23
Downfall - Supergau nun auch bei Intel
Moin Zusammen,
nach Microsoft folgt nun auch Intel mit einem Supergau. 😱
Zitat von NTV.
"Google entdeckt eine Schwachstelle in Intel-Prozessoren, die es Angreifern ermöglicht, Passwörter und andere persönliche Daten zu erbeuten. Betroffen sind fast alle Intel-Chips seit 2014. Antivirus-Programme sind chancenlos, Nutzer müssen auf Updates der Computer-Hersteller warten."
Quelle:
https://www.n-tv.de/technik/Schwere-Sicherheitsluecke-Downfall-in-Intel- ...
Weitere Quellen:
https://www.golem.de/news/downfall-neue-schwachstelle-in-intel-cpus-ermo ...
https://www.pcworld.com/article/2025589/downfall-serious-security-vulner ...
Gruss Alex
nach Microsoft folgt nun auch Intel mit einem Supergau. 😱
Zitat von NTV.
"Google entdeckt eine Schwachstelle in Intel-Prozessoren, die es Angreifern ermöglicht, Passwörter und andere persönliche Daten zu erbeuten. Betroffen sind fast alle Intel-Chips seit 2014. Antivirus-Programme sind chancenlos, Nutzer müssen auf Updates der Computer-Hersteller warten."
Quelle:
https://www.n-tv.de/technik/Schwere-Sicherheitsluecke-Downfall-in-Intel- ...
Weitere Quellen:
https://www.golem.de/news/downfall-neue-schwachstelle-in-intel-cpus-ermo ...
https://www.pcworld.com/article/2025589/downfall-serious-security-vulner ...
Gruss Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8103057738
Url: https://administrator.de/contentid/8103057738
Printed on: April 28, 2024 at 17:04 o'clock
23 Comments
Latest comment
Ich sag Euch..., so schlecht war das nicht mit SAP (Schreiben auf Papier)
Grüße
Uwe
Grüße
Uwe
1
Moin Uwe,
effizient aber auch nicht.
Gruss Alex
Ich sag Euch..., so schlecht war das nicht mit SAP (Schreiben auf Papier)
effizient aber auch nicht.
Gruss Alex
3
Dann musst du aber leider auch Inception erwähnen. 
Ich bin zwar eher der AMD-Freund, aber soll ja fair bleiben, sind alle nicht unschuldig.
Hier ein Überblick über Downfall und Inception bei CB: https://www.computerbase.de/2023-08/downfall-und-inception-neue-cpu-schw ...
Grüße
ToWa
Ich bin zwar eher der AMD-Freund, aber soll ja fair bleiben, sind alle nicht unschuldig.
Hier ein Überblick über Downfall und Inception bei CB: https://www.computerbase.de/2023-08/downfall-und-inception-neue-cpu-schw ...
Grüße
ToWa
1
Internet-Stecker ziehen, Problem gel .......
Moin ToWa,
"Ein wirksamer Schutz kostet Performance"
🤢🤮
Diese ganzen Mitigations fressen ja jetzt schon stellenweise mehr Ressourcen als die Anwendungen und nun soll es noch mehr davon geben. 😭
Wenn das mit den Mitigations so weiter geht, dann sind wir bald was Anwendungendperformance angeht, wahrscheinlich wieder unter dem 386 Level. 😔
Gruss Alex
Hier ein Überblick über Downfall und Inception bei CB: https://www.computerbase.de/2023-08/downfall-und-inception-neue-cpu-schw ...
"Ein wirksamer Schutz kostet Performance"
🤢🤮
Diese ganzen Mitigations fressen ja jetzt schon stellenweise mehr Ressourcen als die Anwendungen und nun soll es noch mehr davon geben. 😭
Wenn das mit den Mitigations so weiter geht, dann sind wir bald was Anwendungendperformance angeht, wahrscheinlich wieder unter dem 386 Level. 😔
Gruss Alex
1Zitat von @7907292512:
Internet-Stecker ziehen, Problem gel .......
Internet-Stecker ziehen, Problem gel .......
Hat man bei Google doch versuchty bzw. das Pilotprojekt läuft noch.
Geht glaube ich an vielen Stellen, leider aber nicht überall.
Ich habe heute zumindest mal einen Meilenstein erreicht, die Produktionsanlagen laufen in einem separaten vLAN
Ist schon spannend, wenn es Hersteller von Anlagen gar nicht mehr gibt und andere mit XP auf den Kosten auch noch Online-Fernwartung machen wollen...
1
Hi.
Was erwartet man auch von einer Technik anno 197x? In meinen Augen geht Apple da einen richtigeren Weg.
Wäre Zeit, dass sich hier mal was tut und die Architektur sterben lässt..
Tote Pferde reiten und sich wundern..
Gruß
Was erwartet man auch von einer Technik anno 197x? In meinen Augen geht Apple da einen richtigeren Weg.
Wäre Zeit, dass sich hier mal was tut und die Architektur sterben lässt..
Tote Pferde reiten und sich wundern..
Gruß
Quote from @6376382705:
Was erwartet man auch von einer Technik anno 197x? In meinen Augen geht Apple da einen richtigeren Weg.
Was erwartet man auch von einer Technik anno 197x? In meinen Augen geht Apple da einen richtigeren Weg.
Wenn du meinst das ARM (oder generell andere Architekturen) nicht von solchen Problemen betroffen sind muß ich dich leider enttäuschen, es gibt auch hier wie immer keine einfachen Lösungen für komplizierte Probleme.
/Thomas
1
haftet Intel dafür? Ich meine, man kann selbst ja nicht viel machen oder sind die auch wieder in der Kategorie "to big to fail" und "bedauerlicher Softwarefehler, da kann man nichts machen"?
Wofür soll Intel denn haften?
Zitat von @clSchak:
haftet Intel dafür? Ich meine, man kann selbst ja nicht viel machen oder sind die auch wieder in der Kategorie "to big to fail" und "bedauerlicher Softwarefehler, da kann man nichts machen"?
Haftet dein Fensterbauer für die zerbrochene Scheibe wenn jemand bei dir einbricht?haftet Intel dafür? Ich meine, man kann selbst ja nicht viel machen oder sind die auch wieder in der Kategorie "to big to fail" und "bedauerlicher Softwarefehler, da kann man nichts machen"?
Das haben in den USA schon ein paar große Kanzleien mit viel Kohle versucht, damals bei Meltdown/Spectre kläglich gescheitert. Die haben sich da bestimmt hinreichend in ihrem Kleingedruckten gegen abgesichert.
Zitat von @7907292512:
Zitat von @clSchak:
haftet Intel dafür? Ich meine, man kann selbst ja nicht viel machen oder sind die auch wieder in der Kategorie "to big to fail" und "bedauerlicher Softwarefehler, da kann man nichts machen"?
Haftet dein Fensterbauer für die zerbrochene Scheibe wenn jemand bei dir einbricht?haftet Intel dafür? Ich meine, man kann selbst ja nicht viel machen oder sind die auch wieder in der Kategorie "to big to fail" und "bedauerlicher Softwarefehler, da kann man nichts machen"?
Interessant. Aber ob man das so vergleichen kann? Ich weiß ja nicht.
Der Hersteller des Fensters hat es fehlerhaft konzipiert, dass dadurch ein Eindringen von außen (ohne Schaden) möglich ist.
Trommel
1
Hat er das?
Wie läuft das denn mit der ERP Software oder jeglichen Betriebssystemen?
Da wird was bekannt, dann wird nachgebessert.
Geht das nur auf Kosten von Funktion/Leistung, dann klagst du das beim Hersteller ein?
Es gibt doch letztlich kein Produkt was fehlerfrei ist.
Grüße
ToWa
Wie läuft das denn mit der ERP Software oder jeglichen Betriebssystemen?
Da wird was bekannt, dann wird nachgebessert.
Geht das nur auf Kosten von Funktion/Leistung, dann klagst du das beim Hersteller ein?
Es gibt doch letztlich kein Produkt was fehlerfrei ist.
Grüße
ToWa
nein, Fehlerfrei Produkte gibt es nicht. Aber es gibt Fehler die dann der Anwender selbst beheben kann. Solche Fehler von Intel sehe ich eher als Vergleich, wenn eine Elektriker, unbeabsichtigt ein Kabel mit einer offenen Ader irgendwo vergessen hat und ich als Kunde dann einen "gewischt" bekomme (nein nicht dabei den Löffel abgeben).
Lt. der o.g. Aussage bin ich dann selbst daran schuld, auch wenn das Kabel direkt unter dem Lichtschalter vom Wohnzimmer ist und das dann berühre. Ich finde es immer wieder sehr faszinierend, dass Software und Hardwarehersteller 0 (keine, nichts) an Verantwortung haben und für nichts (nahezu nichts) Haftung übernehmen müssen und dafür auch noch sehr viel Geld bekommen, nur im Worstcase übernehmen die vielleicht mal Verantwortung (siehe auch MasterKey und Cross-Tenant Access bei M$, ein gutes Beispiel eines Monopolisten mit "to big to fail").
Würden andere Bereiche wie Handwerker, Pflegekräfte usw. auf dem Niveau arbeiten, dann hätten wir sicherlich mehr Verletzte und Tote und das Argument "da gibt es so viele Variationen und Möglichkeiten!!!11, zieht nicht und ist nur eine Ausrede, funktioniert bei elektrischen Geräten auch Problemlos. CE Kennzeichnung, VDE usw. sind alles Normen und Vorschriften die Sicherstellen das die Geräte alle ein bestimmtes Sicherheitsniveau einhalten müssen, das sollte man auch für Hard- und Software definieren.
Ist meine persönliche Meinung
, muss nicht richtig sein und will damit niemanden auf den "Schlips" treten.
Lt. der o.g. Aussage bin ich dann selbst daran schuld, auch wenn das Kabel direkt unter dem Lichtschalter vom Wohnzimmer ist und das dann berühre. Ich finde es immer wieder sehr faszinierend, dass Software und Hardwarehersteller 0 (keine, nichts) an Verantwortung haben und für nichts (nahezu nichts) Haftung übernehmen müssen und dafür auch noch sehr viel Geld bekommen, nur im Worstcase übernehmen die vielleicht mal Verantwortung (siehe auch MasterKey und Cross-Tenant Access bei M$, ein gutes Beispiel eines Monopolisten mit "to big to fail").
Würden andere Bereiche wie Handwerker, Pflegekräfte usw. auf dem Niveau arbeiten, dann hätten wir sicherlich mehr Verletzte und Tote und das Argument "da gibt es so viele Variationen und Möglichkeiten!!!11, zieht nicht und ist nur eine Ausrede, funktioniert bei elektrischen Geräten auch Problemlos. CE Kennzeichnung, VDE usw. sind alles Normen und Vorschriften die Sicherstellen das die Geräte alle ein bestimmtes Sicherheitsniveau einhalten müssen, das sollte man auch für Hard- und Software definieren.
Ist meine persönliche Meinung
, muss nicht richtig sein und will damit niemanden auf den "Schlips" treten.Quote from @clSchak:
nein, Fehlerfrei Produkte gibt es nicht. Aber es gibt Fehler die dann der Anwender selbst beheben kann.
nein, Fehlerfrei Produkte gibt es nicht. Aber es gibt Fehler die dann der Anwender selbst beheben kann.
Diesen Fehler kann (und muß) der Anwender doch selbst beheben? Intel stellt neue Firmware für die OEMs bereit und die verteilen sie dann, angepaßt an ihre Produkte, an den Endkunden der sie installieren muß.
/Thomas
Moin Thomas,
und genau hier liegt meiner Ansicht nach auch gleich das grösste Problem.
Wenn dieser Fehler von Intel gefixt wird, dann wahrscheinlich nur auf Plattformen, die laut dem Hersteller stand heute auch noch Supportet sind. Das würde jedoch den wenigsten etwas bringen, weil dieser "BUG", überwiegend nicht mehr supportete Komponenten betrifft. 😭
Ferner, auch wenn Intel ein FIX bereitstellt, heisst das noch lange nicht, dass dieser von den OEMs zeitnah und vollumfänglich übernommen wird. Hier fängt das Spielchen mit dem Supportende nämlich wieder von vorne an. 😔
Sprich bis wann und wie flächendeckend der FIX überhaupt bereitgestellt wird, steht leider absolut in den Sternen.
Für die Beseitigung, vor allem derartiger Gefahren, ist meiner Ansicht nach der Hersteller verantwortlich und nicht der Endanwender. Siehe Verpflichtung zum Produktrückruf aufgrund der Produkthaftung.
https://link.springer.com/chapter/10.1007/978-3-658-30421-8_26#:~:text=D ....
"Hersteller von Produkten sind dazu verpflichtet, ihre Produkte, auch nachdem sie auf dem Markt in Umlauf gebracht wurden, weiterhin zu beobachten. Diese Verpflichtung ist die sogenannte Produktbeobachtungspflicht. Sollte sich nach dem Inverkehrbringen des Produkts eine Fehlerhaftigkeit zeigen, ergeben sich für den Hersteller verschiedene Reaktionspflichten, wie zum Beispiel zur Produktionsumstellung oder eine Warnpflicht. Wird die Gesundheit oder die Sicherheit des Verwenders des Produkts oder eines Dritten durch das Produkt gefährdet, besteht für den Hersteller eine Verpflichtung zum Rückruf der betroffenen Produkte"
Gruss Alex
Diesen Fehler kann (und muß) der Anwender doch selbst beheben? Intel stellt neue Firmware für die OEMs bereit und die verteilen sie dann, angepaßt an ihre Produkte, an den Endkunden der sie installieren muß.
und genau hier liegt meiner Ansicht nach auch gleich das grösste Problem.
Wenn dieser Fehler von Intel gefixt wird, dann wahrscheinlich nur auf Plattformen, die laut dem Hersteller stand heute auch noch Supportet sind. Das würde jedoch den wenigsten etwas bringen, weil dieser "BUG", überwiegend nicht mehr supportete Komponenten betrifft. 😭
Ferner, auch wenn Intel ein FIX bereitstellt, heisst das noch lange nicht, dass dieser von den OEMs zeitnah und vollumfänglich übernommen wird. Hier fängt das Spielchen mit dem Supportende nämlich wieder von vorne an. 😔
Sprich bis wann und wie flächendeckend der FIX überhaupt bereitgestellt wird, steht leider absolut in den Sternen.
Für die Beseitigung, vor allem derartiger Gefahren, ist meiner Ansicht nach der Hersteller verantwortlich und nicht der Endanwender. Siehe Verpflichtung zum Produktrückruf aufgrund der Produkthaftung.
https://link.springer.com/chapter/10.1007/978-3-658-30421-8_26#:~:text=D ....
"Hersteller von Produkten sind dazu verpflichtet, ihre Produkte, auch nachdem sie auf dem Markt in Umlauf gebracht wurden, weiterhin zu beobachten. Diese Verpflichtung ist die sogenannte Produktbeobachtungspflicht. Sollte sich nach dem Inverkehrbringen des Produkts eine Fehlerhaftigkeit zeigen, ergeben sich für den Hersteller verschiedene Reaktionspflichten, wie zum Beispiel zur Produktionsumstellung oder eine Warnpflicht. Wird die Gesundheit oder die Sicherheit des Verwenders des Produkts oder eines Dritten durch das Produkt gefährdet, besteht für den Hersteller eine Verpflichtung zum Rückruf der betroffenen Produkte"
Gruss Alex
Quote from @MysticFoxDE:
Ferner, auch wenn Intel ein FIX bereitstellt, heisst das noch lange nicht, dass dieser von den OEMs zeitnah und vollumfänglich übernommen wird. Hier fängt das Spielchen mit dem Supportende nämlich wieder von vorne an. 😔
Ferner, auch wenn Intel ein FIX bereitstellt, heisst das noch lange nicht, dass dieser von den OEMs zeitnah und vollumfänglich übernommen wird. Hier fängt das Spielchen mit dem Supportende nämlich wieder von vorne an. 😔
Und genau da ist dein Problem als Endanwender, du hast gar keinen Vertrag mit Intel aus dem du irgendwelche Nachbesserungsrechte gegen Intel ableiten könntest. Du mußt dich also an deinen Verkäufer wenden, der wendet sich an seinen Distributor, der wendet sich an den OEM und der wendet sich an Intel. Für Produkte die bereits nicht mehr verkauft werden gab es AFAIK eine Frist wie lange diese bei kritischen Fehlern trotzdem noch supportet werden müssen, ich meine das waren mal 5 Jahre. Aber hier hilft verbindlich wohl nur der Anwalt des geringsten Misstrauens.
/Thomas
Zitat von @Th0mKa:
Und genau da ist dein Problem als Endanwender, du hast gar keinen Vertrag mit Intel aus dem du irgendwelche Nachbesserungsrechte gegen Intel ableiten könntest.
Und genau da ist dein Problem als Endanwender, du hast gar keinen Vertrag mit Intel aus dem du irgendwelche Nachbesserungsrechte gegen Intel ableiten könntest.
Jap, kurz und knapp ist man als Endanwender immer der Dumme.
Aber Hand aufs Herz, wenn ihr Systeme verkauft, gebt ihr dann den Käufern immer einen Hinweis, wenn ein neues BIOS zur Verfügung steht?
Da kommen entsprechend auch immer Bugfixes oder Securityupdates mit rein, blöd nur wenn dabei dann die Defaults im BIOS geladen werden und der Endkunde gar nicht weiß wie er alles wieder ideal einstellt...
Daher läuft doch sowieso vieles unter "never touch a running system".
Grüße
ToWa
2
Moin Thomas,
Ich habe soeben die folgende Interessante Info gefunden ...
https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Vertragsrecht/p ...
... sprich, damit sind meiner Ansicht nach Intel, Distri und auch der OEM, in diesem Fall aus der Produkthaftung auch wieder raus. 😔
Habe ich übrigens bis vor ein paar Minuten so auch nicht gewusst. 😬
Gruss Alex
Und genau da ist dein Problem als Endanwender, du hast gar keinen Vertrag mit Intel aus dem du irgendwelche Nachbesserungsrechte gegen Intel ableiten könntest. Du mußt dich also an deinen Verkäufer wenden, der wendet sich an seinen Distributor, der wendet sich an den OEM und der wendet sich an Intel. Für Produkte die bereits nicht mehr verkauft werden gab es AFAIK eine Frist wie lange diese bei kritischen Fehlern trotzdem noch supportet werden müssen, ich meine das waren mal 5 Jahre. Aber hier hilft verbindlich wohl nur der Anwalt des geringsten Misstrauens.
Ich habe soeben die folgende Interessante Info gefunden ...
https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Vertragsrecht/p ...
... sprich, damit sind meiner Ansicht nach Intel, Distri und auch der OEM, in diesem Fall aus der Produkthaftung auch wieder raus. 😔
Habe ich übrigens bis vor ein paar Minuten so auch nicht gewusst. 😬
Gruss Alex
Moin ToWa,
bei den Servern ja und wir machen bei jedem Kunden im Abstand von 6-12 Monaten auch eine grössere Updaterunde,
bei der auf jeden Fall die Firmware der SAN's, Server und auch Coreswitche, auf den neusten Stand gebracht wird. 😁
Bei Clients sieht die Sache hingegen meistens anders aus. Hier wird das BIOS nur dann angefasst, wenn der Client irgend ein grösseres Problem hat. Finde ich zwar auch nicht prickelnd, jedoch fehlen den meisten unserer Kunden, definitiv die entsprechenden Kapazitäten, um zyklisch auch noch bei jedem Client das BIOS zu aktualisieren. 😔
Gruss Alex
Aber Hand aufs Herz, wenn ihr Systeme verkauft, gebt ihr dann den Käufern immer einen Hinweis, wenn ein neues BIOS zur Verfügung steht?
bei den Servern ja und wir machen bei jedem Kunden im Abstand von 6-12 Monaten auch eine grössere Updaterunde,
bei der auf jeden Fall die Firmware der SAN's, Server und auch Coreswitche, auf den neusten Stand gebracht wird. 😁
Bei Clients sieht die Sache hingegen meistens anders aus. Hier wird das BIOS nur dann angefasst, wenn der Client irgend ein grösseres Problem hat. Finde ich zwar auch nicht prickelnd, jedoch fehlen den meisten unserer Kunden, definitiv die entsprechenden Kapazitäten, um zyklisch auch noch bei jedem Client das BIOS zu aktualisieren. 😔
Gruss Alex
@MysticFoxDE
der Fehler war bereits bei Auslieferung bekannt und hätte durch gescheite Produkttests gefunden werden müssen, wenn die eigenen Leute nicht wissen, was deren "Code" macht, hat die Führungsebene falsche Entscheidungen getroffen und inkompetente Mitarbeiter eingestellt oder deren Testmethoden sind nicht auf dem Stand der Technik, was wiederum Fahrlässigkeit bedeuten würde - gilt auch bei nicht durchgeführten Tests, es reicht halt nicht immer irgendwelche Test-Skripte laufen zu lassen...
Wäre das gleiche, wenn wir bei unseren Anlagen z.B. die Not-Aus Kette nur einmal oberflächlich ansehen und schauen ob alle LEDs leuchten, aber testen: ne brauchen wir nicht, sagen wir einfach "bedauerlicher Hard- oder Softwarefehler, da ist der Kunde halt selbst schuld wenn die Anlage abfackelt"
der Fehler war bereits bei Auslieferung bekannt und hätte durch gescheite Produkttests gefunden werden müssen, wenn die eigenen Leute nicht wissen, was deren "Code" macht, hat die Führungsebene falsche Entscheidungen getroffen und inkompetente Mitarbeiter eingestellt oder deren Testmethoden sind nicht auf dem Stand der Technik, was wiederum Fahrlässigkeit bedeuten würde - gilt auch bei nicht durchgeführten Tests, es reicht halt nicht immer irgendwelche Test-Skripte laufen zu lassen...
Wäre das gleiche, wenn wir bei unseren Anlagen z.B. die Not-Aus Kette nur einmal oberflächlich ansehen und schauen ob alle LEDs leuchten, aber testen: ne brauchen wir nicht, sagen wir einfach "bedauerlicher Hard- oder Softwarefehler, da ist der Kunde halt selbst schuld wenn die Anlage abfackelt"
Moin @clSchak,
wenn der Fehler bereits bei Auslieferung bekannt gewesen wäre, hatte dieser auch nicht mehr durch irgendwelche Tests gefunden werden müssen. 😉
Und nein der Fehler war bei Auslieferung nicht bekannt, da Moghimi die Angrifstechnik erst im Jahr 2022 entwickelt hat.
Bevor du das nächste Mal solche Anschuldigungen äusserst, solltest du dir selbst mal die folgende Frage beantworten. 😉
"Weisst ich den immer, welche späteren Nebenwirkungen, jede meiner jetzigen Handlungen bewirken?"
Beste Grüsse aus BaWü
Alex
der Fehler war bereits bei Auslieferung bekannt und hätte durch gescheite Produkttests gefunden werden müssen
wenn der Fehler bereits bei Auslieferung bekannt gewesen wäre, hatte dieser auch nicht mehr durch irgendwelche Tests gefunden werden müssen. 😉
Und nein der Fehler war bei Auslieferung nicht bekannt, da Moghimi die Angrifstechnik erst im Jahr 2022 entwickelt hat.
wenn die eigenen Leute nicht wissen, was deren "Code" macht, hat die Führungsebene falsche Entscheidungen getroffen und inkompetente Mitarbeiter eingestellt oder deren Testmethoden sind nicht auf dem Stand der Technik, was wiederum Fahrlässigkeit bedeuten würde
Bevor du das nächste Mal solche Anschuldigungen äusserst, solltest du dir selbst mal die folgende Frage beantworten. 😉
"Weisst ich den immer, welche späteren Nebenwirkungen, jede meiner jetzigen Handlungen bewirken?"
Beste Grüsse aus BaWü
Alex
