Die Amis und ihre "Verklagen wir erstmal alles wo irgendwie Geld zu holen ist"-Mentalität. Ich glaub ja wirklich, dass da manche davon Leben. MIch würde mal interessieren, wieviele Kläger dabei sind, die Schmerzensgeld fordern weil sie deswegen nicht mehr ruhig schlafen können und jetzt schlafstörungen haben. Oder Verdauungsstörungen.
News Sicherheitslücke Spectre V2: Auch AMD sieht multiplen Klagen in den USA entgegen
Dai6oro schrieb:
Es gibt aber nur risk oder no-risk. Dazwischen gibt es nichts.
Entweder gibt es die Lücke oder es gibt sie nicht, aber es gibt sie nicht "nur ein bisschen".
Ergänzung ()
devastor schrieb:
Nicht in korrektem Deutsch.
Man sieht etwas entgegen.
Was du vielleicht meinst wäre die Formulierung "AMD sieht sich Klagen ausgesetzt".
LOLinger78
Lieutenant
- Registriert
- Juli 2008
- Beiträge
- 641
kisser schrieb:
Kompletter Unsinn. Jede Chance und jedes Risiko lässt sich quantifizieren.
Wie beim Lotto du hast eine Chance auf 6 richtige und du hast eine Chance auf 3 richtige.
Und jetzt rate mal welche der beiden Richtung "near Zero" tendiert.....
xblax
Cadet 2nd Year
- Registriert
- Feb. 2018
- Beiträge
- 31
kisser schrieb:
Das ist absoluter Schwachsinn. Eine Risikobewertung bei Sicherheitslücken ist in der Informatik absolut üblich und sogar ein standarisiertes Vorgehen: https://www.itgovernance.co.uk/iso27001/iso27001-risk-assessment
Kryptographische Systeme (z.B. Verschlüsselung) beruhen übrigens darauf, dass diese nur mit vernachlässigbarer Wahrscheinlichkeit geknackt werden können - es besteht aber natürlich trotzdem die theoretische Möglichkeit, dass man durch Zufall einen Text mit einem Versuch entschlüsseln kann.
Dieser ganze "Skandal", dass AMD doch verwundbar ist usw. beruht einzig und allein darauf, dass manche inkompetente IT-Portale nicht in der Lage waren, AMDs Statements richtig zu lesen und andere, insbeondere normale Nachrichtenportale, das dann einfach übernommen haben ohne sich eine eigene Meinung zu Bilden. AMD hat niemals revidiert was geschrieben wurde und man kann die Statements auch hier immer noch nachlesen: https://www.amd.com/en/corporate/speculative-execution
Einen Ausführlichen "Rant" zum Thema Klagen gegen AMD gibt es von semiaccurate.com, kann ich nur empfehlen:
https://semiaccurate.com/2018/02/06/amd-hit-two-baseless-class-actions-spectremeltdown/
psYcho-edgE
Admiral
- Registriert
- Apr. 2013
- Beiträge
- 7.598
Mr. Rift schrieb:
Es gab ausreichend Sammelklagen. Nvidia hat die nur außergerichtlich mit einer Gutschrift geklärt.
Etwas was ich AMD zu Herzen legen würde.
GGG107
Banned
- Registriert
- Okt. 2017
- Beiträge
- 1.765
Interessant ist das wie auch bei Intel keinerlei Mahnungen aus dem offiziellen Regierungskreis kamen.
Microsoft, das große Vorbild, kam bereits mit allem durch, vielleicht kommt deswegen nichts?
Ich hoffe in den Staaten finden sich die einen oder anderen Geldgierigen Mega-Anwälten die sich der Sache mal annehmen. Hätte das ein kleineres Unternehmen gebracht wäre es bereits Insolvent und in Grund und Boden verklagt. Aber Intel - "Ja alles halb so schlimm" - "Können keine Betas testen" - "AMD ist sowieso besser". All diese ganzen verblö - verblendenden Menschen...
Solche Sicherheitslücken (!) sind geschichts-trächtig.
Also erwarte ich auch eine geschichts-trächtige Anklage und Verurteilung.
Von Gerechtigkeit und Bewusstheit darf man ja wohl noch träumen dürfen....
Microsoft, das große Vorbild, kam bereits mit allem durch, vielleicht kommt deswegen nichts?
Ich hoffe in den Staaten finden sich die einen oder anderen Geldgierigen Mega-Anwälten die sich der Sache mal annehmen. Hätte das ein kleineres Unternehmen gebracht wäre es bereits Insolvent und in Grund und Boden verklagt. Aber Intel - "Ja alles halb so schlimm" - "Können keine Betas testen" - "AMD ist sowieso besser". All diese ganzen verblö - verblendenden Menschen...
Solche Sicherheitslücken (!) sind geschichts-trächtig.
Also erwarte ich auch eine geschichts-trächtige Anklage und Verurteilung.
Von Gerechtigkeit und Bewusstheit darf man ja wohl noch träumen dürfen....
NMA
Lt. Commander
- Registriert
- März 2008
- Beiträge
- 1.583
Ich bin der Meinung, dass bei der gesamten Sachlage insbesondere die Zeit der technologischen Entwicklung und der Zeitpunkt der Erhebung berücksichtigt werden sollte.
Denn zu Pentium 90 Zeiten war diese Sicherheitslücke vermutlich noch nicht bekannt.
Sicher könnte man nun sagen, dass es ein absichtlich fortgeführter "Backdoor" ist, doch dass halte ich obliegend der komplexen Mechanismen und Herangehensweisen bei Meltdown und Spectre zur damaligen Zeit obliegend der Technik und Hardwareleistung für weniger realistisch.
Selbiges gilt in Teilen für den diesel "Vergleich".
Damals zur Einführung der Technik, wusste man garantiert nicht, was für Nachteile damit einhergehen sein können.
Als es dann in beiden Fällen bemerkt wurde, war die Technologie bereits soweit und tief verwurzelt verbreitet und verankert, dass ein flexiebles "Ausweichen" nahezu ausgeschlossen war und ist.
Die Frage ist doch, was es dem Kunden gebracht hätte, wenn das früher kommuniziert worden wäre?
Ein kurzfristiges Ausweichen auf eine andere Halbleitertechnologie ist kaum Möglich, insbesondere mit Hinblick auf die Kompatibilität bereits bestehender Strukturen.
Die Halbleiterindustrie wusste davon und hat bzw. Versucht das Ganze unter Kontrolle zu bringen und zu "fixen".
In jedem Fall wird es Lösungen dafür geben und lediglich der Zeitraum, wie lange dies dauert kann die Situation verschärfen.
Dennoch darf dabei die Komplexität der Sicherheitslücken nicht gänzlich außer acht gelassen werden und ebensowenig wer wirklich ernsthaft davon betroffen sein kann.
Das schlechte daran war und ist der Umgang der Medien damit.
Ich vermute, wenn es "klein" gehalten worden wäre, wäre die Gefahr bedeutend geringer in Summe der Reichweite und Masse geblieben.
Doch nun weiß es wirklich jeder und damit auch potenziell eine größere Anzahl an interessensvertreter, diese daran interessiert sind, derartige Lücken unter schadhaftem Vorsatz auszunutzen und zu nutzen.
Denn zu Pentium 90 Zeiten war diese Sicherheitslücke vermutlich noch nicht bekannt.
Sicher könnte man nun sagen, dass es ein absichtlich fortgeführter "Backdoor" ist, doch dass halte ich obliegend der komplexen Mechanismen und Herangehensweisen bei Meltdown und Spectre zur damaligen Zeit obliegend der Technik und Hardwareleistung für weniger realistisch.
Selbiges gilt in Teilen für den diesel "Vergleich".
Damals zur Einführung der Technik, wusste man garantiert nicht, was für Nachteile damit einhergehen sein können.
Als es dann in beiden Fällen bemerkt wurde, war die Technologie bereits soweit und tief verwurzelt verbreitet und verankert, dass ein flexiebles "Ausweichen" nahezu ausgeschlossen war und ist.
Die Frage ist doch, was es dem Kunden gebracht hätte, wenn das früher kommuniziert worden wäre?
Ein kurzfristiges Ausweichen auf eine andere Halbleitertechnologie ist kaum Möglich, insbesondere mit Hinblick auf die Kompatibilität bereits bestehender Strukturen.
Die Halbleiterindustrie wusste davon und hat bzw. Versucht das Ganze unter Kontrolle zu bringen und zu "fixen".
In jedem Fall wird es Lösungen dafür geben und lediglich der Zeitraum, wie lange dies dauert kann die Situation verschärfen.
Dennoch darf dabei die Komplexität der Sicherheitslücken nicht gänzlich außer acht gelassen werden und ebensowenig wer wirklich ernsthaft davon betroffen sein kann.
Das schlechte daran war und ist der Umgang der Medien damit.
Ich vermute, wenn es "klein" gehalten worden wäre, wäre die Gefahr bedeutend geringer in Summe der Reichweite und Masse geblieben.
Doch nun weiß es wirklich jeder und damit auch potenziell eine größere Anzahl an interessensvertreter, diese daran interessiert sind, derartige Lücken unter schadhaftem Vorsatz auszunutzen und zu nutzen.
Zuckerwatte
Captain
- Registriert
- Juli 2013
- Beiträge
- 3.772
kisser schrieb:
Es gibt nur schwarz und weiß..jap...
Man kann nicht immer nur Binär denken.
Ich versuchs mal simple: Eine ganz offene Tür lässt mehr durch als eine, die nur einen Spalt weit offen ist.
Zu den ganzen Klagen:
Ja hat jemand erwartet, dass es keine Sammelklage gegen AMD geben wird?
Das System dort drüben baut doch darauf auf Sammelklagen mit sehr hohen Summen anzustreben, weil dann auch die Provision der Anwälte dementsprechend ausfällt. Es ist also dann im Interesse der Anwälte soviel wie möglich raus zu holen.
Dabei geht es um Gesetze und deren Auslegung nicht um Gerechtigkeit.
Zuletzt bearbeitet:
K
kleinerwicht09
Gast
Verstehe auch nicht wieso ständig von einem "zurückrudern" seitens AMD berichtet wird. AMD hatte doch klargestellt, dass sie nachwievor zu ihrem ersten Statement stehen und nie etwas anderes behauptet haben.
https://www.hardocp.com/news/2018/01/11/amd_doubles_down_on_previous_spectre_meltdown_statments
https://www.reuters.com/article/bri...-gpz-variant-1-or-gpz-variant-2-idUSFWN1P60X7
https://www.hardocp.com/news/2018/01/11/amd_doubles_down_on_previous_spectre_meltdown_statments
https://www.reuters.com/article/bri...-gpz-variant-1-or-gpz-variant-2-idUSFWN1P60X7
Nur mal so kurze Zwischenfrage;
Spectre 1&2 sind doch auch nur unbefugte Auslese Möglichkeiten der Caches durch Sprungverhersagen oder? Also kann Zumindestens kein Schadhafter Code ausgeführt werden, oder?
Und bei der 2. Möglichkeit bräuchte man doch auch Physischen Zugang oder?
Ich halten den „möglichen“ Schade än für gering. In DE müsste man den Schaden beweisen und das wird perse bei Spectre schwierig.
Das wirklich schlimmste an der Ganzen Soße ist es, dass alle Hersteller sich weggeduckt haben, obwohl denen die Lücke schon nen halbes Jahr bekannt war. Dafür war der Verhalten eher mit dem eines Kleinkindes mit Schokomund und Hände in der Schokotorte vergleichbar.
Die besten Angriffe bekommt man immernoch über dusselige Makros in irgendwelchen Worddokumenten hin. Ein DAU bleibt ein DAU und die sicherheitslücke sitzt eher vor dem Rechner.
Spectre 1&2 sind doch auch nur unbefugte Auslese Möglichkeiten der Caches durch Sprungverhersagen oder? Also kann Zumindestens kein Schadhafter Code ausgeführt werden, oder?
Und bei der 2. Möglichkeit bräuchte man doch auch Physischen Zugang oder?
Ich halten den „möglichen“ Schade än für gering. In DE müsste man den Schaden beweisen und das wird perse bei Spectre schwierig.
Das wirklich schlimmste an der Ganzen Soße ist es, dass alle Hersteller sich weggeduckt haben, obwohl denen die Lücke schon nen halbes Jahr bekannt war. Dafür war der Verhalten eher mit dem eines Kleinkindes mit Schokomund und Hände in der Schokotorte vergleichbar.
Die besten Angriffe bekommt man immernoch über dusselige Makros in irgendwelchen Worddokumenten hin. Ein DAU bleibt ein DAU und die sicherheitslücke sitzt eher vor dem Rechner.
Zuletzt bearbeitet:
kleinerwicht09 schrieb:
Der Unterschied liegt in der Formulierung.
"Near zero" ist Blödsinn, weil sich das Risiko nicht beziffern lässt (als Verhältnis- oder Prozentangabe, siehe oben).
Auf sowas springen die Anwälte in Amerika direkt an.
Ebenso auf die Tatsache, dass es von AMD bis heute keine Aussage darüber gibt, welche CPUs denn ein Microcode-Update bekommen oder wann das (Zeitrahmen) der Fall sein wird. Gute Öffentlichkeitsarbeit geht anders.
D708 schrieb:
Ja ALLE 3 Varianten sind nur LESE-Angriffe. Dennoch da direkt AUCH (bzw. vor allem der CPU-Cache ausgelesen wird) hilft kein Password encryption etc....alles was "just" gerade eben durch den Cache geht kann mitgelesen werden.
Spectre attacken lassen sich via Java Script oder ähnliches auch über den Browser ausführen...der Code wird ja dennoch LOKAL auf DEINEM Rechner ausgeführt.
Da Spectre aus dem Userland einer VM sogar in den Kernelspace des VM-Hosts eindringen kann ist das schon ziemlich "kritisch".
Wenn auch die Spectre V1/V2 Attacken relativ schwer (vor allem V2) umzusetzen sind !
Siehe z.B.:
https://www.gamersnexus.net/guides/...tdown-and-spectre-discoverers-one-month-later
“Another misunderstanding is that Meltdown/Spectre is not an issue, because you need code execution, and ‘nobody has code execution on a computer which is not a cloud system.’ People often do not realize that they run untrusted code all the time, e.g. JavaScript in the browser or apps from the app store. This code is normally run in a sandboxed environment, and can therefore not harm the system. However, with Meltdown/Spectre, the sandboxing can be circumvented, and the untrusted code has access to the whole system.”
https://medium.com/@MartinCracauer/spectre-and-meltdown-resource-page-6886006d47c9
https://arstechnica.com/gadgets/201...e-and-meltdown-patches-will-hurt-performance/
LOLinger78
Lieutenant
- Registriert
- Juli 2008
- Beiträge
- 641
kisser schrieb:
Kein Problem: es ist nahe 0%.
Edit: Es gab hier kürzlich von Smartcom5 einen sehr guten Vergleich dazu: Zeitreisen ist nach Einstein theoretisch möglich.
Zuletzt bearbeitet:
Rage
Captain
- Registriert
- Feb. 2009
- Beiträge
- 3.086
@kisser: Es besteht ein Unterschied zwischen ‚Kann ich nicht angeben‘ und ‚Kann man nicht angeben‘; Versicherungen beschäftigen sich mit genau soetwas und verdienen mit solchen ‚Quantifizierungen‘ ihr Geld.
Nebenbei: Sowohl bei AMD als auch andernorts versuchen Leute, die die Architektur wirklich gut kennen, gezielt seit einem halben Jahr, Spectre auszunutzen — bisher ohne Erfolg.
Nebenbei: Sowohl bei AMD als auch andernorts versuchen Leute, die die Architektur wirklich gut kennen, gezielt seit einem halben Jahr, Spectre auszunutzen — bisher ohne Erfolg.
Aldaric87 schrieb:
Doch, das weiß man.
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/02/microcode-update-guidance.pdf
Es gibt zwar keine genauen Zeiträume, aber immerhin den Status von Production, Beta, Pre-Beta, Planning. Es sind ja auch einige Architekturen bis hinunter zum Core 2. Das braucht eben zeit.
aldaric
Admiral
- Registriert
- Juli 2010
- Beiträge
- 8.119
Nein, du ignorierst den Fakt das die Boardhersteller dort überhaupt erstmal was bringen müssen. Und die meisten haben vorerstmal nur bis Z170 bestätigt.
Es hilft mir nicht wenn Intel ein Microcode-Update für Z97 entwickelt, wenn es keiner der Boardhersteller in ein Bios packt.
Es hilft mir nicht wenn Intel ein Microcode-Update für Z97 entwickelt, wenn es keiner der Boardhersteller in ein Bios packt.
