Aktuelle PC und Internetsicherheit (2017-....)

  • Sicherheitslücke hin oder her... Eigentlich ist das doch für den Enduser egal, so lange Redmond'sche Betriebssysteme ab Version 8 schnüffeln wie sonst was...
    Ich habe gestern mal Win10 aufm 1366er installiert und war erschrocken... Das ist echt katastrophal!
    Dagegen wird ne "kleine Sicherheitslücke" im Prozessor winzig klein...

    (a + b) x (a - b) = a² - b²


    DAGEGEN, wenn andere DAFÜR sind.
    DAFÜR, wenn andere DAGEGEN sind.


    Rebell bis in alle Ewigkeit.

  • ...Das ist echt katastrophal!


    Was für Daten wurden übertragen?


    Dagegen wird ne "kleine Sicherheitslücke" im Prozessor winzig klein...


    Ich will auf keinen Fall das Absaugen "irgendwelcher Daten" durch Microsoft verteidigen. Aber meinst du nicht, eine Sicherheitslücke könnte von wesentlich mehr Leuten, vor allem wesentlich vielschichtiger und mit weitreichenderen Folgen für dich und deinen Alltag, ausgenutzt werden?


    Viele Grüße
    soggi

  • Es geht mir nicht um das Ausnutzen irgendwelcher Sicherheitslücken. Es geht einfach und allein um die schon vorhandene Datenfreigabe, die Milliarden von Menschen einfach so akzeptieren, ohne irgendeinen Gedanken daran zu verschwenden, was man damit alles machen kann. Das ist doch ein viel größeres Problem! Spectre ist ein Witz dagegen!

    (a + b) x (a - b) = a² - b²


    DAGEGEN, wenn andere DAFÜR sind.
    DAFÜR, wenn andere DAGEGEN sind.


    Rebell bis in alle Ewigkeit.

  • Was ist YOLO? Die IME Sch... kennste ja aber!?


    Dass es diese Engines in den CPU und Mainboards gibt ist bekannt, keine Sorge.


    Schau ich mir die großen Cloudanbieter an, da dürfte Meltdown/Spectre und ggf. Spectre-NG doch ein nicht allzu unwichtiges Thema sein. Ja, die ME-Bugs sind schrecklich und gehören mit Feuer bekämpft, aber dadurch werden exploitbare und teilweise nicht patchbare Bugs nicht egal.
    Nur weil der Kommentator das für sich entschieden hat, ist das nicht Realität. Subjektive Prioritäten.


    Und dass Microsoft ihre Windows ausliest ist eine andere Baustelle, die auch angegangen werden muss.
    "Ich habe gestern mal Win10 aufm 1366er installiert und war erschrocken... Das ist echt katastrophal!" >> Clickbait at its best ;)

  • CryptonNite :


    Meine Frage hast du nicht beantwortet. Außerdem besteht die Frage "Was geschieht mit diesen Daten?". Dass das Absaugen "irgendwelcher Daten" von mir nicht verteidigt wird, kannst du oben lesen. Aber um was für Daten geht es denn genau? Als Webseiten-Betreiber "sauge" ich auch Daten der Nutzer, die ich zur Verbesserung meines Angebotenes nutze - ich missbrauche diese aber nicht oder verkaufe sie gar an andere weiter.



    Chosen_One :


    Was ist denn nun "#yolo"? Ich habe nicht behauptet, dass aufgrund der IME Meltdown/Spectre egal werden. Der Kommentator hat das auch nicht so entschieden, sondern meint mMn eher die Nutzersicht. Meltdown/Spectre kann man großteils aus dem Weg gehen - vor allem, wenn man kein Cloud-Gedöns verwendet. Die IME gewährt u.U. nunmal immer Vollzugriff auf jedes betroffene System, ohne dass man großartig irgendwas rumfrickeln muss. Da passieren Sachen, über die der Administrator eines Systems einfach gar keine Kontrolle hat - schwerwiegender geht es doch nicht?



    Viele Grüße
    soggi

  • Spielt keine Rolle, es geht hier ums Prinzip!
    Aber man kann nachlesen, welche Daten verwendet werden. Zum Beispiel auch das, was du eingibst, als Schnipsel und "anonymisiert". Ist klar...

    (a + b) x (a - b) = a² - b²


    DAGEGEN, wenn andere DAFÜR sind.
    DAFÜR, wenn andere DAGEGEN sind.


    Rebell bis in alle Ewigkeit.

  • #yolo war mein polemischer Kommentar zu dem Heise-Kommentar, wo mal wieder irgendjemand einen Fehler für sich höher bewertet und den anderen Fehler damit egalisiert. Wenn es egal ist, na dann #yolo.


    Meltdown/Spectre kann man eben nicht aus dem Weg gehen. Der Privatnutzer am eigenen Rechner ist da relativ uninteressant, weil der Aufwand groß ist (man muss Code ausführen) und der Ertrag in Daten nicht sonderlich hoch ist. Aufwand/Nutzen steht da in keinem Verhältnis.
    Klick ich mir aber was in Richtung AWS/S3 oder wo man da so heute Cloud macht, dann kann ich da meinen Code ausführen und mal in der VM nebenan schauen. Und da viele Dienste heutzutage auf die Cloud setzen ist das auch für den Privatnutzer relevant. Da liegen im Zweifel seine Daten rum.
    Und die Realität ist, dass die Leute Clouddienste nutzen und sei es nur indirekt, weil die Anbieter das machen, dessen Dienste man nutzt. Das "aus dem Weg gehen" mag zwar für dich so klappen und andere IT-affine Leute, die den eigenen Server betreiben wollen und können, aber das ist nicht Realität der Allgemeinheit.



    Intel ME und AMD PSP sind außer Frage kaputt. Vom Design und scheinbar auch aktuell von der Codelage her, aber nur weil da ein Feuer brennt, heißt das nicht, dass das andere Feuer egal ist.
    Die Argumentation gehe ich nicht mit, sorry. Und für eine Diskussion "Problem A ist aber so viel schlimmer als B, also schaut auf A" habe ich keine Lust. Gibt genug schlaue Menschen, da geht man beide/alle Probleme an. Pimmelfechten um die Priorität macht keinen Spaß.
    Das ist IT. Da ist alles schlimm und wir müssen an allen Ecken fixen und patchen. Wir haben hier mit Meltdown/Spectre und auch den MEs zwei Dinge, die uns längere Zeit maßgeblich begleiten werden.
    Teilweise auch unbegreiflich, warum wir nichts mit Holz oder kleinen Tieren machen. #yolo ;)

  • Nutzer, die 7-zip 18.01 oder <=18.03 auf ihren Rechnern einsetzen, sollten auf 18.05 updaten. In den erstgenannten Versionen gibt es einen in der [CVE-2018-10115] referenzierten Bug, der das Ausführen beliebigen Programmcodes beim Entpacken eines .rar Archivs erlaubt. Versionen von vor 18.xx sind von dieser spezifischen Lücke nicht betroffen. Link für den Download: [7-zip]

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

    2 Mal editiert, zuletzt von GrandAdmiralThrawn ()

  • Chosen_One :


    Diese Cloud-Dienste kann man aber nunmal umgehen. Die IME (o.ä.) hast du aber auf deiner Kiste...bei quasi allen Systemen der letzten Jahre. Dass beides höchstpromlamatisch ist oder sein kann, bestreite ich nicht, um das nochmal zu betonen.



    @GAT:
    Hatte kürzlich gelesen, dass alle Versionen vor 18.05 betroffen sein sollen, steht auch so @cve.mitre.org. Wo Hast du deine Info her? In der 7-Zip history steht nur der Verweis auf die CVE.


    Zitat

    Incorrect initialization logic of RAR decoder objects in 7-Zip 18.03 and before can lead to usage of uninitialized memory, allowing remote attackers to cause a denial of service (segmentation fault) or execute arbitrary code via a crafted RAR archive.


    Xenozid :



    OK...dann zähle ich wohl direkt zu den "genervten Erwachsenen". :topmodel:


    Zitat

    Während viele Jugendliche häufig und gerne YOLO sagen, sind viele Erwachsene bereits genervt von diesem Ausdruck.


    Viele Grüße
    soggi

  • Ich bilde mir ein, das im Diskussionsthread auf Sourceforge so gelesen zu haben (daß der Bug mit 18.01 eingeführt worden wäre), aber offensichtlich war das eine Ente. Ich kann das auch nicht mehr anfinden, daher ist wohl doch davon auszugehen, daß frühere 7-zip Versionen betroffen sind. Vielleicht habe ich mich da nur verlesen. Ich streiche das oben raus.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

    2 Mal editiert, zuletzt von GrandAdmiralThrawn ()

  • Übrigens gibts die Spectre Microcode-Updates nun für Windows 10 1803. Werden noch nicht übers Autoupdate ausgespielt, aber manuell im Update Catalogue.


    Hier die Infos: https://support.microsoft.com/…n-1803-and-windows-server

    Hier die Downloads: https://support.microsoft.com/…n-1803-and-windows-server


    Bei mir hat's funktioniert, siehe Screenshot. Schön dass die Lücke nun einigermaßen dicht ist - schade dass der Druck auf die Mainboardhersteller abnimmt...

  • Spannend ist auch, daß manche der µCodes nicht public von Intel über die Microcodes für Linux ausgerollt werden. Ich hab da gewartet und gewartet, aber nach jedem Zerlegen der Releases war meine CPUID (Xeon X5690) nicht anzufinden. Ein User hat mich dann darauf hingewiesen, daß die µCodes scheinbar nur an OEMs ausgerollt wurden (HP usw.), und von dort war es dann in der Tat extrahierbar, hab's aus einem HP UEFI Update File herausgerissen. Version paßt auch. [Link zur entsprechenden Diskussion] (und zu den Files).


    Irgendwie seltsam, daß Intel hier OEMs beliefert, die Updates im öffentlichen Release aber außen vor läßt. Irgendwie fragwürdig? Muß das Mal in meine BIOSes einpflegen gehen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Ajo, hab ich wohl übersehen. Den selben Link hat der Mensch, der mich direkt drauf hingewiesen hat auch geposted. Das Extraktortool von dort ist echt nice, reißt ohne weiteres auch µCodes aus OEM UEFI Images, richtig nettes Tool.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Nein nein, das ist das normale Intel Package für Linux. Aber danke für den Link, da steht auch klar schwarz auf weiß, was mir mit dem Xeon X5690 aufgefallen ist:


    Intel schrieb:

    [...] An OEM may receive microcode packages that might be a superset of what is contained in this package. [...]


    Da werden OEMs also bevorzugt behandelt...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!