 13:07
Chrissicom Rise of the Ryzen Registered: Jul 2006 Location: Falkensee Posts: 1942	06.01.2018 - 13:11 Nicht anders als sonst. Davon auszugehen das deswegen gleich dein Konto leer geräumt wird würde ich für paranoid halten. Da ist ein Phishing Angriff wesentlich wahrscheinlicher. Außerdem gibt es mit TAN und Co. ja noch zusätzliche Schutzmechanismen damit man nicht einfach mit Logindaten Geld überweisen kann. Bearbeitet von Chrissicom am 06.01.2018, 14:12
Garbage Administrator The Wizard of Owls Registered: Jul 2000 Location: GR.ch\|TI.ch Posts: 11338	06.01.2018 - 13:29 Ich verstehe die enorme Panik gerade ohnehin nicht, die v.a. von extrem unwissenden Medien an extrem unwissende Enduser verbreitet wird. Wenn man sich die Meldungen Abseits von Fachmedien ansieht und die Kommentare dazu, omg ... Bei Klagen, die in den USA angeblich schon gegen Intel vorbereitet werden, wird es wohl darum gehen, ob Intel davon lange wusste und trotzdem über x-Jahre nichts dagegen getan hat. Aber das trifft zu einem gewissen Grad auf die anderen Hersteller ja genauso zu. Jedoch: Nur weil ein Problem existiert, das zum Zeitpunkt der Entwicklung nicht bekannt war und das Produkt selbst nach "best practice" und "state of the art" entwickelt wurde, ergibt sich da imho keine Grundlage für Klagen. Jede CPU hat seit Jahrzehnten sogenannte Errata und gerade bei Intel gab es da immer wieder Probleme mit Funktionen, die dann überhaupt gleich deaktiviert wurden (z.B. TSX bei Haswell-E oder VT-d bei SandyBridge-E C1-Stepping). Dieer Tweet fasst die technische Seite hinsichtlich Lösungen recht einfach zusammen, wenn auch technisch versierten ohnehin klar: https://mobile.twitter.com/securely...370010652196864 Dazu passend auch die Meldung zum PSP bei neueren AMD Prozessoren. https://www.computerbase.de/2018-01...herheitsluecke/
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16841	06.01.2018 - 13:34 Zitat aus einem Post von maXX wie soll man sich zur zeit verhalten, wenn man online-banking betreibt? habe hier einen i7 3790k, windows 8.1 und den aktuellen opera browser (50.xxx). tia edit: opera derzeit nicht sicher. sehe ich das richtig? https://forums.opera.com/topic/2430...vulnerabilities Imho sind PCs bzw. X86 Architektur und deren os nur bedingt sicher, da es kaum Code integrity checks gibt bzw. diese leicht ausgehobelt werden könnn mangels kryptografisch abgesichertem bootvorgang. Robusteste Variante sind imho Tablets mit aktuellem patchstand und ohne 3rd party apps (besonders bei android) und ein Handy/Smartphone für 2nd factor. Alternativ kannst auch 2 Smartphones nehmen am besten eines iOS, da dort das sicherheitslevel out of the box höher ist als unter den meisten android Smartphones mit Hersteller und Provider Branding.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12192	06.01.2018 - 14:16 Zitat Imho sind PCs bzw. X86 Architektur und deren os nur bedingt sicher, da es kaum Code integrity checks gibt bzw. diese leicht ausgehobelt werden könnn mangels kryptografisch abgesichertem bootvorgang. Robusteste Variante sind imho Tablets mit aktuellem patchstand und ohne 3rd party apps (besonders bei android) und ein Handy/Smartphone für 2nd factor. Alternativ kannst auch 2 Smartphones nehmen am besten eines iOS, da dort das sicherheitslevel out of the box höher ist als unter den meisten android Smartphones mit Hersteller und Provider Branding. ich fühl mich unter debian linux (stable), ohne fremdrepos plus aktuellste firefox oder chromium version in der hinsicht aber sicherer als mit dem geschlossenen system von apple wo man nicht weiß wieviele security holes noch nicht geschlossen wurden weil apple es nicht für notwendig erachtet... Bearbeitet von davebastard am 06.01.2018, 14:19
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16841	06.01.2018 - 14:39 faktum ist halt, dass du bei debian auch mainboard rootkits ausgesetzt bist und diese nicht erkennbar sind, ist eben ein architekturproblem. ein sauberes debian ist aber dennoch nicht unsicher - versteh mich da bitte nicht falsch. bleibt aber jedem selbst überlassen ob er ein kommerzielles OS einsetzen will bzw. die zeit und das wissen für debian aufbringen will. btw: wo ist debians meltdown patch?
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12071	06.01.2018 - 14:43 Zitat aus einem Post von Smut btw: wo ist debians meltdown patch? https://www.debian.org/security/2018/dsa-4078 Wer allen Ernstes glaubt, dass Code Signing auch nur irgendwas bewirken kann, um Probleme dieser Natur zu verhindern oder zu beheben, ist bestenfalls ahnungslos.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12192	06.01.2018 - 15:01 Zitat mainboard rootkits wurde sowas schon großflächig eingesetzt ? ernst gemeinte frage, ich hätt das als extrem selten eingeschätzt - vor allem im vergleich zu einem möglichen security-issue bei IOS und bez. Zeit und Aufwand investieren. den Aufwand hast bei Windows und MacOSX auch - ich glaub wir wollen darüber jetzt keine Grundsatzdiskussion starten, noch dazu sind wir in einem Technikforum wo man eine debian installation, die schon lang nimma so komplex ist wie viele tun , imho jedem zutraun kann. Bearbeitet von davebastard am 06.01.2018, 15:05
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16841	06.01.2018 - 15:04 Zitat aus einem Post von davebastard wurde sowas schon großflächig eingesetzt ? ernst gemeinte frage, ich hätt das als extrem selten eingeschätzt - vor allem im vergleich zu einem möglichem security-issue bei IOS sind halt zwei verschiedene ebenen. OS bugs gibt es in debian genauso. aber ich will euch debian gar nicht ausreden - wenn ihr die sicherheit damit gewährleisten könnt, dann war dieser tipp nicht an euch gerichtet. als ahnungslos würde ich mich aber nicht bezeichnen colo, du hast einfach dein schwarz weiß denken nie abgelegt über die jahre
HVG untitled Registered: Jun 2000 Location: NÖ Posts: 5968	06.01.2018 - 17:19 Epic Services & Stability Update - Forums Attention Fortnite community, We wanted to provide a bit more context for the most recent login issues and service instability. All of our cloud services are Link: www.epicgames.com
Garbage Administrator The Wizard of Owls Registered: Jul 2000 Location: GR.ch\|TI.ch Posts: 11338	06.01.2018 - 17:26 Negligible impact In other news: Intel faces class action lawsuits regarding Meltdown and Spectre Class action lawsuits have been filed in California, Indiana, and Oregon. Link: arstechnica.com
Römi Hausmeister Registered: Feb 2001 Location: Bez. Tulln Posts: 5304	06.01.2018 - 19:21 Ich würde den M$ Hotfix nicht installieren! IMO ist das wieder ein ungetesteter Schnellschuss. Ich weiß von jemand anderem der auch einen bluescreen loop hatte nach dem update. Und ich wollte gerade mit einem Freund Borderlands TPS coop spielen... was vor kurzem noch ging geht nicht mehr. Er kann keine games joinen und sieht auch keine. Nachdem er das Update deinstalliert hat (das einzige was sich geeändert hat) gehts wieder. Ich glaube das hat weitreichendere Auswirkungen das update. Und nachdem M$ in letzter Zeit so super ist mit der patch-qualität: wartet lieber.
Dreamforcer New world Order Registered: Nov 2002 Location: Tirol Posts: 9022	06.01.2018 - 19:48 glaub aber eher nicht dass es an ms in dem falle liegt sondern an ner sw die dann nicht mehr mag, sowas ist natürlich für ms extremst schwer zu testen. ich hatte bei mir keine probleme und auch in der firma habts bei gut 1000 gemonitorten clients kein 10 mit problemen gegeben

Ernste Sicherheitslücken in allen modernen CPUs (x86, ARM, POWER, SPARC)

Forum Index > Hardware > Komponenten > Prozessoren

Smut

enjoy

maXX

Chrissicom

Garbage

Smut

davebastard

Smut

COLOSSUS

davebastard

Smut

HVG

Garbage

Römi

Dreamforcer