{"id":36621,"date":"2018-02-22T17:06:41","date_gmt":"2018-02-22T16:06:41","guid":{"rendered":"http:\/\/www.planet3dnow.de\/cms\/?p=36621"},"modified":"2018-02-22T19:37:03","modified_gmt":"2018-02-22T18:37:03","slug":"klagen-wegen-amd-wegen-sicherheitsluecke-spectre","status":"publish","type":"post","link":"https:\/\/www.planet3dnow.de\/cms\/36621-klagen-wegen-amd-wegen-sicherheitsluecke-spectre\/","title":{"rendered":"Klagen gegen AMD<\/span> wegen Sicherheitsl\u00fccke Spectre"},"content":{"rendered":"

Anfang Janu\u00adar brach das Unheil \u00fcber der IT-Welt zusam\u00admen<\/a>: die Sicher\u00adheits\u00adl\u00fc\u00adcken Melt\u00addown und Spect\u00adre (in 2 Ver\u00adsio\u00adnen) wur\u00adden vor\u00adab bekannt und ersch\u00fct\u00adter\u00adten eine gan\u00adze Bran\u00adche. For\u00adscher bei Goog\u00adle und eini\u00adge ande\u00adre hat\u00adten gezeigt, dass moder\u00adne Pro\u00adzes\u00adso\u00adren mit ihren leis\u00adtung\u00ads\u00adtei\u00adgern\u00adden Fea\u00adtures \u201cOut of Order Exe\u00adcu\u00adti\u00adti\u00adon\u201d, \u201cSpe\u00adcu\u00adla\u00adti\u00adve Exe\u00adcu\u00adti\u00adon\u201d und \u201cBranch Pre\u00addi\u00adti\u00adon\u201d ein Sicher\u00adheits\u00adri\u00adsi\u00adko sein k\u00f6n\u00adnen. Da prak\u00adtisch (bis auf eini\u00adge Low-Power-Sys\u00adte\u00adme) alle Desk\u00adtop- und Ser\u00adver-Pro\u00adzes\u00adso\u00adren seit Mit\u00adte der 1990er Jah\u00adre mit die\u00adsen Fea\u00adtures arbei\u00adten, glich das einem Total\u00adscha\u00adden einer kom\u00adplet\u00adten Branche.<\/p>\n

Doch ganz so schlimm ist es nun auch nicht, zumin\u00addest nicht f\u00fcr End\u00adver\u00adbrau\u00adcher. Die benann\u00adten Angriff\u00adsze\u00adna\u00adri\u00aden nut\u00adzen aus, dass die betrof\u00adfe\u00adnen Pro\u00adzes\u00adso\u00adren Daten auf Ver\u00addacht laden. Zwar k\u00f6n\u00adnen Pro\u00adzes\u00adse nicht direkt auf Daten ande\u00adrer zugrei\u00adfen, jedoch hin\u00adter\u00adlas\u00adsen die out-of-Order\/spe\u00adku\u00adla\u00adti\u00adv\/\u00adper-Sprung\u00advor\u00adher\u00adsa\u00adge in den Cache gela\u00adde\u00adnen Daten dort Spu\u00adren, die man mit trick\u00adrei\u00adcher Pro\u00adgram\u00admie\u00adrung abgrei\u00adfen kann. Aber: das setzt immer vor\u00adaus, dass ein Angrei\u00adfer auch Code auf dem jewei\u00adli\u00adgen Sys\u00adtem zur Aus\u00adf\u00fch\u00adrung brin\u00adgen kann! Daher sind vSer\u00adver, Ter\u00admi\u00adnal- und Cloud-Ser\u00adver die haupt\u00ads\u00e4ch\u00adlich Betrof\u00adfe\u00adnen, denn dort lau\u00adfen teils dut\u00adzen\u00adde wenn nicht gar hun\u00adder\u00adte von vir\u00adtu\u00adel\u00adlen Sys\u00adte\u00admen auf einem Host. Wenn nun einer der \u201cUnter\u00admie\u00adter\u201d nichts Gutes im Sinn hat und einen sol\u00adchen Angriff durch\u00adf\u00fchrt, kann die\u00adser bei ent\u00adspre\u00adchen\u00addem Know-How Daten aus den ande\u00adren auf die\u00adser Maschi\u00adne lau\u00adfen\u00adden vir\u00adtu\u00adel\u00adlen Maschi\u00adnen aus\u00adle\u00adsen, obwohl dies eigent\u00adlich nicht m\u00f6g\u00adlich sein sollte.<\/p>\n

Bei pri\u00adva\u00adten Heim\u00adan\u00adwen\u00addern dage\u00adgen lau\u00adfen in der Regel nicht meh\u00adre\u00adre G\u00e4s\u00adte auf einem Host. Soll\u00adte es jemand oder etwas tat\u00ads\u00e4ch\u00adlich schaf\u00adfen, Fremd\u00adcode (vul\u00adgo: Mal\u00adwa\u00adre) auf einem sol\u00adchen Sys\u00adtem aus\u00adzu\u00adf\u00fch\u00adren, sind Melt\u00addown und Spect\u00adre das gerings\u00adte Pro\u00adblem des Ange\u00adgrif\u00adfe\u00adnen, denn dann braucht der Angrei\u00adfer die\u00adse L\u00fccken gar nicht mehr, da er es ja bereits geschafft hat, Code direkt auf dem Sys\u00adtem zur Aus\u00adf\u00fch\u00adrung zu brin\u00adgen, womit er alles m\u00f6g\u00adli\u00adche anstel\u00adlen kann. Das ein\u00adzi\u00adge Angriff\u00adsze\u00adna\u00adrio gegen End\u00adkun\u00adden auf Desk\u00adtop-PCs w\u00e4re, falls es jemand schafft, Java\u00adscript-Code auf Web\u00adsei\u00adten so zu gestal\u00adten, dass die\u00adser \u00fcber Melt\u00addown oder Spect\u00adre aus sei\u00adnem Kor\u00adsett aus\u00adbre\u00adchen und Daten vom Sys\u00adtem des Web\u00adsur\u00adfers aus\u00adle\u00adsen kann. Hier sind jedoch in ers\u00adter Linie die Brow\u00adser-Her\u00adstel\u00adler gefragt, ent\u00adspre\u00adchen\u00adde Gegen\u00adma\u00df\u00adnah\u00admen zu ergrei\u00adfen; was auch bereits gesche\u00adhen ist.<\/p>\n

W\u00e4h\u00adrend also vSer\u00adver- und Cloud-Ser\u00adver-Anbie\u00adter emsig dabei sind, ihre Sys\u00adte\u00adme gegen Angrif\u00adfe abzu\u00addich\u00adten, for\u00admie\u00adren sich bereits Kla\u00adgen gegen die Pro\u00adzes\u00adsor-Her\u00adstel\u00adler. In ers\u00adter Linie betrifft dies Intel<\/a>. Als Markt\u00adf\u00fch\u00adrer im Ser\u00adver-Seg\u00adment (\u00fcber 90 %) und betrof\u00adfen von allen drei Sicher\u00adheits\u00adl\u00fc\u00adcken k\u00f6nn\u00adte es hier noch brenz\u00adlig wer\u00adden. Nicht umsonst hat Intel ange\u00adk\u00fcn\u00addigt, Micro\u00adcode-Updates bis zur\u00fcck zum Core 2 in 45 nm lie\u00adfern zu wol\u00adlen und hat zudem ein exter\u00adnes Kri\u00adsen\u00adma\u00adnage\u00adment engagiert.<\/p>\n

Doch auch gegen AMD<\/span> wer\u00adden anschei\u00adnend Kla\u00adgen ange\u00adstrebt. Dabei geht es allem Anschein nach vor allem dar\u00adum, dass AMD<\/span> in einer ers\u00adten Stel\u00adlung\u00adnah\u00adme hat ver\u00adlau\u00adten las\u00adsen, dass man von der<\/em> Sicher\u00adheits\u00adl\u00fc\u00adcke nicht betrof\u00adfen sei<\/a>. Kur\u00adze Zeit sp\u00e4\u00adter stell\u00adte sich her\u00adaus, dass AMD<\/span> damit die Sicher\u00adheits\u00adl\u00fc\u00adcke Melt\u00addown mein\u00adte, von der AMD<\/span> auf\u00adgrund sei\u00adner eige\u00adnen Archi\u00adtek\u00adtur tat\u00ads\u00e4ch\u00adlich nicht betrof\u00adfen ist.<\/p>\n

<\/p>

<\/a><\/center>\n

Aller\u00addings ist AMD<\/span> von Spect\u00adre durch\u00adaus auch betrof\u00adfen, ins\u00adbe\u00adson\u00adde\u00adre in der Vari\u00adan\u00adte 2; wenn auch nach eige\u00adnen Aus\u00adsa\u00adgen nur mit einem \u201cnear zero risk\u201d:<\/p>\n

<\/p>

<\/a><\/center>\n

Zwar hat AMD<\/span> mitt\u00adler\u00adwei\u00adle kom\u00admu\u00adni\u00adziert<\/a>, dass man ger\u00adne die in der Linux-Welt pr\u00e4\u00adfe\u00adrier\u00adte Gegen\u00adma\u00df\u00adnah\u00adme Ret\u00adpo\u00adli\u00adne umge\u00adsetzt s\u00e4he, da man so ohne wei\u00adte\u00adre eige\u00adne Gegen\u00adma\u00df\u00adnah\u00admen aus\u00adk\u00e4\u00adme. Aber Micro\u00adsoft hat sich f\u00fcr Win\u00addows wohl f\u00fcr einen ande\u00adren Weg ent\u00adschie\u00adden, wodurch auch auf AMD-Sys\u00adte\u00admen Ma\u00df\u00adnah\u00admen in Form von Micro\u00adcode-Updates not\u00adwen\u00addig wer\u00adden. Die\u00adse hat AMD<\/span> f\u00fcr Zen-basie\u00adren\u00adde Pro\u00adzes\u00adso\u00adren auch bereits ange\u00adk\u00fcn\u00addigt, bis\u00adher aber \u2013 auch bei Raven Ridge<\/a>, anders als zun\u00e4chst gedacht \u2013 noch nicht ver\u00ad\u00f6f\u00adfent\u00adlicht. F\u00fcr \u00e4lte\u00adre Archi\u00adtek\u00adtu\u00adren wie Bull\u00addo\u00adzer, Cats oder K10<\/span> gibt es noch gar kei\u00adne \u00f6ffent\u00adlich kom\u00admu\u00adni\u00adzier\u00adte Marschroute.<\/p>\n

Das scheint f\u00fcr AMD<\/span> nun zum Pro\u00adblem zu wer\u00adden, denn offen\u00adbar wer\u00adden nun auch Kla\u00adgen gegen AMD<\/span><\/a> ange\u00adstrengt, in den USA<\/span> min\u00addes\u00adtens folgende:<\/p>\n

Nathan Bar\u00adnes and Jona\u00adthan Cas\u00adkey vs AMD<\/span>, Case 5:18-cv-00883-BLF
\nBri\u00adan Speck vs AMD<\/span>, Case 5:18-cv-00744-HRL
\nDia\u00adna Hauck vs AMD<\/span>, Case 5:18-cv-00447-NC
\nDoy\u00adun Kim vs AMD<\/span>, Case 5:18-cv-00321-EJD<\/p><\/blockquote>\n

Die ers\u00adten drei Kla\u00adgen for\u00addern Scha\u00adden\u00ader\u00adsatz von AMD<\/span> im Namen der\u00adje\u00adni\u00adger, die einen AMD-Pro\u00adzes\u00adsor gekauft haben in der Zeit, als AMD<\/span> bereits bekannt gewe\u00adsen sein muss, dass ihre Pro\u00adzes\u00adso\u00adren von Spect\u00adre betrof\u00adfen sind, und trotz\u00addem wei\u00adter ent\u00adspre\u00adchen\u00adde Pro\u00adzes\u00adso\u00adren ver\u00adkauf\u00adte. Die vier\u00adte Kla\u00adge dage\u00adgen tan\u00adgiert Aktio\u00adn\u00e4\u00adre, die durch AMDs Ver\u00adhal\u00adten gesch\u00e4\u00addigt wor\u00adden sein k\u00f6nnten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Auch gegen AMD<\/span> wer\u00adden anschei\u00adnend Kla\u00adgen ange\u00adstrebt. Dabei geht es allem Anschein nach vor allem dar\u00adum, dass AMD<\/span> in einer ers\u00adten Stel\u00adlung\u00adnah\u00adme hat ver\u00adlau\u00adten las\u00adsen, dass man von der Sicher\u00adheits\u00adl\u00fc\u00adcke nicht betrof\u00adfen sei. Kur\u00adze Zeit sp\u00e4\u00adter stell\u00adte sich her\u00adaus, dass AMD<\/span> damit die Sicher\u00adheits\u00adl\u00fc\u00adcke Melt\u00addown mein\u00adte, von der AMD<\/span> auf\u00adgrund sei\u00adner eige\u00adnen Archi\u00adtek\u00adtur tat\u00ads\u00e4ch\u00adlich nicht betrof\u00adfen ist. (\u2026) Wei\u00adter\u00adle\u00adsen \u00bb<\/a><\/p>\n","protected":false},"author":2,"featured_media":35751,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"ngg_post_thumbnail":0,"footnotes":""},"categories":[12],"tags":[],"class_list":["post-36621","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktuelles","entry"],"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/posts\/36621","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/comments?post=36621"}],"version-history":[{"count":45,"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/posts\/36621\/revisions"}],"predecessor-version":[{"id":36667,"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/posts\/36621\/revisions\/36667"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/media\/35751"}],"wp:attachment":[{"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/media?parent=36621"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/categories?post=36621"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.planet3dnow.de\/cms\/wp-json\/wp\/v2\/tags?post=36621"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}