ComputerBase Menü
Aktuelles

News Sicherheitslücke Spectre V2: Auch AMD sieht multiplen Klagen in den USA entgegen

LOLinger78 schrieb:
Kein Problem: es ist nahe 0%.
Zum Vergrößern anklicken....

Sollte das witzig sein?
Dann gib doch mal an, was du da zueinander ins Verhältnis setzt.
Ergänzung ()

Rage schrieb:
Nebenbei: Sowohl bei AMD als auch andernorts versuchen Leute, die die Architektur wirklich gut kennen, gezielt seit einem halben Jahr, Spectre auszunutzen — bisher ohne Erfolg.
Zum Vergrößern anklicken....

Das ist eine unbelegte Behauptung. Wer hat wo gesagt, dass er keinen Erfolg damit hatte? Wieso sagt AMD, dass sie von Spectre betroffen sind und an Microcode Updates arbeiten?
 
Optionale Microcode-Updates. Dir wurde doch das neuste Statement letzte Seite gepostet. AMD bleibt bei seiner Aussage, near zero risk.


Du kannst dich weiterhin an der Formulierung hochziehen, diese als nicht existent bezeichnen, da du sie nicht beziffern kannst. Jedoch sind diese Formulierungen durchaus sinnvoll so gewählt, da sie bisher nur in der Theorie betroffen sind, es aber noch keinen PoC gibt.

Fakt ist auch, dass sie dies so seit bekannt werden von Meltdown/Spectre so kommuniziert haben. Ich sehe da ausnahmsweise keine Angriffsfläche. Ich sehe auch bei Intel keine Angriffsfläche für den Vorwurf des "Betrugs". Dies kann niemals bewiesen werden, dort wird sich aber vor allem an den Verkäufen der Aktien des CEO's hochgezogen und dem Vorziehen des CFL Releases, dort bieten sie zumindest eine mögliche Angriffsfläche für diese Sorte von Anwälten.
 
kisser schrieb:
Das ist eine unbelegte Behauptung. Wer hat wo gesagt, dass er keinen Erfolg damit hatte? Wieso sagt AMD, dass sie von Spectre betroffen sind und an Microcode Updates arbeiten?
Zum Vergrößern anklicken....

Hier ist das Proof of Concept für Spectre V1 von Project Zero (Google). Benachrichtigt wurden Intel und AMD im Juni 2017. Im Zuge dessen arbeitet AMD auch an Microcode-Updates. Entschuldigung, ich hätte präziser sein sollen: Ich meine Spectre V2 (um die es ja auch in der News geht), denn darum geht es in den Klagen: AMD habe falsche Aussagen zur Anfälligkeit der eigenen Produkte gemacht.

Bisher keinen Exploit für Spectre V2 auf AMD-CPUs (zur Sicherheit: auf Ryzen) gefunden zu haben, heißt nicht, dass es nicht geht, das steht also nicht im Widerspruch zum near zero risk, das AMD ausgibt. Dass AMD sich durchaus auf Nachfrage auch detaillierter äußert, warum sie von einem near zero risk ausgehen, kann man hier nachlesen.

Off topic und nur ein gut gemeinter Ratschlag: Text unterstreichen ist alles andere als dezentes Hervorheben und kommt aus der Schreibmaschinenzeit, weil diese keine unterschiedlichen Schriftarten zum Hervorheben geboten haben. Heutzutage sollte man Unterstreichen (genau so wie sperren) besser nicht mehr machen und lieber kursiv oder fett zum Hervorheben benutzen, das ist deutlich dezenter; kursiv ist da am besten.
 
kisser schrieb:
Sollte das witzig sein?
Dann gib doch mal an, was du da zueinander ins Verhältnis setzt.
Ergänzung ()

Das ist eine unbelegte Behauptung. Wer hat wo gesagt, dass er keinen Erfolg damit hatte? Wieso sagt AMD, dass sie von Spectre betroffen sind und an Microcode Updates arbeiten?
Zum Vergrößern anklicken....

AMD selbst. Niemand hat AMD bisher gezeigt das auf AMD Hardware die Sicherheitslücke ausgenutzt werden konnte.
Trotzdem wäre es technisch denkbar. Daher wird AMD Microcode bringen - der aber laut Ihnen nicht nötig wäre, wenn MS das in Windows sauber lösen würde.
Und noch etwas, das die Firmen dies solange schon wussten und nichts gesagt haben - ist Branchenstandard. Bei entsprechenden Sicherheitslücken informieren sich die Firmen und haben in der Regel eine Deadline um auf das Problem zu reagieren (wer sich erinnert vor nicht zu langer Zeit gab es da mal Ärger weil Googel MS informiert hatte und die Deadline abgelaufen war und danach die Lücke an die Öffentlichkeit ging - MS aber am Patch noch arbeitete). Daher gibt es häufig schon Patches bevor das Problem publik gemacht wird [Ausnahme - sofern bestätigt ist das die Lücke schon großflächig ausgenutzt wird - dann geht es direkt an die Presse (man denke an die Problematik die Fritzboxen hatten)].

Man informiert nicht, um die "Öffentlichkeit" zu schützen. Denn ab der Information muss mit Attacken von "jedermann" gerechnet werden. Also ist es von Vorteil wenn zum Zeitpunkt der Info - auch die Patches da sind. Ist halt hier in Hardware eine ganz andere Sache.
 
Zuletzt bearbeitet:
kisser schrieb:
Sollte das witzig sein?
Dann gib doch mal an, was du da zueinander ins Verhältnis setzt.
Zum Vergrößern anklicken....


Sorry Kisser, offensichtlich verstehst du es einfach nicht ! (Oder willst es nicht verstehen ?)

Ggf. hilft dir dieser Artikel weiter: Stochastik auf Wikipedia

Und nochmal: das Risiko ist quantifiziert nahe 0%.
 
Zuletzt bearbeitet:
Das sind denke ich eher Probleme aus der (mathematischen) Statistik bzw. Sachversicherungsmathematik :) Mit denen kommt man ziemlich sicher nicht in Berührung, wenn man das nicht ausdrücklich will.
 
Ich würde eher auf die Eintrittswahrscheinlichkeit linken (denn darauf bezieht sich AMD im Falle der "Exploitability" vermutlich da sie ja von "risk" reden bzgl. Spectre v2 - BTI):
https://de.wikipedia.org/wiki/Eintrittswahrscheinlichkeit


  • 0 bedeutet: das Ereignis wird nie eintreten; unmögliches Ereignis
  • Werte in der Nähe von 0; unwahrscheinliches Ereignis
  • Werte in der Nähe von 1; wahrscheinliches Ereignis
  • Ein Wert von 1 bedeutet, dass das Ereignis auf jeden Fall eintreten wird; sicheres Ereignis.
AMD sagt near-zero "risk". Ergo >0 => nicht unmöglich
aber definitiv nicht ~1 => kein wahrscheinliches Ereignis
und auf jeden Fall ungleich 1 => es ist unsicher OB überhaupt ein SpectreV2 eintreten kann/wird.

AMD ist hier also eigentlich relativ spezifisch im Rahmen der Schadenswahrscheinlichkeitsbetrachtung.

Ich weiss wirklich nicht was man an den Aussagen falsch verstehen kann.
Vor allem wenn man dann noch etwas über die Technischen Hintergründe von Spectre V2 weiss.
Z.B. dass für die technische Nutzung des PoCs auf Intel-Systemen bei Spectre V2 es sehr WESENTLICH ist dass man (bei Intel) im TLB den Zugriff zum (Cache-) Speicher sozusagen nur über ganze Adressbereiche steuert - sozusagen nach der "Landkreis"-Methode. Der Rest der Anschrift wird nicht geprüft/verwendet.
Was aber andere Hersteller so nicht machen.
 
@Iscaran:
Ja und nein, denn ich glaube kissers Verständnisproblem setzt schon viel früher an.
Bei ihm scheint es schon an "...deren Eintreten für den Einzelfall nicht vorhersagbar ist." zu scheitern.
Daher der Link auf Stochastik.
 
Zuletzt bearbeitet:
Novasun schrieb:
AMD selbst..
Zum Vergrößern anklicken....

Aber niemand sonst. Warum wohl? Keiner lehnt sich derart weit aus dem Fenster wie AMD. Weder IBM noch ARM noch Oracle. Aus gutem Grund, denn verwundbar sind sie ALLE.
Ergänzung ()

Iscaran schrieb:
Ich würde eher auf die Eintrittswahrscheinlichkeit linken (denn darauf bezieht sich AMD im Falle der "Exploitability" vermutlich da sie ja von "risk" reden bzgl. Spectre v2 - BTI):
https://de.wikipedia.org/wiki/Eintrittswahrscheinlichkeit
Zum Vergrößern anklicken....

:daumen: :daumen:
Das ist doch mal eine vernünftige Aussage!
Prozentuale Angaben sind und bleiben Blödsinn. Auch wenn das viele hier offensichtlich nicht verstehen.
 
@kisser: Du hast ganz offensichtlich weder die offizielle Stellungnahme von AMD, noch das von mir verlinkte Material angeschaut. AMD behaupten nicht, ihre Prozessoren seien unverwundbar, aber spezielle Angriffe sind auf deren Platform sind laut AMD eben sehr unwahrscheinlich.

Edit: Mal noch ne Frage nebenbei: Was hälts Du für so unsinnig an Prozentangaben?
 
Zuletzt bearbeitet:
@Rage

Ich habe beides gelesen. Aber in dem verlinkten Material steht nichts , was nicht schon zuvor bekannt war.
Vorsicht ist immer dann angebracht, wenn es heißt "Firma xyz behauptet von sich....".

Prozentangaben sind Verhältnisangaben (also mit Bezug zu einem Ausgangswert), man kann hier aber nichts zueinander ins Verhältnis setzen.
Was sollte hier z.B. eine Verwundbarkeit von 1% bedeuten?

1% aller CPUs können angegriffen werden?
1% aller weltweiten Hacker gelingt ein praktikabler Exploit?
An einem % der Tage eines Jahres wird ein Exploit ausgenutzt?
1% aller getesteten Code-Sequenzen sind für den Exploit ausnutzbar?

Prozentangaben kannst du beim Lottospielen, Würfeln, Karten spielen, Roulette etc... ("Zufallsexperimente") angeben, aber nicht für die "Schwere" einer Sicherheitslücke.
 
kisser schrieb:
Prozentangaben kannst du beim Lottospielen, Würfeln, Karten spielen, Roulette etc... ("Zufallsexperimente") angeben, aber nicht für die "Schwere" einer Sicherheitslücke.
Zum Vergrößern anklicken....

Was wäre für dich eine Messangabe für die "Schwere" der Sicherheitslücke?
Grad? cm? Liter? Wäre Dir "leicht", "mittel" oder "schwer" besser?

Als Leihe und Co. kann man sagen, dass das Risko bei 1 % so niedrig liegt, dass anscheinend der Aufwand dafür so hoch ist, dass es sich kaum lohnt diese Lücke auszunutzen, die "nach meinem Wissen" nur theoretisch besteht, aber praktisch noch nicht so ausgenutzt werden konnte. Für eine normale Person mehr als ausreichend......
 
Es ist doch immer das gleiche - wenn eine grosse Firma Mist macht wird vom Management grundsätzlich versucht die Sache herunter zu spielen und versucht die Kunden auch notfalls öffentlich zu belügen - die lassen nicht die Hosen runter und bekennen sich öffentlich zur Wahrheit - wird nie passieren.

Der Unterschied ist nur wenn du sowas als kleiner Mann mit deinen Kunden machst kriegste direkt nen Freifahrtschein in den Knast - machste sowas aber im gehobenen Management kriegste bestenfalls nen Klaps auf die Finger und trotzdem noch ne Millionenabfindung. Recht und Gesetz gelten nur für Menschen die nicht in der oberen Finanzliga mitspielen und wer behauptet das stimme nicht hat keine Ahnung vom Leben.
 
@kisser: Naja, dass AMD eine technische Begründung für Ihre Sicht der Dinge abgegeben hätte war beispielsweise mir nicht bekannt.

Prozentangaben sind Verhältnisse, da hast Du Recht. Für einen Wahrscheinlichkeitsraum folgt man der Konvention, dass das sichere Ereignis Maß 1 hat, und dazu kann man andere Ereignisse bzw. deren Maße "ins Verhältnis setzen", durch die Normiertheit kommen dann auch Prozente zwischen 0 und 100 raus. Wenn Du der Meinung bist, dass eine solche Angabe nicht sinnvoll sein kann, musst Du der Meinung sein, dass man einen Exploit nicht als Zufallsexperiment modellieren kann -- warum nicht? Die möglichen Ausgänge sind bekannt. Nur davon, dass Du das noch nicht gesehen hast, solltest Du nicht schließen, dass das nicht geht.

Versteh mich nicht falsch, ich habe mich noch nicht mit mathematischer Statistik beschäftigt und kann insofern nicht großartig ins Detail gehen bzw. mich hier klarer äußern, aber Versicherungen bewerten Risiken auch in irgendeiner Weise, die nicht ganz weltfremd sein kann, weil diese Methoden verlässlich Gewinn abwerfen und schon lange in Gebrauch sind. Dass AMD sich hier weitergehend technisch geäußert hat, ist für die Diskussion jedenfalls interessant.
 
und trotzdem sehen die Anwälte die da klagen eine Chance zu gewinne, weil sonst würden die nicht klagen. Ob die Klage dann erfolgreich ist müssen Gerichte entscheiden.
 
Es hat ein Anwalt auch die Chance gesehen McDonalds um Millionen zu erleichtern, weil der Kaffee zu heiß war.
Andere Anwälte haben die Chance gesehen einen Hersteller von Mikrowellen zu verklagen, weil versucht wurde eine Katze da drin zu trocknen.

Letztes Jahr hat eine Amerikanerin gegen Starbucks verklagt, weil ihr Tee nicht nur heiß war, sondern "extra heiß" (was auch immer physikalisch bedeuten soll) und sie beim DriveIn damit ihren Hund verbrüht hat.
Aber hey, versuchen kann man es ja.
 
oldmanhunting schrieb:
und trotzdem sehen die Anwälte die da klagen eine Chance zu gewinne, weil sonst würden die nicht klagen. Ob die Klage dann erfolgreich ist müssen Gerichte entscheiden.
Zum Vergrößern anklicken....

Irrtum. Sie sehen eine Chance an Geld zu kommen, denn die Kläger müssen sie bezahlen - egal ob sie nun gewinnen oder verlieren. Darum geht es ihnen, und nicht um mehr
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

XMG Support
[Sammelthread] XMG ULTRA 17 in 2020 (LGA1200, Z490, MXM)
2
Antworten
27
Aufrufe
12.979
JO72
JO72

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz