News Sicherheitslücke in CSME: Vertrauen in Intels Technologien schwindet
- Ersteller Volker
- Erstellt am
- Zur News: Sicherheitslücke in CSME: Vertrauen in Intels Technologien schwindet
Oh man, immer diese Panikmache..
Ein sicheres System egal ob Hardware oder Software gibt es nicht!
Und solange man nicht mit hoch sensiblen Daten arbeitet, muss man auch keine Bedenken haben.
Außerdem vielleicht mal Gedanken machen, dass es die Angreifer gar nicht erst bis zum Endpunkt der Kette schaffen, sondern vielleicht schon durch Hardware-Firewall + entsprechende Security Software abgeblockt werden + System immer up-2-date halten.
Ein sicheres System egal ob Hardware oder Software gibt es nicht!
Und solange man nicht mit hoch sensiblen Daten arbeitet, muss man auch keine Bedenken haben.
Außerdem vielleicht mal Gedanken machen, dass es die Angreifer gar nicht erst bis zum Endpunkt der Kette schaffen, sondern vielleicht schon durch Hardware-Firewall + entsprechende Security Software abgeblockt werden + System immer up-2-date halten.
F
Facepalm
Gast
Kommt mal wieder runter.
Um diese Sicherheitslücke auszunutzen wird bestimmte "Hardware vor Ort" benötigt.
Es muss also jemand direkt vor dem Rechner mit Externer Hardware sitzen um Schaden zu erzeugen. Also sehr unnauffällig. Und den Privat-Menschen Zuhause betrifft/interessiert es also gar nicht.
"Allerdings setzen viele der Angriffsszenarien direkten Zugang zu den Systemen voraus. Intel gibt gegenüber Ars Technica aktuell an, dass zur Ausnutzung sogar "spezielle Hardware" nötig sei. Erste Informationen hat das Unternehmen unter der Kennzeichnung CVE-2019-0090 bereitgestellt."
Um diese Sicherheitslücke auszunutzen wird bestimmte "Hardware vor Ort" benötigt.
Es muss also jemand direkt vor dem Rechner mit Externer Hardware sitzen um Schaden zu erzeugen. Also sehr unnauffällig. Und den Privat-Menschen Zuhause betrifft/interessiert es also gar nicht.
"Allerdings setzen viele der Angriffsszenarien direkten Zugang zu den Systemen voraus. Intel gibt gegenüber Ars Technica aktuell an, dass zur Ausnutzung sogar "spezielle Hardware" nötig sei. Erste Informationen hat das Unternehmen unter der Kennzeichnung CVE-2019-0090 bereitgestellt."
Palomino
Captain
- Registriert
- März 2005
- Beiträge
- 3.354
Das ist ein Phenomän dass sich immer wieder bei Firmen in Erfolgsphasen beobachten lässt.Fujiyama schrieb:
Wenn der Rubel erst mal so richtig rollt gewinnen die Spackos auf der Finanzabteilung/Controlling die Oberhand und wollen die Kuh immer weiter melken. Und schon werden Entscheidungenvon (Fach-) Idioten getroffen weil die "Ingenieure eh immer übertreiben" und deren Ideen 2 Cent mehr kosten würden.
Generell würde mich interessieren, ob diese Sicherheitslücken ein Sachmangel darstellen und Gewährleistungsansprüche bestehen.
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.829
Facepalm schrieb:
So richtig beruhigend finde ich das aber nicht. Man steht a nicht daneben, wenn die Mainboards und CPUs hergestellt und appliziert werden, um die halbe Welt versendet usw. An jedem Punkt dieser Kette, die meist irgendwo in Asien beginnen wird, könnte schon jemand so eine Sicherheitslücke ausnutzen und Backdoors in CSME basteln, die von klassischen Virenscannern auf OS-Ebene extrem schwer zu erkennen und zu beseitigen wären.
Oder es werden einfach "nur" TPM-Schlüssel ausgelesen, die es dann später ermöglichen, verschlüsselte Daten auf diesem Rechner zu entschlüsseln und Zugriffsrechte zu erlangen usw.
Dem stimme ich teilweise zu. Solche Angriffe werden sich in der Regel eher nicht gegen Privat-Menschen richten. Jedenfalls nicht direkt.
Wenn darüber aber z.B. die Server der Bank, bei der der Privat-Mensch Kunde ist, angegriffen werden, wäre das trotzdem ärgerlich.
Laut Heise ist die Sicherheit des Hardware Keys bedroht. Und für den gilt:Facepalm schrieb:
Damit kann man in aller Ruhe am eigenen PC die Sicherheitslücke erforschen und die Ergebnisse dann für die eigentlichen Angriffe verwenden.
Das gibt dem Ganzen dann doch eine andere Tragweite.
Schrotti
Lt. Commander
- Registriert
- Dez. 2002
- Beiträge
- 1.748
Außerdem muss derjenige welche dann erst einmal durch mein Unifi Netzwerk durchkommen (viel Spaß dabei).
Genau wie die vielen anderen "Schwachstellen". Teilweise kann oder könnte man Daten im Baud Tempo abgreifen. Wie realistisch ist denn das?
PS: Ich bin mir sicher, dass man auch bei AMD fündig werden würde wenn man etwas intensiver suchen würde.
Genau wie die vielen anderen "Schwachstellen". Teilweise kann oder könnte man Daten im Baud Tempo abgreifen. Wie realistisch ist denn das?
PS: Ich bin mir sicher, dass man auch bei AMD fündig werden würde wenn man etwas intensiver suchen würde.
Zuletzt bearbeitet:
Cruentatus
Lt. Junior Grade
- Registriert
- Nov. 2010
- Beiträge
- 482
Also hier denken ja einige wieder viel zu kurz... "Ey an meinen PC gehen doch eh keine Gangster ran, juckt mich doch net. Intel Beste"
Wie schon häufig angesprochen: Vor allem Firmen können das Ziel werden. Und diese Lücke ist wirklich ein Scheunentor wenn es richtig genutzt wird. Wenn deine Bank/Versicherung/Regierung betroffen ist, dann wird es plötzlich nicht mehr egal sein.
Dann meinen einige das Zugriff über 'Social Engineering' sowieso einfacher ist. Das mag vllt sein - aber macht es das in irgend einer Weise besser? Dass der größte CPU Hersteller der Welt mit rd. 90% Marktanteil bei PCs und Servern einen Scheiß auf Sicherheit gibt? Das wird an Intels Umgang mit den Lücken mehr als deutlich.
Und was einige auch noch nicht verstanden haben: damit können DRM-Maßnahmen und Verschlüsselung umgangen werden. Das dürfte im Bereich der Software-Piraterie neue Möglichkeiten eröffnen. Das wird vielen Firmen überhaupt nicht gefallen. Sobald es ums große Geld dürfte sich der Druck auf Intel erhöhen
Wie schon häufig angesprochen: Vor allem Firmen können das Ziel werden. Und diese Lücke ist wirklich ein Scheunentor wenn es richtig genutzt wird. Wenn deine Bank/Versicherung/Regierung betroffen ist, dann wird es plötzlich nicht mehr egal sein.
Dann meinen einige das Zugriff über 'Social Engineering' sowieso einfacher ist. Das mag vllt sein - aber macht es das in irgend einer Weise besser? Dass der größte CPU Hersteller der Welt mit rd. 90% Marktanteil bei PCs und Servern einen Scheiß auf Sicherheit gibt? Das wird an Intels Umgang mit den Lücken mehr als deutlich.
Und was einige auch noch nicht verstanden haben: damit können DRM-Maßnahmen und Verschlüsselung umgangen werden. Das dürfte im Bereich der Software-Piraterie neue Möglichkeiten eröffnen. Das wird vielen Firmen überhaupt nicht gefallen. Sobald es ums große Geld dürfte sich der Druck auf Intel erhöhen
Dai6oro
Admiral
- Registriert
- Okt. 2006
- Beiträge
- 9.493
Allen Bekannten und Verwandten nur noch konsequent AMD verbaut. Früher haben sie mich noch angerufen bei diversen Meldungen zu Sicherheitslücken, mittlerweile wissen sie dass sie einen AMD haben. Glaubt mir die werden in Zukunft nicht mehr nach Intel fragen.
Aber für Intel kein Problem. Sie werden auf ihren nächsten Marketingfolien das Wort "SECURITY" einfach noch ein wenig größer schreiben. Was anderes scheinen die ja nicht zu machen.
Aber für Intel kein Problem. Sie werden auf ihren nächsten Marketingfolien das Wort "SECURITY" einfach noch ein wenig größer schreiben. Was anderes scheinen die ja nicht zu machen.
Ich gehe mal stark davon aus dass AMD nicht dazu in der Lage wäre die dann nachgefragten Stückzahlen zu liefern.Exar_Kun schrieb:
Die 7 nm Produktionskapazität von TSMC reicht dafür nicht aus. Die Alternative wäre mehr CPU der Vorgängergeneration bei GF zu fertigen.
Aber es sind nicht nur die CPUs, es müsste genauso die Produktion der Chipsätze und Mainboards hochgefahren werden... (Für AMD CPUs werden andere Chipsätze und Mainboards benötigt.)
Und möglicherweise haben sich einige PC-Hersteller vertraglich längerfristig an Intel als Hardwarelieferanten gebunden.
Julz2k schrieb:
Naja also wenn mein BIOS aus einem laufenden System heraus durch Hersteller Tools geupdated werden kann, dann kann das auch ein Virus. Das kann ich aber verhindern, in dem ich BIOS Updates im BIOS nur dann erlaube wenn ich das auch tun will. Das sind dann ~20 Sekunden mehr die ich benötige, aber dafür habe ich einen großen Sicherheitsgewinn.
Die Möglichkeit habe ich bei der hier beschriebenen Sicherheitslücke nicht. Wenn ich ein Gerät habe, dass ein mal infiziert wurde, ist es dauerhauft infiziert.
Pocketderp
Lieutenant
- Registriert
- Dez. 2016
- Beiträge
- 713
Schrotti schrieb:
Ich würde da einsteigen, das ist nämlich ne todsichere Wette. Denn ich wäre nicht so blauäugig anzunehmen das man andere Hersteller nicht testen würde, hat man ja an Specter gesehen.
jackii
Lt. Commander
- Registriert
- Juni 2011
- Beiträge
- 1.693
https://www.computerbase.de/2020-03/amd-ryzen-epyc-sicherheitsluecke-cpu/Munkman schrieb:
Sehr, sehr geil!😆 hat keine 24 Stunden gedauert und ich bekomm das Grinsen nicht mehr weg, tut schon langsam links und rechts an den Wangen weh.
.Sentinel.
Admiral
- Registriert
- Okt. 2007
- Beiträge
- 8.623
Athlonscout schrieb:
https://twitter.com/lavados/status/...2020-03/amd-ryzen-epyc-sicherheitsluecke-cpu/
Kommt jetzt eine Entschuldigung?
LG
Zero
Pocketderp
Lieutenant
- Registriert
- Dez. 2016
- Beiträge
- 713
Wie schnell doch so ein "schnell dahin geschriebener" Kommentar zum Bumerang werden kann:DerHalbmann schrieb:
https://www.computerbase.de/2020-03/amd-ryzen-epyc-sicherheitsluecke-cpu/
aldaric
Admiral
- Registriert
- Juli 2010
- Beiträge
- 8.119
!Whip schrieb:
Wie schnell dein eigener Kommentar zum Bumerang werden kann:
AMD kannst du nun, zugegebenermaßen, verdoppeln, die haben nun heute ja auch eine abgekriegt. Auf das Niveau von Intel haben sie es dann aber doch noch nicht geschafft.
