Spectre Next Gen - die ersten 2 Lücken

MK one

Lt. Commander
Dabei seit
März 2017
Beiträge
1.892
#1
ich weiß nicht woher dieser You Tuber die Info von amd hat aber in diesem Video ( englisch ) sagt er ab 12.26 defenitiv das AMD bei Spectre Next Gen nicht betroffen ist , danach erwähnt er noch das Meltdown eine Intel exclusive Sicherheitslücke war , jedoch AMD kein Grund zum Feiern hatte da Spectre AMD und Intel betraf .


es würd mich freuen wenn das sich noch aus anderen Quellen bestätigt
Ergänzung ()

und ne 2 te Quelle gefunden
https://www.facebook.com/Overclock3D/posts/1956202361081319
https://www.overclock3d.net/news/cp...ffected_by_spectre_ng_-_great_news_for_epyc/1

PS: News zu den Lücken bei Posting 18
 
Zuletzt bearbeitet:

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#3
Deinen Artikel kannste in die Tonne kloppen weil 1. alt und 2. nicht über Spectre NG handelt , die Rede hier ist von Spectre NG und lt dem Video und dem Artikel ist es halt nicht mehr unklar sondern AMD ist nicht betroffen von Spectre NG
Super News ...:evillol: , Intel :heul::heul::affe::affe::evillol::evillol::king:
 
Dabei seit
Dez. 2007
Beiträge
899
#4
Du hast Meltdown und Spectre angesprochen und nicht konkretisiert wofür du jetzt weitere Quellen haben willst.
In dem von dir verlinkten Artikel steht: "More information about Spectre NG is expected in the coming weeks, though for now, it seems like AMD is less affected by the exploit than their rivals,"
Und den zweiten Link hast du wohl zitiert, aber nicht gelesen?

Belastbare Quellen gibt es offenbar nicht:
"While the recent reports in early May only cited Intel, it was not clear if AMD was exposed as well. So we asked AMD. They said, as of now, they know of no exposure to the new Spectre-NG risks. " - Quelle
 

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#5
Wie bitte ????? haste die Überschrift meines Posts nicht gelesen ? steht da etwa was von Meltdown oder Spectre , Themen die alt und eigentlich auch gegessen sind , da patches vorhanden ..
und der C T Artikel ist auch alt , stammt vom 03.05 , dort wurde der Begriff Spectre NG geprägt
Daraufhin hat AMD in einer Stellungnahme verlautbart das sie prüfen würden ob AMD auch betroffen sei .

haste die Stelle im Video angeschaut in dem der Kommentator defenitiv sagt AMD hätte unabhängige Tests gemacht und jetzt bestätigt , AMD wäre von Spectre NG nicht betroffen ?
und die Überschrift des von mir verlinkten Artikels ist ja wohl auch kaum misszuverstehen


AMD is reportedly unaffected by Spectre NG - Great news for EPYC

Einzelheiten wirst du zu Spectre NG schwerlich finden , da sie noch unter Verschluss sind und Intel vermutlich auch noch nach der ersten bitte um Verlängerung noch ne zweite bitte um Verlängerung dranhängen wird

überraschend ist es jedenfalls nicht das AMD nicht betroffen sein soll , die im C T Artikel genannte problematischste Lücke stinkt quasi nach einem Meltdown Derviat
 

Denniss

Lt. Junior Grade
Dabei seit
Feb. 2010
Beiträge
260
#6
Den seltsamen Meldungen über Spectre NG und Immunität von AMD bitte erst glauben schenken wenn entweder die Quelle bei AMD namentlich genannt wird mit originalzitat oder es eine offizielle Meldung seitens AMD gibt.
Irgendeiner der irgendwo bei AMD arbeitet hat dies und jenes gesagt ist nicht wirklich zitierfähig
 

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#7

Denniss

Lt. Junior Grade
Dabei seit
Feb. 2010
Beiträge
260
#8
Eine Seite einer Beratungs/Investmentfirma ist keine glaubwürdige Quelle, speziell ohne Quellenabgabe/Zitat. Ich wünsche AMD daß sie nicht betroffen sind, bevorzuge aber eine glaubwürdige Quelle oder offizielle Presseerklärung.
Man bedenke die Berichte von Anfang des Jahres wo AMD eine Spectre-Immunität und ein späteres Zurückrudern angedichtet wurde.
 

frkazid

Lt. Commander
Dabei seit
Aug. 2013
Beiträge
1.307
#9
Solange da keine offiziellen Pressemitteilungen rausgegeben werden, geschweige denn überhaupt Beschreibungen der Lücken öffentlich vorliegen, ist das doch alles nur heiße Luft um nichts.

Ich hab nen Youtubevideo gesehen, da hat er behauptet die Erde wäre ne Scheibe 🤯 19b.jpg
 

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#10
und solange die Lücken von Spectre NG nicht öffentlich gemacht wurden , sei s durch ein Leck oder durch GPZ wird es keine Pressemitteilung seitens AMD geben , weil sie ja bekanntgeben müßten warum sie nicht betroffen sind , was wiederum Rückschlüsse auf die Art der Lücken zuließe ...
@ Deniss
das ist zwar richtig , befeuert wurde das aber durch AMD s Aussage vom " Near Zero Risk " , diese ist auch heute noch richtig , es gibt kein " Proof of Concept " zu Spectre V2" bei AMD , und die Tatsache das man bei AMD den exakten Speicherbereich kennen muss , den man auslesen will , würde das auch erheblich erschweren .
und Spectre V1 ist eher eine Betriebssystemlücke gewesen weil bei korrekter Programmierung wäre sie nicht aufgetreten , von Meltdown war und ist AMD nicht betroffen .
 

motul300

Lt. Commander
Dabei seit
März 2016
Beiträge
1.377
#11
AMD könnte einfach sagen dass sie nicht betroffen sind
sie müssten nicht zusätzlich erklären warum sie nicht betroffen sind
also wenn sie wirklich garnicht betroffen wären hätten sie es vermutlich gesagt
 

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#12
das ist Blödsinn , natürlich würde seitens der Medien nachgehakt werden warum man nicht betroffen ist ... und solange offiziell der Deckmantel des Schweigens über die Spectre NG Lücken liegt wird AMD sich nicht dazu äußern , außer daß man es prüft und je mehr Zeit AMD zum prüfen hat , desto sicherer kann AMD sein .
Ne frühzeitige Äusserung , die sich im Endeffekt zum Bumerrang entwickelt wird AMD nicht machen , aber offenbar hat jemand bei AMD bei Anfrage gesagt , es gäbe bisher keine Anzeichen dafür das AMD betroffen sei .

Natürlich ist das nicht belastbar , aber ich denke das der You Tuber im Video sich nicht so deutlich ausgedrückt hätte , wenn dem nicht so wäre , letztlich gehts ja auch um die Glaubwürdigkeit seines Channels .

und ich hatte ja im 1.Post beigeschrieben , es würde mich freuen wenn sich auch aus anderen Quellen bestätigt , das AMD nich von Spectre NG betroffen ist .

Pauschal zu sagen , das ist alles quatsch und kann ja gar nicht sein sein das nur Intel betroffen ist , nur weil noch kein offizielles Statement zu Sicherheitslücken gemacht wurde , die offiziell noch gar nicht exestieren ... , das ist ausgemachter Blödsinn
Spectre NG ist nur bekannt geworden weil C T die Lücken geleakt hat , sonst wüßte noch keiner davon , außer denen die sie entdeckt haben und Intel , im Artikel ist auch explizit von Intel CPU s die Rede gewesen mit dem Hinweis , das nicht bekannt sei ob AMD und andere auch betroffen seien .
 
Zuletzt bearbeitet:

motul300

Lt. Commander
Dabei seit
März 2016
Beiträge
1.377
#13
@motul300
meine güte redest du einen mist ...
natürlich könnte AMD einfach zugeben bzw. verneinen ob sie davon betroffen sind
die sind nicht verpflichtet irgend welche details rauszugeben:freak:
 

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#14
@motul 300
mann , bist du begriffsstutzig...
https://www.heise.de/security/meldu...e-Veroeffentlichung-aufgeschoben-4043790.html
was steht da ?
koordinierte Veröffentlichung aufgeschoben
was bedeutet das ?
koordiniert = gleichzeitig , erste Patches sind wohl schon fertig für einige Lücken , haste jemand aufschreien hören " Ja , wir haben den Patch für Lücke 5 schon fertig " ? z.b

koordiniert bedeutet das alle betroffenen einer gleichzeitigen Veröffentlichung zugestimmt haben = Entdecker , Intel , zugleich mit ersten Patches , und vermutlich auch AMD , weil AMD ja gar nicht wissen konnten ob sie betroffen sind , bevor sie das überprüfen konnten , auch ist nicht klar ob man überhaupt AMD sofort mit eingebunden hat , weil im C T Artikel einzig und ausschließlich von Intel CPU s die Rede ist .
Der einzige Satz der da AMD betrifft war , man wisse nicht ob auch andere Hersteller betroffen seien .
 
Zuletzt bearbeitet:
Dabei seit
Dez. 2016
Beiträge
2.251
#15
motul, ganz ehrlich, und wenn AMD eine heiligen Eid auf die Bibel ablegen würde um es zu verneinen, würden sich spätestens in Foren wie diesen die Intel-Fanboys zusammenrotten und alles anzweifeln bzw. behaupten, dass AMD lügt.
 

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#16
Sieh mal einer an , Spectre NG hat es bis bis zum BSI ( Bundesamt für Sicherheit und Informationstechnik ) geschafft
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/Spectre-NG_18052018.html
Diese neuen, mit "Spectre-Next-Generation (NG)" bezeichneten Schwachstellen führen nach Analysen des BSI dazu, dass Angreifer Speicherbereiche auslesen und dadurch Zugriff auf vertrauliche Informationen wie Passwörter, kryptografische Schlüssel oder andere kritische Daten erlangen können, die normalerweise vor solchen Zugriffen geschützt sein sollten. Derzeit sind außerhalb von Laborbedingungen keine Angriffe bekannt, die diese neu gefundenen Schwachstellen ausnutzen. Durch das Bekanntwerden von Detailinformationen besteht jedoch das Risiko, dass Täter entsprechende Angriffsmethoden entwickeln.

weswegen Detailinformationen derzeit auch noch nicht verfügbar sind , nebenbei bemerkt , ich glaub nicht das am 21.05 von Intel schon Patches kommen , sie bitten garantiert wieder um Verlängerung ... aber ich lass mich gerne positiv überraschen , nur sind positive Überraschungen bei Intel halt Mangelware ...
 

iamunknown

Lt. Commander
Dabei seit
Feb. 2005
Beiträge
1.442
#17
Solange keine Details über die Lücke veröffentlicht wurden sind alles weitere Mutmaßungen welche an der Qualität der zusammen gestückelten News - welche auch nicht viele Infos preis geben - hängt.
 

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#18
https://www.heise.de/security/meldu...ken-Spectre-NG-Updates-rollen-an-4051900.html

Patches zu den ersten 2 Lücken kommen , jedoch nur zu 2 Lücken mit " mittleren Gefahrenpotenzial "

Spectre V4 (Speculative Store Bypass, CVE-2018-3639) wurde von Google Project Zero und von Microsoft gemeldet. Es handelt sich um eine Seitenkanalattacke (Side-Channel Attack), die ähnlich wie die schon bekannten Spectre-Lücken funktioniert – auch bei Prozessoren anderer Hersteller.

- gleicht spectre V1
Laut Intel sind wesentliche Schutzmaßnahmen gegen Spectre V4 bereits umgesetzt: Die Browser-Hersteller haben schon als Schutz gegen Spectre V1 und V2 bestimmte Timer-Funktionen für JavaScript-Code verändert, sodass sich Angriffe schwieriger umsetzen lassen. Dieser Schutz wirkt auch gegen Spectre V4. Zudem kommen mit Browser-Updates Funktionen wie "Site Isolation", die Spectre-Attacken weiter erschweren.

mit anderen Worten - Intel brauchte gar nichts tun ...
Intel bringt aber auch neue CPU Microcode Updates, die wie bisher sowohl per BIOS-Update oder auch vom Betriebssystem eingespielt werden können. Die neuen Microcode-Updates sind in Beta-Versionen verfügbar und sollen im Laufe der nächsten Monate erscheinen
:o:o:o


Spectre V3a (Rogue System Register Read, CVE-2018-3640) wurde von ARM gemeldet. Laut Intel soll sich diese Lücke bei Intel-Prozessoren nur schwer für Angriffe nutzen lassen.

heißt dann wohl Intel brauchte wieder nichts zu tun .. :affe:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
-Spectre V4
On May 21st, a new subclass of speculative execution side channel vulnerabilities known as Speculative Store Bypass (SSB) has been announced and assigned CVE-2018-3639.

An attacker who has successfully exploited this vulnerability may be able to read privileged data across trust boundaries. Vulnerable code patterns in the operating system (OS) or in applications could allow an attacker to exploit this vulnerability. In the case of Just-in-Time (JIT) compilers, such as JavaScript JIT employed by modern web browsers, it may be possible for an attacker to supply JavaScript that produces native code that could give rise to an instance of CVE-2018-3639. However, Microsoft Edge, Internet Explorer, and other major browsers have taken steps to increase the difficulty of successfully creating a side channel.
 
Zuletzt bearbeitet:

Denniss

Lt. Junior Grade
Dabei seit
Feb. 2010
Beiträge
260
#19
https://www.amd.com/en/corporate/security-updates
AMD scheint von V4 betroffen und Updates sind in finaler Testphase, da Memory Disambiguation aktiv bleiben kann (im Gegensatz zu Intel wo es wohl erst einmal deaktiviert werden muß) sollten kaum Leistungsverluste auftreten.
AMD's x86-Prozessoren sind von V3a bisher nicht betroffen (möglichweise deren ARM-basierte CPUs)
 

MK one

Lt. Commander
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
1.892
#20
Intel spricht übrigens von 2- 8 % Leistungsverlust in einigen Benchmarks ( siehe heise Artikel ) bei Deaktivierung von Memory Disambiguation , was Intel übrigens empfiehlt .
https://www.heise.de/security/meldu...ken-Spectre-NG-Updates-rollen-an-4051900.html
Laut Intel mindert die Abschaltung von Memory Disambiguation die Systemperformance, und zwar um 2 bis 8 Prozent in Benchmarks wie BAPCo SYSmark 2014 SE und SPECint_rate_base_2006.
 
Top