News Bericht: AMD muss Statement zu angeblichen Sicherheitslücken geben

[Volkimann]

Ich hoffe das dies auch rechtliche Konsequenzen haben wird, und entsprechend die Behörden handeln.

Ich finde es ebenso verdächtig was Intel, Marketing Firma, Dell usw die Meldungen betrifft.

 

[deo]

So eine dilettantische Sache kann nicht von Intel kommen. Die wissen genau, wie das Vorgehen bei neu entdeckten Sicherheitslücken ist und die setzen ihren Ruf nicht aufs Spiel. Wenn das nämlich aufgeklärt ist, werden die Beteiligten um ihre Existenz fürchten müssen.

 

[konkretor]

Kopiert aus dem heiße Forum
Und Flexagrid Systems Inc. war der Hersteller einer Malware Namens CrowdCores.

Lässt sich mittels Internet-Archiv nachvollziehen, siehe:

https://forums.anandtech.com/threads/amdflaws-com-what-is-this.2540299/page-6#post-39344342

 

[DarkerThanBlack]

Kurz und bündig zusammengefasst, wenn man keine Probleme hat, dann macht man eben welche!
Was soll der Unsinn? Wenn AMD sich wegen Spectre rechtfertigen muss, so müsste ja Intel all ihre CPUs vorläufig vom Markt nehmen!
Ist nichts weiter als mit haltlosen Behauptungen den bevorstehenden Start von Zen+ zu sabotieren. Intel hat wohl bis Heute nichts aus der Marktmanipulation gelernt woraus sie endlich einmal ihre Strafzahlung bezahlen sollten!

 

[XTR³M³]

Das blöde ist nur, dass es funktionieren wird. Nicht hier bei den cb Lesern. Aber bei den Otto normal-usern die sich nicht auskennen. Es bleibt etwas von dem Dreck kleben.

bisher habe ich noch nix auf grösseren websites gesehen, auc die tagespresse hat dazu nix veröffentlicht im grossen stil, fazit: in der luft verpufft

Ergänzung (14. März 2018)

Die wissen genau, wie das Vorgehen bei neu entdeckten Sicherheitslücken ist und die setzen ihren Ruf nicht aufs Spiel.

zumal solche lücken dann sicherlich auch die blicke auf intel schwenken lassen würden, ob diese nicht auch dort vorhanden wären... denke -ausnahmsweise- waschen sich die blauen die hände in unschuld.

 

[.dbs.n]

Danke für die neutrale Berichterstattung, genau so muss das sein.

Schade, dass dann im Kommentarbereich trotzdem gleich die ersten Aluhütchen-Anschuldigungen gegen Intel gefeuert werden.
Wenn man bedenkt, wie viel Misstrauen alles an der Art der Veröffentlichung über diese "Sicherheitslücken" schürt, sobald man sich ein klein bisschen damit befasst, könnte man genauso die Verschwörungstheorie aufstellen, dass die Aktion Intel schaden soll...

Vielleicht mal die Fanboy-Füße für ein paar Tage stillhalten?

 

[psYcho-edgE]

Wieder ein Beweis, das dieser "freie Markt" gar nicht so "frei" ist. Fake News überall. Ähnlich hier: die Rechten haben nur ihre Propagandaportale lieb, weil sie sowieso in deren Algorythmus gefangen sind ^^ Irgendwie wird die Welt immer dümmer. Vor allem nach dem nun das letzte Genie selbige verlassen hat.

a) Menschen nehmen sich was selbsterschaffene Filterblasen angeht nichts, egal ob rechts, liberal oder links
b) Filterblasen aufgrund von Software-Algorithmen sind ein Mythos - die Leute kommen durchaus mit anderen Informationen aus anderen Lagern in Kontakt - sie ignorieren sie nur

 

[Inxession]

Sollte wirklich Intel, .. auch nur in irgendeiner Form, dahinter stecken ...

Wie doof sind die eigentlich?

Der Schuss kann doch nur nach hinten los gehen.

Ich kann mir aber beim besten Willen nicht vorstellen, das Intel so unprofessionell agiert.
Auch in Anbetracht der "Partnerschaft" mit Vega ..

Hat imho keiner was davon, außer ein paar FanBoys, die AMD nicht mögen. (Warum auch immer)

 

[LyGhT]

Ist überhaupt nicht komisch das genau gleichzeitig von Viceroy auch sowas kommt.....
Und dabei ist CTS labs sogar ein Unternehmen welches früher unter anderen Namen Mining Malware gemacht hat ._.

 

[Denniss]

Intel geht perfider hinter den Kulissen vor, nicht so offensichtlich dilettantisch. Das ist der Versuch der Marktmanipulation am Aktienmarkt um vom erhofften fallenden Aktienkurs zu profitieren.

 

[Stuntmp02]

Lächerlich, dilettantisch und mit dem einzigen Ziel der Rufschädigung. Jede einzelne dieser Lücken ist Bullshit, wer bereits Root Rechte auf einem System hat oder wer gar physischen Zugang zur Hardware hat, der kann auch einfach die Festplatte mitnehmen oder unter Windows einen Keylogger installieren, da hat man mehr davon, als irgendwelche abstrakten CPU Lücken zu verwenden.

Diese "Sicherheitsforscher" gehören hinter Gitter.

 

[emeraldmine]

@All , ich glaube die letzten beiden Käufe die Ich getätigt hab , waren die einzig richtigen zur Zeit, 2x Android Quad-Core ARM A53 gekauft.

 

[noxon]

AMD hat sich im Gegensatz zu Intel zumindest in der Öffentlichkeit keine solchen Fehltritte geleistet und somit sehe ich es (leider) als meine Pflicht an, als Konsument gegen diese allem Anschein nach korrupte Firmenpolitik anzugehen - durch bestmöglichen Boykott.

Naja, so wie ich das noch in erinnerung habe ist es AMD gewesen, die bei Spectre mit ihrer mangelnden Kommunikationspolitik geglänzt haben, während Intel eigentlich immer ganz gut informiert hat.
Das hat dan auch dazu geführt, dass Intel ganz schnell in allen Medien zum Blitzableiter wurde, während AMD tagelang immer noch steif behauptete von all den Lücken überhaupt nicht betroffen zu sein.
Erst nach und nach rückte man dann mit der Wahrheit heraus, dass man von der einen oder anderen Lücke bei dem einen oder anderen Prozessor mal mehr oder weniger doch betroffen sei.

Inwiefern unterscheidet sich das denn dann von den zuvor bekannt gemachten Lücken in Intels ME wo man diese sogar aus dem USER-space heraus aufrufen kann (Annahme die AMD-Lücken würden auch so funktionieren wie im Whitepaper con CTS beschrieben)? (dass man hier deswegen so einen medialen Aufriss veranstaltet)

Weiß ich nicht, da ich mich jetzt nicht genau mit den jeweiligen Lücken beschäftigt habe, aber es kann gut sein, dass sie in ihren Grundsätzen kein bisschen unterscheiden. Ich gehe auch davon aus, das jeder Prozessor solche Lücken hat. Prozessoren sind genau so komplex wie Software, und die ist auch nicht bugfrei. Warum sollten es also Prozessoren sein?
Natürlich haben die auch jede Menge Bugs. Bisher hat man bei Prozessoren nur noch nicht so genau hingesehen.

Das spielt hier aber momentan auch keine Rolle, was bei Intel, Via, ARM oder sonst einem Hersteller los ist. Das ändert ja nichts an der Tatsache, dass AMD eventuell kritische Lücken im Prozessor hat. Auch die Tatsache, dass hier ein übertriebener medialer Aufriss veranstaltet wird bedeutet nicht, dass diese Lücken frei erfunden sind.
Trotz all der Kritik an der Veröffentlichung und Präsentation wurde von Sicherheitsexperten ja trotzdem bestätigt, dass diese Lücken wirklich existieren.

Der Conclusion in dem Whitepaper kann ich da sogar zustimmen

In this paper, we have summarized our findings concerning multiple vulnerabilities in AMD Zen Architecture
processors. We believe that these vulnerabilities put networks that contain AMD computers at a considerable
risk. Several of them open the door to malware that may survive computer reboots and reinstallations of the
operating system, while remaining virtually undetectable by most endpoint security solutions. This can allow
attackers to bury themselves deep within the computer system and to potentially engage in persistent,
virtually undetectable espionage, executed from AMD’s Secure Processor and AMD’s chipset.
It is our view that the existence of these vulnerabilities betrays disregard of fundamental security principles.
We hope that the security community takes note of these findings.

Das ist meiner Meinung nach kein übertriebener Standpunkt.
Den teile ich und den würde ich auch teilen, wenn das bei irgend einem anderen Hersteller der Fall wäre.

 

[sTOrM41]

die lücken scheinen wohl tatsächlich zu existieren, ob sie irgend eine nennenswerte relevanz haben muss sich zeigen.

wenn man eh vollzugriff aufs system braucht, dann halte ich das eher für belanglos.


das man amd nur einen tag zeit zum reagieren gibt ist natürlich etwas strange, andererseits weiß ich aber auch nicht wie man sowas maximal-korrekt handhaben sollte:
gibt man viel zeit, dann bleibt eben auch viel zeit seinen eigenen arsch zu retten (siehe aktienverkauf intel-CEO brian krzanich)

 

[dr. lele]

Es gibt nun schon zwei Leute, die unabhängig bestätigen, dass diese Sicherheitslücken auch wirklich welche sind (link1, [URL="https://motherboard.vice.com/en_us/article/kzpm5x/amd-secure-processor-ryzen-epyc-vulnerabilities-and-backdoors"]link2[/URL]. Es kann also durchaus sein, dass an der Sachen etwas dran ist.

Irgendwas ist aber trotzdem faul. Das Whitepaper (also wirklich alles daran), die kurze Vorlaufzeit für AMD, der Ton in den Aussagen von Viceroy. Das alles macht es irgendwie unglaubwürdig.

Ich denke hier wurden einfach theoretische Probleme als praktisch relevant aufgeblasen um einen kleinen Gewinn aus Aktienwetten zu ziehen.

 

[fanatiXalpha]

[...]
während AMD tagelang immer noch steif behauptete von all den Lücken überhaupt nicht betroffen zu sein.
Erst nach und nach rückte man dann mit der Wahrheit heraus, dass man von der einen oder anderen Lücke bei dem einen oder anderen Prozessor mal mehr oder weniger doch betroffen sei.
[...]

Du kannst es nicht sein lassen, oder?
Wo hat AMD behauptet in keinster Weise betroffen zu sein?

 

[noxon]

Heise schreibt: "AMD verrät nicht genau, wann das Unternehmen von CTS-Labs informiert wurde."

Ich bezweifle, dass es nur 1 Tag war, denn schließlich haben diverse Sicherheitsfirmen davon schon eine Woche vor der Veröffentlich gewusst. Zumindest diese Sicherheitsfirmen hätten AMD dann doch spätestens darüber informiert oder zumindest mal bei AMD nachgefragt.

@fanatiXalpha
AMD rudert zurück: Prozessoren doch von Spectre 2 betroffen, Microcode-Updates für Ryzen und Epyc in Kürze

Das war AMDs Original Statement.

To be clear, the security research team identified three variants targeting speculative execution. The threat and the response to the three variants differ by microprocessor company, and AMD is not susceptible to all three variants. Due to differences in AMD's architecture, we believe there is a near zero risk to AMD processors at this time.

 

[Sinnfrei]

Trotz all der Kritik an der Veröffentlichung und Präsentation wurde von Sicherheitsexperten ja trotzdem bestätigt, dass diese Lücken wirklich existieren.

Und welche finanziellen Interessen haben diese "unabhängigen" "Experten"? Und wurden die vielleicht nur als ahnungslose Helfer missbraucht? Die Sicherheitslücken sind vermutlich schon lange bekannt, und wurden nur von denen mit einem neuen Namen versehen.

Ergänzung (14. März 2018)

Heise schreibt: "AMD verrät nicht genau, wann das Unternehmen von CTS-Labs informiert wurde."

Im ersten Satz des Blog-Eintrag steht es: "We have just received a report". "Just" - gerade eben.

 

[duskstalker]

spätestens mit den namen der sicherheitslücken ist das ganze doch schon als marketing-gag aufgeflogen. das ist nur ne inszinierung um amd in den dreck zu ziehen. und selbst wenn an den lücken nicht alles erfunden ist, kann man bei den voraussetzungen den rechner auch direkt physisch klauen.

die aussage, dass ein ryzen system eine ganze netzwerkinfrastruktur an gefährder ausliefert und amd deshalb direkt konkurs anmelden soll, wäre für amd eigentlich grund genug das ganze juristisch prüfen zu lassen und den urheber wegen rufmord zu verklagen.

ich schätze das schmierentheater kommt aus dem finanzsektor - für intel ist das ne nummer zu dilettantisch.

 

[G00fY]

Wow, Sicherheitslücken in PSP. Ist aus meiner Sicht nicht mal ansatzweise mit Spectre oder Meltdown zu vergleichen. PSP hab ich bei mir im UEFI von vorn herein deaktiviert. Wie dem PDF zu entnehmen soll man damit schon mal die meisten Lücken schließen.