Spectre Next Gen - die ersten 2 Lücken

MK one

Banned
Registriert
März 2017
Beiträge
4.889
ich weiß nicht woher dieser You Tuber die Info von amd hat aber in diesem Video ( englisch ) sagt er ab 12.26 defenitiv das AMD bei Spectre Next Gen nicht betroffen ist , danach erwähnt er noch das Meltdown eine Intel exclusive Sicherheitslücke war , jedoch AMD kein Grund zum Feiern hatte da Spectre AMD und Intel betraf .


es würd mich freuen wenn das sich noch aus anderen Quellen bestätigt
Ergänzung ()

und ne 2 te Quelle gefunden
https://www.facebook.com/Overclock3D/posts/1956202361081319
https://www.overclock3d.net/news/cp...ffected_by_spectre_ng_-_great_news_for_epyc/1

PS: News zu den Lücken bei Posting 18
 
Zuletzt bearbeitet:
Du hast Meltdown und Spectre angesprochen und nicht konkretisiert wofür du jetzt weitere Quellen haben willst.
In dem von dir verlinkten Artikel steht: "More information about Spectre NG is expected in the coming weeks, though for now, it seems like AMD is less affected by the exploit than their rivals,"
Und den zweiten Link hast du wohl zitiert, aber nicht gelesen?

Belastbare Quellen gibt es offenbar nicht:
"While the recent reports in early May only cited Intel, it was not clear if AMD was exposed as well. So we asked AMD. They said, as of now, they know of no exposure to the new Spectre-NG risks. " - Quelle
 
Wie bitte ????? haste die Überschrift meines Posts nicht gelesen ? steht da etwa was von Meltdown oder Spectre , Themen die alt und eigentlich auch gegessen sind , da patches vorhanden ..
und der C T Artikel ist auch alt , stammt vom 03.05 , dort wurde der Begriff Spectre NG geprägt
Daraufhin hat AMD in einer Stellungnahme verlautbart das sie prüfen würden ob AMD auch betroffen sei .

haste die Stelle im Video angeschaut in dem der Kommentator defenitiv sagt AMD hätte unabhängige Tests gemacht und jetzt bestätigt , AMD wäre von Spectre NG nicht betroffen ?
und die Überschrift des von mir verlinkten Artikels ist ja wohl auch kaum misszuverstehen


AMD is reportedly unaffected by Spectre NG - Great news for EPYC

Einzelheiten wirst du zu Spectre NG schwerlich finden , da sie noch unter Verschluss sind und Intel vermutlich auch noch nach der ersten bitte um Verlängerung noch ne zweite bitte um Verlängerung dranhängen wird

überraschend ist es jedenfalls nicht das AMD nicht betroffen sein soll , die im C T Artikel genannte problematischste Lücke stinkt quasi nach einem Meltdown Derviat
 
Den seltsamen Meldungen über Spectre NG und Immunität von AMD bitte erst glauben schenken wenn entweder die Quelle bei AMD namentlich genannt wird mit originalzitat oder es eine offizielle Meldung seitens AMD gibt.
Irgendeiner der irgendwo bei AMD arbeitet hat dies und jenes gesagt ist nicht wirklich zitierfähig
 
Eine Seite einer Beratungs/Investmentfirma ist keine glaubwürdige Quelle, speziell ohne Quellenabgabe/Zitat. Ich wünsche AMD daß sie nicht betroffen sind, bevorzuge aber eine glaubwürdige Quelle oder offizielle Presseerklärung.
Man bedenke die Berichte von Anfang des Jahres wo AMD eine Spectre-Immunität und ein späteres Zurückrudern angedichtet wurde.
 
Solange da keine offiziellen Pressemitteilungen rausgegeben werden, geschweige denn überhaupt Beschreibungen der Lücken öffentlich vorliegen, ist das doch alles nur heiße Luft um nichts.

Ich hab nen Youtubevideo gesehen, da hat er behauptet die Erde wäre ne Scheibe 🤯 19b.jpg
 
und solange die Lücken von Spectre NG nicht öffentlich gemacht wurden , sei s durch ein Leck oder durch GPZ wird es keine Pressemitteilung seitens AMD geben , weil sie ja bekanntgeben müßten warum sie nicht betroffen sind , was wiederum Rückschlüsse auf die Art der Lücken zuließe ...
@ Deniss
das ist zwar richtig , befeuert wurde das aber durch AMD s Aussage vom " Near Zero Risk " , diese ist auch heute noch richtig , es gibt kein " Proof of Concept " zu Spectre V2" bei AMD , und die Tatsache das man bei AMD den exakten Speicherbereich kennen muss , den man auslesen will , würde das auch erheblich erschweren .
und Spectre V1 ist eher eine Betriebssystemlücke gewesen weil bei korrekter Programmierung wäre sie nicht aufgetreten , von Meltdown war und ist AMD nicht betroffen .
 
AMD könnte einfach sagen dass sie nicht betroffen sind
sie müssten nicht zusätzlich erklären warum sie nicht betroffen sind
also wenn sie wirklich garnicht betroffen wären hätten sie es vermutlich gesagt
 
das ist Blödsinn , natürlich würde seitens der Medien nachgehakt werden warum man nicht betroffen ist ... und solange offiziell der Deckmantel des Schweigens über die Spectre NG Lücken liegt wird AMD sich nicht dazu äußern , außer daß man es prüft und je mehr Zeit AMD zum prüfen hat , desto sicherer kann AMD sein .
Ne frühzeitige Äusserung , die sich im Endeffekt zum Bumerrang entwickelt wird AMD nicht machen , aber offenbar hat jemand bei AMD bei Anfrage gesagt , es gäbe bisher keine Anzeichen dafür das AMD betroffen sei .

Natürlich ist das nicht belastbar , aber ich denke das der You Tuber im Video sich nicht so deutlich ausgedrückt hätte , wenn dem nicht so wäre , letztlich gehts ja auch um die Glaubwürdigkeit seines Channels .

und ich hatte ja im 1.Post beigeschrieben , es würde mich freuen wenn sich auch aus anderen Quellen bestätigt , das AMD nich von Spectre NG betroffen ist .

Pauschal zu sagen , das ist alles quatsch und kann ja gar nicht sein sein das nur Intel betroffen ist , nur weil noch kein offizielles Statement zu Sicherheitslücken gemacht wurde , die offiziell noch gar nicht exestieren ... , das ist ausgemachter Blödsinn
Spectre NG ist nur bekannt geworden weil C T die Lücken geleakt hat , sonst wüßte noch keiner davon , außer denen die sie entdeckt haben und Intel , im Artikel ist auch explizit von Intel CPU s die Rede gewesen mit dem Hinweis , das nicht bekannt sei ob AMD und andere auch betroffen seien .
 
Zuletzt bearbeitet:
@motul300
meine güte redest du einen mist ...
natürlich könnte AMD einfach zugeben bzw. verneinen ob sie davon betroffen sind
die sind nicht verpflichtet irgend welche details rauszugeben:freak:
 
@motul 300
mann , bist du begriffsstutzig...
https://www.heise.de/security/meldu...e-Veroeffentlichung-aufgeschoben-4043790.html
was steht da ?
koordinierte Veröffentlichung aufgeschoben
was bedeutet das ?
koordiniert = gleichzeitig , erste Patches sind wohl schon fertig für einige Lücken , haste jemand aufschreien hören " Ja , wir haben den Patch für Lücke 5 schon fertig " ? z.b

koordiniert bedeutet das alle betroffenen einer gleichzeitigen Veröffentlichung zugestimmt haben = Entdecker , Intel , zugleich mit ersten Patches , und vermutlich auch AMD , weil AMD ja gar nicht wissen konnten ob sie betroffen sind , bevor sie das überprüfen konnten , auch ist nicht klar ob man überhaupt AMD sofort mit eingebunden hat , weil im C T Artikel einzig und ausschließlich von Intel CPU s die Rede ist .
Der einzige Satz der da AMD betrifft war , man wisse nicht ob auch andere Hersteller betroffen seien .
 
Zuletzt bearbeitet:
motul, ganz ehrlich, und wenn AMD eine heiligen Eid auf die Bibel ablegen würde um es zu verneinen, würden sich spätestens in Foren wie diesen die Intel-Fanboys zusammenrotten und alles anzweifeln bzw. behaupten, dass AMD lügt.
 
Sieh mal einer an , Spectre NG hat es bis bis zum BSI ( Bundesamt für Sicherheit und Informationstechnik ) geschafft
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/Spectre-NG_18052018.html
Diese neuen, mit "Spectre-Next-Generation (NG)" bezeichneten Schwachstellen führen nach Analysen des BSI dazu, dass Angreifer Speicherbereiche auslesen und dadurch Zugriff auf vertrauliche Informationen wie Passwörter, kryptografische Schlüssel oder andere kritische Daten erlangen können, die normalerweise vor solchen Zugriffen geschützt sein sollten. Derzeit sind außerhalb von Laborbedingungen keine Angriffe bekannt, die diese neu gefundenen Schwachstellen ausnutzen. Durch das Bekanntwerden von Detailinformationen besteht jedoch das Risiko, dass Täter entsprechende Angriffsmethoden entwickeln.

weswegen Detailinformationen derzeit auch noch nicht verfügbar sind , nebenbei bemerkt , ich glaub nicht das am 21.05 von Intel schon Patches kommen , sie bitten garantiert wieder um Verlängerung ... aber ich lass mich gerne positiv überraschen , nur sind positive Überraschungen bei Intel halt Mangelware ...
 
Solange keine Details über die Lücke veröffentlicht wurden sind alles weitere Mutmaßungen welche an der Qualität der zusammen gestückelten News - welche auch nicht viele Infos preis geben - hängt.
 
https://www.heise.de/security/meldu...ken-Spectre-NG-Updates-rollen-an-4051900.html

Patches zu den ersten 2 Lücken kommen , jedoch nur zu 2 Lücken mit " mittleren Gefahrenpotenzial "

Spectre V4 (Speculative Store Bypass, CVE-2018-3639) wurde von Google Project Zero und von Microsoft gemeldet. Es handelt sich um eine Seitenkanalattacke (Side-Channel Attack), die ähnlich wie die schon bekannten Spectre-Lücken funktioniert – auch bei Prozessoren anderer Hersteller.

- gleicht spectre V1
Laut Intel sind wesentliche Schutzmaßnahmen gegen Spectre V4 bereits umgesetzt: Die Browser-Hersteller haben schon als Schutz gegen Spectre V1 und V2 bestimmte Timer-Funktionen für JavaScript-Code verändert, sodass sich Angriffe schwieriger umsetzen lassen. Dieser Schutz wirkt auch gegen Spectre V4. Zudem kommen mit Browser-Updates Funktionen wie "Site Isolation", die Spectre-Attacken weiter erschweren.

mit anderen Worten - Intel brauchte gar nichts tun ...
Intel bringt aber auch neue CPU Microcode Updates, die wie bisher sowohl per BIOS-Update oder auch vom Betriebssystem eingespielt werden können. Die neuen Microcode-Updates sind in Beta-Versionen verfügbar und sollen im Laufe der nächsten Monate erscheinen
:o:o:o


Spectre V3a (Rogue System Register Read, CVE-2018-3640) wurde von ARM gemeldet. Laut Intel soll sich diese Lücke bei Intel-Prozessoren nur schwer für Angriffe nutzen lassen.

heißt dann wohl Intel brauchte wieder nichts zu tun .. :affe:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
-Spectre V4
On May 21st, a new subclass of speculative execution side channel vulnerabilities known as Speculative Store Bypass (SSB) has been announced and assigned CVE-2018-3639.

An attacker who has successfully exploited this vulnerability may be able to read privileged data across trust boundaries. Vulnerable code patterns in the operating system (OS) or in applications could allow an attacker to exploit this vulnerability. In the case of Just-in-Time (JIT) compilers, such as JavaScript JIT employed by modern web browsers, it may be possible for an attacker to supply JavaScript that produces native code that could give rise to an instance of CVE-2018-3639. However, Microsoft Edge, Internet Explorer, and other major browsers have taken steps to increase the difficulty of successfully creating a side channel.
 
Zuletzt bearbeitet:
https://www.amd.com/en/corporate/security-updates
AMD scheint von V4 betroffen und Updates sind in finaler Testphase, da Memory Disambiguation aktiv bleiben kann (im Gegensatz zu Intel wo es wohl erst einmal deaktiviert werden muß) sollten kaum Leistungsverluste auftreten.
AMD's x86-Prozessoren sind von V3a bisher nicht betroffen (möglichweise deren ARM-basierte CPUs)
 
Intel spricht übrigens von 2- 8 % Leistungsverlust in einigen Benchmarks ( siehe heise Artikel ) bei Deaktivierung von Memory Disambiguation , was Intel übrigens empfiehlt .
https://www.heise.de/security/meldu...ken-Spectre-NG-Updates-rollen-an-4051900.html
Laut Intel mindert die Abschaltung von Memory Disambiguation die Systemperformance, und zwar um 2 bis 8 Prozent in Benchmarks wie BAPCo SYSmark 2014 SE und SPECint_rate_base_2006.
 
Zurück
Oben