Über Spectre und Meltdown wurde nun schon so viel Berichtet. Auch bei uns füllt sich schon der Blog mit Berichten über Biosupdates, Windows- und Softwareupdate. Jetzt ist eine neue Variante ist Spiel gekommen. Skyfall und Solace. Auch hier handelt es sich um „peculative attacks“ die auf Spectre und Meltdown aufsetzen.
Noch sind keine weiteren Informationen bekannt. Es wird auf der Webseite nur beschrieben dass es sich um „Mehr Schwachstellen in modernen Computern“ handelt. „Nach der kürzlich erfolgten Veröffentlichung der Schwachstellen von Meltdown und Spectre, CVE-2017-5175, CVE-2017-5753 und CVE-2017-5754, gab es beträchtliche Spekulationen darüber, ob alle beschriebenen Probleme vollständig abgemildert werden können.“
„Skyfall und Solace sind zwei spekulative Angriffe, die auf den Arbeiten von Meltdown und Spectre basieren.“ „Alle Details stehen noch unter einem Sperrvermerk und werden demnächst veröffentlicht, wenn Chip-Hersteller und Betriebssystemhersteller Patches vorbereitet haben.“
Man kann gespannt sein, worum es sich hier schon wieder handelt. Und ob die bisher gepatchten Probleme ausreichen, oder man hier noch weiter arbeiten muss, damit auch hier die Lücken geschlossen werden können. Alles weitere dazu findet ihr unter https://skyfallattack.com/. Von einem Scherz gehe ich einmal nicht aus, denn auch T-Systems Austria CERT hat darüber getwittert. Es zeichnet sich aber immer weiter ab, dass es sich hier um einen Scherz (HOAX) handelt.
via: hwluxx
…wann gab es eigentlich nen „bond“ film namens „meltdown“? :-/
So heißt dann der nächste Film.
…mal Barbara Broccoli kontaktieren, ob nicht Interesse an einem Plot besteht.
Hmm sicher james Bond 25 – Blofeld.
Und ja Bond fan ist der 100% der die namen gab den bugs
https://translate.google.de/translate?hl=de&sl=en&u=https://react-etc.net/entry/skyfall-and-solace-vulnerabilities&prev=search
Update:
Russel Brandom, leitender Redakteur für den Verge ,
sagt, er habe Quellen, die behaupten, dass es sich um gefälschte FUD handelt.
http://de.osswiki.info/strategien/fud
Ob das wirklich ein Fake ist wird sich rausstellen. Die Chiphersteller haben ja auch monatelang das Problem von SPECTRE und Meldtdown als Work-as-Designed betrachtet und nicht als Sicherheitslücke.
Gefälschte FUD (=Angstmacherei) gibt es nicht. FUD ist per se Wischi-Waschi-mit-Buhhhhh!-Geschrei.
Hoffen wir, das es ein Fake ist,
aber du kannst nicht sagen,
gefälschte FUD gibt es nicht. das ist vielleicht
dene Meinung, oder Ansicht, aber die ist nicht richtig.
https://de.wikipedia.org/wiki/Fear,_Uncertainty_and_Doubt
Es gibt auch Quellen, die besagen, dass in der Area 51 UFOs mit glubschäugigen Aliens gelandet sind…
Gleich mal gucken, ob bei mir vielleicht so´n frierendes Klein-Alien vor der Tür wartet?
Ich würde das kleine Alien per ebay kleinanzeige verkaufen. “ Alien zu verkaufen fast neu, nur einmal geknuddelt, ist lieb und süß, und nein ihr blut ist nicht aus Säure“ Preis 30,000 euro.??????
Das kleine Alien würde von mir angelernt, mit einem kleinen Besen oder Handfeger durch die Wohnung zu wuseln – so einen Staubsauger-Robo schlägt das sicher um Längen. Eine Mütze für das Alien würde sich auch finden, dann fühlt es sich gleich wohler.
Es sagt dann nicht: „Will nach Hausee…“
Sondern: „Bleib´ beim Huugoo!“
Also mich interessiert der ganze Blödsinn gar nicht. Für Otto Normal Verbraucher sind diese ganzen CPU Sicherheitslücken seit Meltdown und Spectre uninteressant. Die sind eher für Leute gefährlich wie grosse Firmen die Server betreiben. Ist für mich nur grossflächig und künstlich aufgepuscht. Zumal mein Asus Mainboard wo ich eine Intel i5 4440 betreibe, immer noch kein Biosupdate sehe und ich denke da ändert sich nichts, letzte Aktualisierung ist von 2015. Und ich sehe keine Bewandnis mir neue Hardware für sowas zu kaufen. Dafür hab ich schlichtweg kein Geld. So wollte ich mal jetzt rauslassen.
Mir geht es genauso wie dir. Mein Asus Board ist von 2009 und Bios natürlich ebenfalls! Da wird wohl auch nix mehr kommen und ich bestelle mir jetzt mit Sicherheit erstmal keinen neuen PC! Vorallem würde mich bei dem ganzen interessieren was denn da im schlimmsten Falle überhaupt passieren kann.
Im schlimmsten Fall kann eine Anwendung schlicht und ergreifend deinen kompletten Arbeitsspeicher auslesen. Also dein Windows-Passwort, im Browser gespeicherte Passwörter, usw. Und das komplett ohne Adminrechte. Prinzipiell sogar aus einer Virtuellen Maschine heraus.
Nur sollte man die fehlenden Updates nicht überbewerten: Da die Browser inzwischen Patches haben, die zumindest Javascript nicht mehr ermöglichen, Attacken durchzuführen, muss man ein entsprechendes Programm zumindest herunterladen und ausführen. D.h., wer sich bisher keinen Verschlüsselungstrojaner eingefangen hat, wird wohl auch von Spectre nicht allzu betroffen sein. Davon abgesehen, dass die Microcode-Updates nur das Problem entschärfen, dass der PC langsamer wird durch das Betriebssystemseitige Patchen. Auch komplett ohne BIOS-Update ist der PC sicher (Mit allen Windows Updates, die meisten Linux-Distributionen hängen noch ein bisschen hinterher) – nur mit dem BIOS-Update verliert er dabei weniger Geschwindigkeit. Wobei selbst der Geschwindigkeitsgewinn nur zutage tritt, wenn auch die Programme neu kompiliert werden.
Lange Rede, kurzer Sinn: Als Endanwender hat man ohne das BIOS-Update nur mit Leistungseinbußen durch die Patches zu rechnen. Sicherheitstechnisch ist das kein Problem. Davon abgesehen, dass diese 5-10%, die ja durchschnittlich von der Rechenleistung „verloren“ gehen, schon fast im Messfehler untergehen.
gepostet mit der Deskmodder.de-App
Danke für die ausführliche Erklärung. Soll also heißen man muss das KB4056894 gar nicht zwingend installieren?
Artikel bei Golem mit einem der Entdecker von Meltdown und Spectre
https://www.golem.de/news/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er-1801-132224-3.html
Zitat:
Für Privatanwender besteht im Moment erstmal keine Gefahr, wenn die Updates installiert sind. Bei Spectre wird es noch etwas dauern, bis das in eine Exploitform übergeht. Bei Meltdown haben wir das schon nach wenigen Tagen gesehen. Leute haben uns gezeigt, was sie mit Meltdown alles machen können.
also Meltdown-Patche zu deaktivieren ist vielleicht nicht die beste Idee ….
Heise meint dazu Skyfall und Solace wären vermutlich ein Scherz => https://heise.de/-3946313
nuja..alles was der mensch „erfindet“ ist auch hackbar..diese regel habe ich aus den 70ern! und da waren computer wirklich „neuland“…diese regel sollte man immer im hinterkopf haben..dann sieht man solche sachen auch gelassener, denn die mächtigen haben immer einen drang dazu die „masse“ zu bespzeln/bevormunden…darum wird es auch immer hackprobleme geben.
nur eins im leben ist sicher: der tot.
Sorry…aber die Seiten sind einfach nur lächerlich und kann man nicht ernst nehmen.
– TYPO bei einer der CVE-Nummern ?
– KEINE WIRKLICHEN INFOS….nur 2 weitere Namen aus Bond-Streifen
– KEIN IMPRESSUM,
– KEIN HINWEIS DARAUF, WER ÜBERHAUPT DAHINTER STECKT.
Jemand der ein Ernsthaftes Interesse hat, sowas kund zu tun,
der geht da wohl ein klein wenig professioneller zur Sache….