# Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein



## PCGH-Redaktion (3. Mai 2018)

Jetzt ist Ihre Meinung gefragt zu *Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

						Das Bekanntwerden der drei GPZ-Sicherheitslücken Spectre 1 und 2 sowie Meltdown soll nur die Spitze eines Eisberges gewesen sein. Acht weitere, in Zusammenhang mit Spectre stehende Sicherheitslücken sollen Intel bereits intern bekannt sein, wie heise.de aus eigenen Quellen in Erfahrung gebracht haben möchte. Die Kollegen nennen sie vorerst Spectre Next Generation.

						Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Zurück zum Artikel: *Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*


----------



## Philairflow (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Oh je. Die Patches gehen also in die nächste Runde.


----------



## BigYundol (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Es wäre nett, wenn PCGH das verifizieren könnte.

Heise fiel ja schon auf die falsche Propaganda der israelischen "Sicherheitsforscher" rein...


----------



## Pisaopfer (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Abwarten und Tee trinken...


----------



## Shutterfly (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Aber immerhin hat Intel die höheren Scores in Games! Deswegen sollte man das Unternehmen auch weiterhin unterstützen und auf gar keinen Fall an AMD denken. Yolo? Oder so.

Ich bin gespannt, ob AMD davon auch betroffen ist. Inzwischen wird mir Intel aber zunehmend unattraktiver.


----------



## BenGun_ (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Ob mit den neuen Patches auch wieder das System langsamer wird?


----------



## forg1vr (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Shutterfly schrieb:


> Aber immerhin hat Intel die höheren Scores in Games! Deswegen sollte man das Unternehmen auch weiterhin unterstützen und auf gar keinen Fall an AMD denken. Yolo? Oder so.
> 
> Ich bin gespannt, ob AMD davon auch betroffen ist. Inzwischen wird mir Intel aber zunehmend unattraktiver.



Laut einem anderen Artikel, den ich dazu gelesen habe, sagten die Forscher aber auch, dass es für Privatanwender irrelevant ist, weil es unzählig viele einfachere Lücken gibt, die man ausnutzen kann.


----------



## KaneTM (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



forg1vr schrieb:


> Laut einem anderen Artikel, den ich dazu gelesen habe, sagten die Forscher aber auch, dass es für Privatanwender irrelevant ist, weil es unzählig viele einfachere Lücken gibt, die man ausnutzen kann.



Na dann habe ich ja kein Problem! Gleich mal noch den Virenscanner runter werfen und wieder als Admin anmelden. Wenn es eh alles nix nützt...


----------



## Edelhamster (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Microcode-Updates, Bios-Updates, Windoof-Updates, GPU-Treiber-Updates, Spiele-Updates..
Das ist ja bald Raub an Lebenszeit im ganz großen Stil  Das aber auch nur mal allgemein gesagt.
Neue Sicherheitslücken, tjoa, blöd^^


----------



## Echo321 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



BenGun_ schrieb:


> Ob mit den neuen Patches auch wieder das System langsamer wird?



Wenn das so weitergeht sind aktuelle CPUs durch die ganzen Patches wieder so schnell wie welche von vor 10 Jahren   Das Ganze erinnert mich irgendwie an die aktuellen Diesel-Diskussionen , Software Updates usw.


----------



## Blom (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Und wenn alle Sicherheitslücken gefixt sind, ist Intel mit AMD gleich auf


----------



## ChrisMK72 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Ja, Leute.

Sichert unsere Systeme so weit ab, bis nichts mehr funktioniert.

Dann haben wir zumindest schon mal 99%tige Sicherheit, wenn auch immer noch nicht ganz 100%tige. 

Ich pack mir erst mal 20 Verschiedene Anti-Virenprogramme drauf, 13 Firewalls und 55 Werbeblocker in die Browser.

Danach deinstallier ich windows, schlag mit einem Hammer auf meine SSD und hoffe, dann _ENDLICH_, bin ich "sicher" ! 
(Nachdem ich alle Stecker gezogen hab und den Restmüll in Bleicontainer gepackt habe).


P.S.: Nee, "Sicherheit" wird's nie wieder geben, wenn man Normaluser ist. Get over it !


----------



## GT200b (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Echo321 schrieb:


> Wenn das so weitergeht sind aktuelle CPUs durch die ganzen Patches wieder so schnell wie welche von vor 10 Jahren   Das Ganze erinnert mich irgendwie an die aktuellen Diesel-Diskussionen , Software Updates usw.



Die Benziner werden in den nächsten Jahren wieder stark in den Fokus geraten, erneut treibt man die Sau durchs Dorf. Das übliche halt. 

Der Diesel wird ein großes Comeback erleben. Bosch entwickelt schon fleißig, und wird es schaffen die Stickoxide deutlich zu reduzieren. 

Ich mag mein 6-Zylinder Diesel mit Euro 2 

Bosch verbessert Diesel-Abgaswerte dramatisch |
                heise Autos


----------



## JanJake (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Wer hätte das gedacht? Intel hat noch mehr Sicherheitslücken. 

100% Sicherheit gibt es nicht! Das einzige was ich mich bei dem Kram Frage, wieso kam das nicht schon bei Nehalem heraus? Weil Spectre und Meldtown geht bis auf 486 zurück! 

Das über Jahre da nichts gefunden wurde? Glaube kaum, eher das einfach dicht gehalten wurde.


----------



## Pu244 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Echo321 schrieb:


> Wenn das so weitergeht sind aktuelle CPUs durch die ganzen Patches wieder so schnell wie welche von vor 10 Jahren   Das Ganze erinnert mich irgendwie an die aktuellen Diesel-Diskussionen , Software Updates usw.



Liegt daran, dass alle Intel CPUs der letzten 29 Jahre (bei AMD reicht es weiter zurück), also alle die einen Cache haben, dafür anfällig sind. Wenn man es konsequent beheben wollte, dann müßte man den ganzen Cache deaktivieren und damit auf fast alle Leistungszuwächse der letzten 25 Jahre verzichten.

Für Privatanwender ist das, seit die Browser gepatcht wurde, nahezu völlig uninteressant (es sei denn man setzt, zur Sicherheit, virtuelle Maschinen ein), aber dennoch werde ich mir den Weltuntergangskäse wohl die nächsten Jahre anhören müssen.


----------



## Freakless08 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

War zu erwarten, dass die drei gefundenen (Meltdown, Spectre v1, Spectre v2)  nicht die einzigen waren und die jetzt gefundenen 8 werden wohl auch nicht die letzten bleiben.

Die neuen Lücken werden wohl auch ein Grund sein, weshalb Microsoft die letzten Spectre Patches aus dem dem 1803 April Update von Windows 10 wieder entfernt hat und dadurch Windows 10 wieder nicht mehr direkt geschützt ist. Wird wohl ein komplett angepasstes Update gegen die 11 Lücken werden.


----------



## KI_Kong (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Das war sicher nicht alles. Aus aktuellem Anlass:
Microsoft's Brad Smith: US 'stockpiling' exploits before ransomware attack - Business Insider Deutschland


----------



## h_tobi (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



BenGun_ schrieb:


> Ob mit den neuen Patches auch wieder das System langsamer wird?



Macht doch nichts, kannst ja die neueste Generation "ohne" die Fehler kaufen....


----------



## empy (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Stellt alles in die Cloud haben sie gesagt, die VMs sind sauber getrennt und sicher haben sie gesagt...

Bis heute bin ich dem Cloud-Wahn gegenüber skeptisch. Wenn da ein Riesenhaufen homogener Systeme rumliegen, die so viele Daten beherbergen, ist immer Vorsicht angebracht (um nicht "weiträumiges Umfahren" zu sagen). Eine halbwegs große Lücke und alles ist zum Teufel (oder einem beliebigen anderen Exploiter).


----------



## TheAbyss (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

"...immer is was mit den schrottigen Moped... kauf dich mal´n Fahrrad!!"


----------



## Tekkla (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



empy schrieb:


> Stellt alles in die Cloud haben sie gesagt, die VMs sind sauber getrennt und sicher haben sie gesagt.



Das ist ja soweit auch noch korrekt, denn es konnte ja kein Aas ahnen, dass die Hardware - und besonders die CPU - zum in Silizium gebrannten Securitydesaster mutiert.


----------



## Shutterfly (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



TheAbyss schrieb:


> "...immer is was mit den schrottigen Moped... kauf dich mal´n Fahrrad!!"



Ja ja...


----------



## Maverick3k (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Hmm... AMD wird zunehmends attraktiver. Wenn die gnazen Intel CPUs Leistungstechnisch einbrechen herrscht ja bald gleichstand mit AMD. Jetzt zieht wohl das IPC Argument nicht mehr... weil man das ja nun fast rausrechnen muss.


----------



## Fossi777 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren SicherheitslÃ¼cken betroffen sein*



Pu244 schrieb:


> ...aber dennoch werde ich mir den Weltuntergangskäse wohl die nächsten Jahre anhören müssen.



Sowas hier ? 

Grosser Feldberg im Taunus - Blick uber Frankfurt nach Sudosten - Foto-Webcam.eu


----------



## hellm (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Maverick3k schrieb:


> Hmm... AMD wird zunehmends attraktiver. Wenn  die gnazen Intel CPUs Leistungstechnisch einbrechen herrscht ja bald  gleichstand mit AMD. Jetzt zieht wohl das IPC Argument nicht mehr...  weil man das ja nun fast rausrechnen muss.



Ja, weil AMD CPU's so völlig anders funzen. Sicherheitslücken bauen die ganz sicher nicht in ihre CPU's mit ein. 
..und eingebrochen ist auch nach den letzten 3 Lücken nix.

Das  Ganze ist mir persönlich auch sowas von egal, Scriptkiddies können eh nicht  damit umgehen. Und für den gefährlichen Rest der Welt sind meine  geheimen Daten völlig uninteressant, da bin ich sicher.


----------



## BxBender (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



ChrisMK72 schrieb:


> Ja, Leute.
> 
> Sichert unsere Systeme so weit ab, bis nichts mehr funktioniert.
> 
> ...



Vielleicht reicht aber auch das hier:
Virtuelles Linux unter Linux erstellen, dann darin Windows Vm laden, darin dann Sandboxie als Programm starten, einen Antivirenprogramm srtatten, dass abgeschottete Browser mitbringt.
Ist vielleicht etwas übertrieben, aber so in der Art geht es schon, wenn man mehr als normal sicher surfen will. ^^


----------



## hanfi104 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Maverick3k schrieb:


> Hmm... AMD wird zunehmends attraktiver. Wenn die gnazen Intel CPUs Leistungstechnisch einbrechen herrscht ja bald gleichstand mit AMD. Jetzt zieht wohl das IPC Argument nicht mehr... weil man das ja nun fast rausrechnen muss.



AMDs Vorteil ist die fehlende Verbreitung. Wäre es ein 50/50 Markt, dann hätten auch mehr Securityforscher AMD Systeme und würden mehr finden.


----------



## Speedbone (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



hanfi104 schrieb:


> AMDs Vorteil ist die fehlende Verbreitung. Wäre es ein 50/50 Markt, dann hätten auch mehr Securityforscher AMD Systeme und würden mehr finden.



Soll das jetzt die neue Probaganda sein ? Oder eine Entschuldigung ? Von den eigenen Problemen mit Mutmasungen auf den Kontrahenten deuten ....

Für mich steht fest es kommt kein Intel mehr in meine Firma. Ich habe extra bei Intel nachgefragt ob noch weitere Sicherheitslücken bekannt  sind (für einen größeren Auftrag) und dies wurde verneint  und nun stellt sich heraus dass defakto  schon weitere 8 bekannt waren. 
Auftrag wird noch heute im laufenden Tag storniert.


----------



## TheAbyss (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Shutterfly schrieb:


> Ja ja...



Wat heit hier "Ja ja"... Ja ja heit..


----------



## empy (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



BxBender schrieb:


> Virtuelles Linux unter Linux erstellen, dann darin Windows Vm laden, darin dann Sandboxie als Programm starten, einen Antivirenprogramm srtatten, dass abgeschottete Browser mitbringt.



Also wenn das Ziel ist, dass dann am Ende nichts mehr funktioniert, kann man das sicher so machen. Selbst wenn man es hinkriegt wäre es sicher nicht mehr schnell. Ich glaub sicher ist man eh nur, wenn die Kiste aus ist. Es gibt so viele Möglichkeiten, aber viele rechtfertigen den Aufwand bei Normalsterblichen zum Glück nicht.


----------



## Maverick3k (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

ess





hanfi104 schrieb:


> AMDs Vorteil ist die fehlende Verbreitung. Wäre es ein 50/50 Markt, dann hätten auch mehr Securityforscher AMD Systeme und würden mehr finden.



Mag schon sein, aber Spectre V2 soll ja Leistungstechnisch kaum Einbußen bei AMD bringen, d.h. eine gute Sache.

@hellm

SSD Performance hat docha bgenommen und manche Anwendungen wurden langsamer, manche stark, manche weniger stark und bei anderen wiederum bemerkt man kaum einen Unterschied,


----------



## wurstkuchen (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Und gute Nacht... und ich hatte vor mir das neue XPS 15 zu kaufen. Zum kotzen. Wenn das jetzt hier noch mehr Performance Verluste bedeutet... besonders für meine Tablets und Laptops.


----------



## PCGH_Torsten (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



BxBender schrieb:


> Vielleicht reicht aber auch das hier:
> Virtuelles Linux unter Linux erstellen, dann darin Windows Vm laden, darin dann Sandboxie als Programm starten, einen Antivirenprogramm srtatten, dass abgeschottete Browser mitbringt.
> Ist vielleicht etwas übertrieben, aber so in der Art geht es schon, wenn man mehr als normal sicher surfen will. ^^



Spectre genießt deswegen soviel Aufmerksamkeit, weil aktuell irgendwo vom System genutzte Daten in deinem aufwendigen Beispiel genauso (un)sicher sind, als hätte man den Browser direkt auf dem Supervisor-System gestartet.


----------



## Schori (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Für den Otto-Normal-Verbraucher sind die Lücken eh unerheblich. Da gibt es viel einfachere Methoden um an die Daten zu kommen.
Oft gibt sie der Anwender von selbst Preis XD


----------



## Pu244 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Maverick3k schrieb:


> Hmm... AMD wird zunehmends attraktiver. Wenn die gnazen Intel CPUs Leistungstechnisch einbrechen herrscht ja bald gleichstand mit AMD. Jetzt zieht wohl das IPC Argument nicht mehr... weil man das ja nun fast rausrechnen muss.



Man die Patches wohl auch wieder deaktivieren, was ich wohl irgendwann machen werde, wenn sie mehr als 3-4% Leistung ziehen. Die Browser sind geschützt, von daher kann da nichts rein und meinen PC vermiete ich nicht virtuell unter, also sind diese Patches, für mich persönlich, unnötig wie ein Kropf.

Wäre mal interessant, wenn die PCGH mal einen Test macht, wieviel alle Patches insgesamt an Leistung brauchen und wie man die Patches wieder los wird.


----------



## hanfi104 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Speedbone schrieb:


> Soll das jetzt die neue Probaganda sein ? Oder eine Entschuldigung ? Von den eigenen Problemen mit Mutmasungen auf den Kontrahenten deuten ....
> 
> Für mich steht fest es kommt kein Intel mehr in meine Firma. Ich habe extra bei Intel nachgefragt ob noch weitere Sicherheitslücken bekannt  sind (für einen größeren Auftrag) und dies wurde verneint  und nun stellt sich heraus dass defakto  schon weitere 8 bekannt waren.
> Auftrag wird noch heute im laufenden Tag storniert.



Propagana? Was?!
Die Aussage ist: Nur weils bei AMD noch nicht getestet/nachgewiesen wurde, heißt es nicht, dass es die (oder andere) nicht gibt.

Mal ehrlich, was hast du auch erwartet bei Intel anzufragen, sollen sie die Wahrheit sagen? Das ist doch Selbstmord.


----------



## Fim8ulv3tr (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Zu Beginn des Hypes um diese Sicherheitslücken hab ich die News noch genauer verfolgt, mir aber am Schluss gedacht, es wäre besser zu warten, bis es Erfahrungen zu den Patches gibt, bzw die Patches so ausgereift sind, dass sie nicht mehr Schaden als Nutzen bringen. Nach TotalMeltdown war ich dann sehr glücklich, seit Mitte Dezember keine Updates für mein win 7 eingespielt zu haben, hatte aber immer noch vor, das irgendwann nachzuholen.  Mittlerweile interessiert mich nur mehr: Wie kann ich diesen Patches entkommen bzw sie deinstallieren? (Wirklich sicher werde ich sowieso erst in ~5 Jahren sein, wenn ich mir eine CPU kauf, die von vornherein nicht anfällig ist.) FeatureSettingsOverride auf 3 ist immer eine Möglichkeit, aber ich hätte diese Patches lieber gar nicht im System. Windows 7 Updates kommen leider nur mehr als "monthly Rollup", also alles zusammen, friss oder stirb, das auslassen der Meltdown/Spectre-Patches kostet mich also auch alle anderen Sicherheitsupdates. Ganz ideal ist das halt auf Dauer nicht. Aber wenigstens werden keine Microcode-Updates über Windows 7 an Haswell-Systeme verteilt, und ich hoffe, das bleibt so.


----------



## Oberst Klink (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Und jetzt? Für die meisten Privatanwender sind diese Sicherheitslücken sowieso irrelevant, weil sie 1. entweder kein Antivirenprogramm auf ihrem PC, Laptop oder Smartphone nutzen, oder 2. ihre Daten sowieso freiwillig preisgeben. Auf den meisten Rechnern gibt es tausende Sicherheitslücken die tausendmal einfacher zu nutzen sind als Spectre oder Meltdown. Von daher ist das Thema eigentlich nur für Betreiber von Servern oder Fimen interessant. Den Privatanwender betrifft das so gut wie gar nicht, u.A. auch weil die meisten Privatleute kaum derart interessante oder wichtige Daten auf ihren Rechnern haben, als dass es sich für einen Hacker lohnen würde gerade über die Spectre/Meltdown-Lücken darauf zuzugreifen.


----------



## wurstkuchen (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Oberst Klink schrieb:


> Und jetzt? Für die meisten Privatanwender sind diese Sicherheitslücken sowieso irrelevant, weil sie 1. entweder kein Antivirenprogramm auf ihrem PC, Laptop oder Smartphone nutzen, oder 2. ihre Daten sowieso freiwillig preisgeben. Auf den meisten Rechnern gibt es tausende Sicherheitslücken die tausendmal einfacher zu nutzen sind als Spectre oder Meltdown. Von daher ist das Thema eigentlich nur für Betreiber von Servern oder Fimen interessant. Den Privatanwender betrifft das so gut wie gar nicht, u.A. auch weil die meisten Privatleute kaum derart interessante oder wichtige Daten auf ihren Rechnern haben, als dass es sich für einen Hacker lohnen würde gerade über die Spectre/Meltdown-Lücken darauf zuzugreifen.



Eben nicht. Ich will keine Patches zu Spectre auf meine PCs die die Leistung verkrüppeln. Also betrifft es die "normalen Anwender" sehr wohl.


----------



## Tigertechnik (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Ich wette es gibt sowohl in AMD als auch in Intel CPUs noch weitere Sicherheitslücken die noch gefunden werden.


----------



## Lokal_Admin (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Tigertechnik schrieb:


> Ich wette es gibt sowohl in AMD als auch in Intel CPUs noch weitere Sicherheitslücken die noch gefunden werden.




Wer suchet, der findet


----------



## Speedbone (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Oberst Klink schrieb:


> Und jetzt? Für die meisten Privatanwender sind diese Sicherheitslücken sowieso irrelevant, weil sie 1. entweder kein Antivirenprogramm auf ihrem PC, Laptop oder Smartphone nutzen, oder 2. ihre Daten sowieso freiwillig preisgeben. Auf den meisten Rechnern gibt es tausende Sicherheitslücken die tausendmal einfacher zu nutzen sind als Spectre oder Meltdown. Von daher ist das Thema eigentlich nur für Betreiber von Servern oder Fimen interessant. Den Privatanwender betrifft das so gut wie gar nicht, u.A. auch weil die meisten Privatleute kaum derart interessante oder wichtige Daten auf ihren Rechnern haben, als dass es sich für einen Hacker lohnen würde gerade über die Spectre/Meltdown-Lücken darauf zuzugreifen.


Hast du überhaupt eine Ahnung wie Spectre bzw. Meltdown funktionieren ? Und was damit gemacht werden kann ? Nach deiner Argumentation könnte Man auch sagen Privatanwender brauchen keine Firewall und keine Antivirus omg. Facepalm


----------



## Der_Unbekannte (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Ich schmeiß mich gerade echt weg XD. Wieder neue Lücken, diesmal schlimmer als vorher^^.  Und wie zu erwarten war, kommen die Intel Leute mit Relativierungen wieder um die Ecke.

Wer Intel kauft oder noch verteidigt, dem ist echt nicht mehr zu helfen. Ein unseriöser und krimineller Lügenverein ist Intel und sonst gar nichts.


----------



## fotoman (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Edelhamster schrieb:


> Microcode-Updates, Bios-Updates, Windoof-Updates, GPU-Treiber-Updates, Spiele-Updates..
> Das ist ja bald Raub an Lebenszeit im ganz großen Stil  Das aber auch nur mal allgemein gesagt.


Die Gamer wollen es doch seit jahren nicht anders. Früher konnte man auf seinem Offline-PC noch Spiele von CD installieren und dann ohne jegleichn Online-Müll tatsächlich auch spielen.

Aber damals waren dei Spieler auch noch in der Lage, ihr Betriebssystme korrekt zu benennen.



ChrisMK72 schrieb:


> P.S.: Nee, "Sicherheit" wird's nie wieder  geben, wenn man Normaluser ist. Get over it !


Fragt sich eher,  wann es die jemals gegeben hat. 



Maverick3k schrieb:


> Hmm... AMD wird zunehmends  attraktiver.


Ist halt so wie mit Linux als Desktop-Ersatz. Sobald  es eine kritische Anzahl an Usern gibt, lohnt sich auch die intensive  Suche nach "passenden" Lücken.



Speedbone schrieb:


> Hast du überhaupt eine Ahnung wie Spectre bzw.  Meltdown funktionieren ? Und was damit gemacht werden kann ? Nach deiner  Argumentation könnte Man auch sagen Privatanwender brauchen keine  Firewall und keine Antivirus omg. Facepalm


Ist die Frage, wer  hier die Ahnung hat und diese auch für sein individuelles Heimszenario einschätzen kann. Außer mittlerweile gehärteten Browsern fällt mir  nämlich absolut kein Szenario ein, durch das jemand in meinem privaten  Umfeld durch die Ausnutzung von Spectre/Meltdown meine Daten  effektiver/einfacher/zuverlässiger klauen könnte wie auf dutzende andere  Weisen.

Bei mir auf den PCs gibt es (auch Dank Firewall) keinen andern User,  der mal eben unbemerkt Programme laufen lassen kann. Und die dann vor allem nur Dank der beiden Lücken an meine Daten kämen. Also muss ich diese  Schadprogramme selber in meiner eigenen Session starten, und schwups, kann  ich auch  gleich die Daten auf ganz andere Weise abgreifen ansttt die Daten mit ein paar  KB/Sekunde wieder zusammen zu würfeln.

Biiebe noch mein Linux-NAS übirg. Nun ja, den dortigen Updates muss ich genauso blind vertrauen wie Windows-Patches oder Programmupdates. Ich habe nämlich weder die Zeit noch die Lust, mir alle Patches im Quelltext anzusehen und danach die Programme selber zu kompilieren.

Aber vieleicht hast Du ja wenigstens ein denkbares und sinnvolles Angriffsszenario im Heimbereich auf einem Windows-Client im Single-User Betrieb, das sich nur durch die Lücken realisieren lässt.


----------



## PCGH_Torsten (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Gerade für Spieler gäbe es weitere potentielle Angriffswege: Jemals einen Mod installiert? Tweaking-Tools für Spiele ausprobiert? Oder gar an distributed-Computing-Projekten (inkl. einiger Cryptowährungen) teilgenommen?
Browser waren zwar der bedenklichste weil mit Abstand am weitesten verbreitete Einfallsweg, aber sie sind nicht der einzige. Und die bisherigen Browser-internen Gegenmaßnahmen über die Zeitgeber stellen ihrerseits eher eine Erschwerung denn eine Verhinderung von Angriffen dar.


----------



## Freakless08 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



fotoman schrieb:


> Bei mir auf den PCs gibt es (auch Dank Firewall) keinen andern User,  der mal eben unbemerkt Programme laufen lassen kann. Und die dann vor allem nur Dank der beiden Lücken an meine Daten kämen. Also muss ich diese  Schadprogramme selber in meiner eigenen Session starten, und schwups, kann  ich auch  gleich die Daten auf ganz andere Weise abgreifen ansttt die Daten mit ein paar  KB/Sekunde wieder zusammen zu würfeln.


Klar. Weil nur der Browser von Sicherheitslücken betroffen sein kann 

> GeForce 390.65 WHQL: Nvidia sichert Grafikkarten-Treiber gegen Spectre 1 - ComputerBase
> Whitelist umgehen: Node-Server im Nvidia-Treiber ermoglicht Malware-Ausfuhrung - Golem.de

> Intel Management Engine (ME) : Intel-Prozessoren: Intel bestatigt Sicherheitslucken, Firmware-Update notwendig
> Intel: SGX-Erweiterungen von Spectre betroffen
... und wer weiß welche Treiber und Software noch Sicherheitslücken enthält.


----------



## Pu244 (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



PCGH_Torsten schrieb:


> Gerade für Spieler gäbe es weitere potentielle Angriffswege: Jemals einen Mod installiert? Tweaking-Tools für Spiele ausprobiert? Oder gar an distributed-Computing-Projekten (inkl. einiger Cryptowährungen) teilgenommen?



In all diesen Fällen muß ich das Zeug auf meinem PC installieren, was zum eigentlichen Grund, warum (für Privatnutzer) Spectre und Meltdown kaum eine Rolle spielen, bringt: es gibt einfach viel bessere Angriffsmöglichkeiten.

Ein Angreifer, den ich soweit in meinen Rechner gelassen habe, muß sich nicht erst ein Abbild meines RAMs zusammenklamüsern und das mit einer Sicherheitslücke, von der kein einziger praxisrelevanter Angriff bekannt ist, er kann ganz einfach ein Abbild meiner Festplatten ziehen. Er muß auch nicht, per Spectre/Meltdown irgendwo meine Passwörter irgendwo im RAM vermuten und an der Stelle dann nachschauen (was schon unglaubliches können erfordern würde), er kann einfach einen Keylogger installieren, der auch noch vom Grafikausgabe Fotos macht.

Von daher können sich Normalos sich, was Spectre und Meltdown betrifft, gemütlich zurücklehnen, denn man ist schon ohne sie völlig im Eimer.

Die Einzige, halbwegs reale Gefahr, ist, wenn man jemand fremden eine virtuelle Maschine übergibt. Dann kann man, mit Meltdown und Spectre, ausbrechen und alle anderen Systeme, virtuell oder nicht, auf der physischen CPU, kompromittieren.



PCGH_Torsten schrieb:


> Browser waren zwar der bedenklichste weil mit Abstand am weitesten verbreitete Einfallsweg, aber sie sind nicht der einzige. Und die bisherigen Browser-internen Gegenmaßnahmen über die Zeitgeber stellen ihrerseits eher eine Erschwerung denn eine Verhinderung von Angriffen dar.



Da das ganze darauf basiert, die Zeit, in der etwas geliefert wird, möglichst präzise zu messen, ist das schon eine wirksame Gegenmaßnahme, die es fast unmöglich macht. Zumal wir von einer Angriffsform reden, die nie in freier Wildbahn beobachtet wurde (obwohl sie der Traum schlechthin ist).


----------



## Atma (3. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Speedbone schrieb:


> Nach deiner Argumentation könnte Man auch sagen Privatanwender brauchen keine Firewall und keine Antivirus omg. Facepalm


Zumindest die klassischen Antivirus Programme sind inzwischen weitestgehend obsolet. Wer immer noch Geld für ein Antivirus Programm ausgibt, der kauft sich scheinhafte Sicherheit. Heute lauern die Gefahren im Internet in Form von Ransomware oder Exploits. Dagegen hilft kein Antivirus sondern nur ein stets aktueller Browser, Scriptblocker wie NoScript oder uMatrix und gesunder Meschenverstand.


----------



## Lokal_Admin (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Intel-Chef Brian Krzanich hat Ende 2017 ein riesiges Paket Intel-Aktien verkauft , sein Gewinn belief sich auf 24 Millionen Dollar.
Intel mit 8 weiteren Sicherheitslücken - eine davon schwerwiegender, wusste er das es nur die "Spitze des Eisbergs" war?


----------



## Freiheraus (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Lokal_Admin schrieb:


> ...wusste er das es nur die "Spitze des Eisbergs" war?



Nichts weiter als haltlose Unterstellungen?^^


----------



## Bluebird (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Speedbone schrieb:


> Hast du überhaupt eine Ahnung wie Spectre bzw. Meltdown funktionieren ? Und was damit gemacht werden kann ? Nach deiner Argumentation könnte Man auch sagen Privatanwender brauchen keine Firewall und keine Antivirus omg. Facepalm


hast du eine ahnung wie lange es dauert oder wie aufwendig so ein M/S Angriff ist ? 
Also so ganz unrecht hat er da nicht !


----------



## PCGH_Torsten (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Pu244 schrieb:


> In all diesen Fällen muß ich das Zeug auf meinem PC installieren, was zum eigentlichen Grund, warum (für Privatnutzer) Spectre und Meltdown kaum eine Rolle spielen, bringt: es gibt einfach viel bessere Angriffsmöglichkeiten.



Ich habe bewusst Beispiele aufgelistet, bei denen fremder Code innerhalb einer bestehenden Installation geladen wird und diese als Ausführungsumgebung nutzt. Zu keinem Zeitpunkt räumt der Anwender diesen Programmen übergeordnete Rechte ein. Schon gar nicht der Zugriff auf Datenbereiche anderer Anwendungen den per Definition nur das Betriebssystem hat. Ausnahme: Spectre.



> Da das ganze darauf basiert, die Zeit, in der etwas geliefert wird, möglichst präzise zu messen, ist das schon eine wirksame Gegenmaßnahme, die es fast unmöglich macht. Zumal wir von einer Angriffsform reden, die nie in freier Wildbahn beobachtet wurde (obwohl sie der Traum schlechthin ist).



Auch wenn ich die Gefahr als ebenfalls sehr klein erachte, da alternative Vorschläge zur Zeitmessung Entwicklungsaufwand, gesteigertes Entdeckungsrisiko, eingeschränkte Kompatibilität und damit vor allem ein schlechtes Kosten-Nutzen-Verhältnis für Angreifer aufweisen:
Wir reden hier immer noch von Angriffen, die keine Spuren hinterlassen und deswegen ohne gezielte Suche respektive Tests unter kontrollierten Bedingungen gar nicht beobachtet werden können. "In freier Wildbahn" würde sich ein Spectre-Angriff am ehesten durch eine hohe Systemauslastung verraten, aber aufwendige Plug-Ins sind heute so selbstverständlich, dass selbst im Hintergrund aufgerufene Krypto-Miner unbemerkt bleiben. Man kann auch paranoid und verfolgt sein.


----------



## GEChun (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*

Was ich mich dabei aber immer Frage @ Torsten:

Spectre kann auf dem PC nicht enteckt werden ok.

Aber ist es nicht einfach Möglich den Datenverkehr zwischen Internet/Lan/Wlan und dem PC strikt zu kontrollieren?
Letztendlich MUSS doch egal was mit dem PC kommuniziert darüber protokolliert werden.

Hat man hier einen besseren detaillierten Schutz welcher sämtlichen Traffic kontrolliert und analysiert, ist die Sicherheitslücke im CPU obsolet oder sehe ich das falsch?

Edit nicht das es zu Missverständnissen kommt:

Ich meine wirklich das alles durchleuchtet wird, selbst das was von sicheren Programmen kommt.


----------



## Captain-S (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Lokal_Admin schrieb:


> Intel-Chef Brian Krzanich hat Ende 2017 ein riesiges Paket Intel-Aktien verkauft , sein Gewinn belief sich auf 24 Millionen Dollar.
> Intel mit 8 weiteren Sicherheitslücken - eine davon schwerwiegender, wusste er das es nur die "Spitze des Eisbergs" war?


Glaubst du wirklich Intel macht deswegen weniger Gewinn?


----------



## shadie (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Lokal_Admin schrieb:


> Intel-Chef Brian Krzanich hat Ende 2017 ein riesiges Paket Intel-Aktien verkauft , sein Gewinn belief sich auf 24 Millionen Dollar.
> Intel mit 8 weiteren Sicherheitslücken - eine davon schwerwiegender, wusste er das es nur die "Spitze des Eisbergs" war?



Was man da aber auch dazu sagen muss ist, dass solche Manager mit einem variablen Einkommen bezahlt werden.
Meistens 30/70 oder 40/60.

Sprich er bekommt "nur" 30% Fix Gehalt je Monat und die restlichen 60/70 Prozent werden z.B. am Jahresende in Aktien oder ähnlichem ausgezahlt.

Daher kann es gut möglich sein, dass man noch schnell sein "hart verdientes Gehalt" in trockene Tücher bringen wollte, bevor das "hart verdiente  Gehalt" auf einmal nur noch die Hälfte wert ist.
Wäre ja blöd.....

naja wollen wir Ihm mal nix unterstellen, das dürfen andere Stellen gerne tun und prüfen.
Seltsam sieht es aber alle Male aus.

BTT: Juhu weitere Lücken.

Zudem dauernd neue Meldungen von Patzern bei z.B. Twitch welche Passwörter unverschlüsselt aufbewahren etc.

Wenn die großen Unternehmen nicht bald mal massiv in deren Sicherheit investieren sind wir bald alle sehr sehr gläsern.


Ich wurde vor wenigen Tagen mal gefragt von einem unserer Zulieferer,
warum wir denn noch server kaufen für die Firma.
Die ganze Welt "spricht doch Cloud".

Ich dachte mir dabei nur.......jop.....kann Sie gerne tun.


----------



## Lokal_Admin (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Captain-S schrieb:


> Glaubst du wirklich Intel macht deswegen weniger Gewinn?



Es ging in meinem post nicht um gewinn oder verlust von Intel


----------



## fotoman (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



Freakless08 schrieb:


> Klar. Weil nur der Browser von  Sicherheitslücken betroffen sein kann


Alles andere instaliere  ich selber. Da muss ich (a) dem Entwickler vertrauen, dass er alles   richtig gemacht hat und (b) können alle Programme, die ich absichtlich ausführe, ganz andere Sachen anrichten  wie nur mittels S/M ein paar Daten im Minutentakt auslesen.



PCGH_Torsten schrieb:


> Gerade für Spieler gäbe es weitere  potentielle Angriffswege: Jemals einen Mod installiert?


Sind das  heutzutage nur noch Scripts? Zu meinen Spiele-Zeiten waren solche  Patches stinknormale Programme/DLLs, die dann halt mit den Rechten des  Spieles alles gedurft hätten. Egal, ob sie einen Keylogger enthalten, ob sie analog zum Taskmanager eine Memorydump eines laufenden Programms  abziehen oder was man sich noch so alles ausdenken kann.

Was soll an einem Miner und co anders sein? Ich muss ihn bewusst herunter laden und bewusst ausführen. Also läuft das Programm/der Service in der Regel mit meinen Benutzerrechten. Solche Programme hat mir jedenfalls auf dem heimischen PC noch keiner unter geschoben (außer vieleicht mittels drive-by installation oder eben im Browser.



shadie schrieb:


> Zudem dauernd neue Meldungen von Patzern bei z.B. Twitch welche Passwörter unverschlüsselt aufbewahren etc.


Schönes Beispiel. Siehe auch den Test von Passwort-Managern in C't 7/2018. Bei allen konnte das Masterpasswort im Speicher des laufenden Tools recht problemlos gefunden werden. Dass der Memory-Dump dazu selbst auf einem System mit eingeschrämnken Benutzerrechten mit dem Taskmanager erstellt werden kann (also auch mit jedem beliebigen anderen Programm, welches ich mit den selben eingeschränkten Benutzerrechten ausführen darf), reicht mir irgendwie, um die Gefahr von Angriffen auf meinem Single-User System per Spectre und co. niedriger zu bewerten wie mittels jedem anderen Programm. Wozu soll ich stundenlag den Speicher mit Spectre ausleseen und wieder zusammen basteln, wenn ich den Dump innerhalb von ein paar Sekunden erstellen kann, und dieser auch noch zu einem Programm/Task zugeordnet ist.

Bei Servern bzw. Mehrbenutzersystemen, auf denen unbekannte User beliebige Programme ausführen dürfen, ist das natürlich etwas volkommen anderes. An den Adressbereich der anderen User komme ich in der Regel nicht heran.

Das ist mir auf meinem Heimsystem (oder auch auf dem Firmenlaptop) aber vollkommen egal. Dort starte ich all meine Programme selber und wenn ich denen (und insb. denen, welche die Firmen-IT installiert) nicht vertraue, haben sie viel einfachere und effektivere Möglichkeiten, meine Daten auszuspieonieren wie mit Spectre und co. Das einzige Problem bleiben für mich damit Einfallstore, die ich nicht kontrollieren kann. Also insb. Scripengines im Browser oder bei Spielern auch MODs, falls das mittlerweile einfache Scripts sein sollten.


----------



## PCGH_Torsten (4. Mai 2018)

*AW: Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein*



GEChun schrieb:


> Was ich mich dabei aber immer Frage @ Torsten:
> 
> Spectre kann auf dem PC nicht enteckt werden ok.
> 
> ...



Gerade für sensible Daten braucht es verschlüsselte Kommunikationswege und umgekehrt wäre es für ein Überwachungstool schwer, alle schützenswerten Daten überhaupt als solche zu erkennen. Mir wären deswegen keine Lösungen für Privatanwender bekannt, die unerwünscht ausgehende Daten erkennen können – die beste Annäherung wäre Deep Packet Insepection um Schadsoftware in eigehenden Paketen zu ermitteln. Vergleichsweise leicht kann festgestellt werden, ob ein Programm überhaupt mit dem Internet kommuniziert. Aber das nützt einem bei Browser-basierten Angriffen oder Spielen mit DRM natürlich gar nichts.




fotoman schrieb:


> Alles andere instaliere  ich selber. Da muss ich (a) dem Entwickler vertrauen, dass er alles   richtig gemacht hat und (b) können alle Programme, die ich absichtlich ausführe, ganz andere Sachen anrichten  wie nur mittels S/M ein paar Daten im Minutentakt auslesen.
> 
> Sind das  heutzutage nur noch Scripts? Zu meinen Spiele-Zeiten waren solche  Patches stinknormale Programme/DLLs, die dann halt mit den Rechten des  Spieles alles gedurft hätten. Egal, ob sie einen Keylogger enthalten, ob sie analog zum Taskmanager eine Memorydump eines laufenden Programms  abziehen oder was man sich noch so alles ausdenken kann.
> 
> ...



Es gibt mittlerweile viele Spiele mit direktem Mod-Support, die interne Manager benutzen und nicht auf systemkontrollierte Installationsroutinen angewiesen sind. Und der Knackpunkt liegt eben darin, dass Spectre-Angriffe Sicherheitsbarrieren überwinden können: Ein normales Plug-In, dass nur mit den Rechten des Spiels agiert, kann beispielsweise nicht als systemweiter Keylogger agieren. Ein Spiel hat keine Rechte zur Treiberinstallation und der Prozess selbst erhält nur dann Tastatureingaben übermittelt, wenn er aktiv ist – aber ein Fenster weiter im Online-Bankingformular eingegeben wird, soll für ein Spiel unsichtbar sein. Ist es via Spectre aber nicht. Das gleiche gilt für alle anderen Frameworks, in denen sich Programmlogiken ausführen können – deswegen habe ich Miner erwähnt. Die Mining-Tools als solche sind natürlich klassische Programme, deren Quelle man überprüfen kann. Aber der Trend geht zu nutzbringendem Proof-of-Work, egal ob über Verknüpfung mit distributer-computing-Netzwerken oder direkt über smart contracts. Diese Workloads sind formell voll Turing-fähig und sie werden automatisch ohne Kontrollmöglichkeit durch den Nutzer geladen und ausgeführt – in der Annahme, dass die Mining-Software ein sicherer Container wäre, der außer Rechenleistung nichts vom Host-System erhält. Aber Spectre kümmert sich eben nicht um Container.

Soweit jedenfalls die Theorie. Welche Angriffe praktisch tatsächlich möglich sind, kann nur nach sehr sorgfältiger Analyse der jeweiligen Umgebung und Hardware gesagt werden – bekanntermaßen hat es zwei Jahrzehnte gebraucht, um die Lücke für Wintel nachzuweisen. Exploits für noch unentdeckte Variationen oder privat genutzte Software sind somit rein statistisch unwahrscheinlich. Umgekehrt lässt sich ihre Möglichkeit eines Angriffswegen ohne vergleichbaren Aufwand aber auch nicht ausschließen. Sicher sein kann man sich somit nur bei Systemen und Software, die gegen Spectre gepatched wurde sich nicht aushorchen lässt beziehungsweise mit einem der wenigen, lahmen Plattformen die per Definition nicht betroffen sind. Alle anderen bauen darauf, dass potentielle Angreifer zu unfähig oder zu faul sind.


----------

