Massig Sicherheitslücken in Intel CPU's gefunden.

[Sogyra]

Die Windows Entwickler haben früher Linux gehaßt wie der Teufel das Weihwasser. Mittlerweile haben sie erkannt, das es ohne Linux nicht geht, und haben sich dann dazu entschieden, Linux finanziell zu unterstützen um somit ihre Finger mit im Spiel haben zu können. Denn Windowsrechner sind im Grunde nur was für Desktop-PC's. Auf den meisten Servern weltweit läuft aber Linux. Na-klingelts?

https://futurezone.at/b2b/microsoft-tritt-linux-foundation-bei/231.051.688

Meine Meinung: als User seit Win95 (noch auf Disketten pssst gg) sage ich: Windows ist gut, aber solange es nicht mit dem Internet verbunden ist.

 

[HQDNXT34X]

Wie lange wird es denn dauern bis sichere CPUs verfügbar sind?
Ich verzichte keinesfalls auf 30% Leistung.
Ich hoffe man schmuggelt mir das Update bei Win7 nicht einfach unter.

 

[btrnm]

Das wird länger dauern schätze ich.
Die 30% sind aber nur in bestimmten Fällen der Fall.
Auf rechenintensive Prozesse scheint es weniger Auswirkung zu haben.
Allerdings - und da kenn ich mich nicht aus - kann ich mir vorstellen daß es nochmal Einbußen geben wird
wenn die CPU-Hersteller Patchen, was angekündigt wurde.

Und sicher wird man versuchen Dir das Update unterschieben, das ist jedenfalls zu hoffen für Dich.
Zu hoffen ist natürlich auch daß nach dem Update noch alles läuft...

 

[khz]

Sieht für mich aus als ob Windows kein Bock mehr darauf hat ein Desktop Betriebssystem weiter zu pflegen.
Jeder darf was in der GPL definiert ist.
Ein z.B. $Konzern kann in ein Projekt durch gezieltes Geld investieren so die weltweit verstreuten, unabhängig voneinander Interessen/..., ... Entwickler evt. manipulieren was/wie sie machen.
Letztendlich ist/bleibt es immer GPL.
Sehr viele verschiedene Interessensgruppen etc. pp. .

Server waren doch schon immer zu ~90% GNU/Linux. (Ich bin Laie.)
Windows eher weniger und Apple keine Ahnung.
Das muss halt funktionieren.

 

[Sogyra]

Monate bis Jahre! Ob das heuer noch was wird wage ich eher zu bezweifeln. Könnte knapp werden.

So ein Raspberry Pi kostet nicht die Welt. Mein Komplett Set hat 70€ gekostet. Die Platine allein kostet etwas mehr als 30€.
Guck doch mal bei Amazon nach
Spectre und Meltdown sind für mich kein Thema mehr...und ich kann wieder ruhig schlafen

EDIT: falls jemand an so einem Ding interessiert ist-ich bin dann nämlich raus aus dem Thema:

https://www.elektronik-kompendium.de/sites/raspberry-pi/1906291.htm

 

[Jörg]

Denn auch bei Linux hat Mircosoft seine Hände mit im Spiel. Weltherrschaft und so.

Microsoft? Weltherrschaft? Das ist so was von 90er.
MS, das ist heute Office und Cloud. Windows? Wird immer unbedeutender.
Wenn jemand die Weltherrschaft übernimmt, dann ist das Google.

 

[Sogyra]

dann ist das Google.

Der nächste Splitter in meinem Auge

Ich hab in meinen Browser das Addon Scriptblocker mit installiert. Da sehe ich, welche Webseiten sich sonst noch im Hintergrund tummeln. Google ist bei sehr vielen Webseiten mit dabei. Auch hier bei sequencer.de:
ajax.googleapis.com
google-analytics.com
googletagservices.com

Wird bei mir alles ausgesperrt

 

[HQDNXT34X]

Auch hier bei sequencer.de:
ajax.googleapis.com

Dachte die APIs sind harmlos?

 

[Sogyra]

Kann sein...oder auch nicht. Wer weiß das schon so genau?
Ich gehe lieber auf Nummer sicher und lass das alles gar nicht zu. Ich bin hier (gern) beim Onkel Mic unterwegs, und mehr als sequencer.de will ich auch nicht zulassen-wozu auch?

 

[haebbmaster]

Dachte die APIs sind harmlos?

Natürlich!

Und wenn das Prozessorupdate kommt ist anschließend alles sicher!

 

[HQDNXT34X]

Natürlich!

Und wenn das Prozessorupdate kommt ist anschließend alles sicher!

Klang ein bisschen sarkastisch?!
Hast du bisschen Hintergrundwissen damit ich das auch verstehen kann?

 

[btrnm]

Ein extern eingebundenes JS ist nie harmlos weil man nie weiß was es eigentlich ausführen wird.

Im Google Fall wird halt Dein Surfverhalten mitprotokolliert, vermutlich.
Im Gegenzug wird die Seite indiziert, deswegen binden Leute das gerne ein.

Zum Raspberry Pi würd mich noch unteressieren was damit so alles geht, aber das ist vermutlich zu OT.

 

[haebbmaster]

Klang ein bisschen sarkastisch?!

nee, zynisch

Hast du bisschen Hintergrundwissen damit ich das auch verstehen kann?

Was ich hier immer mal wieder versucht habe zu vermitteln: Die ganzen Systeme sind viel zu komplex, als dass man irgendwann komplette Sicherheit erreichen oder gar garantieren könnte. Sicherheitslücken gab es schon immer. Trotzdem wird teilweise so getan, als ob diese neue Lücke den Weltuntergang herbeiführt und wenn die dann gelöst ist, ist man wieder sicher. Die letzte Sicherheitslücke auf Prozessorebene (Intel Management Engine, ein halbes Jahr her glaube ich) ist schon fast wieder vergessen.

Die Welt wird dadurch weder untergehen noch wird sie durch irgendeine tolle Technologie gerettet.

Was man tun kann um sich zu schützen ist, aufpassen wo man hinklickt, keinem seine PIN und seine Passwörter zu verraten und das System mit Sicherheitsupdates auf dem Laufenden zu halten.
Ich hatte trotz intensiver Internetnutzung noch nie einen Virus oder so was (**aufholzklopf**)
Nur ein einziges Mal wurde eine Webseite von mir gehackt. Weil ich keine Updates installiert hatte.

 

[haebbmaster]

zu den APIs: auch wenn die vielleicht technisch sicher sind (keine Ahnung ob), macht Google das nicht aus reiner Nächstenliebe, sondern um über Aufrufe und IP-Adressen irgendwelche marketingtauglichen Informationen zu gewinnen.

Und wie @blauton grade schrub: wenn du die nutzt hast du Code auf deiner Seite, von dem du nicht weißt, was er tut. Andererseites weißt du das von Wordpress oder was du sonst vielleicht nutzt natürlich auch nicht.
Aber auch durch das Nutzen der Google APIs geht die Welt nicht unter.

 

[HQDNXT34X]

Danke für die ausführliche Information.

Heißt das kurz zusammengefasst...wenn ich Pornos mit Blondinen schaue bekomme ich in Zukunft zu jeder DPA-Meldung ein Bild mit blonder Frau?
Oder wenn ich nach Flugsimulatoren google Videos bei Focus zu Bruchlandungen?

Oder übertreibt da meine Fantasie?

Klingt ja... wie alles nicht so schlimm und ich kann mir das Update wirklich ersparen und blocke besser googleapis..

 

[haebbmaster]

Ich weiß nicht, was du alles nutzt, aber auf Facebook sehe ich immer grade den Artikel in der Werbung, den ich kurz vorher bei Amazon gekauft habe. Insofern funktioniert das Tracking, aber die Programme sind eben einfach dumm.
Pornoseiten natürlich grundsätzlich im privaten Modus mit Adblock, Ghostery, Blocksite etc. gucken (schon um der Browserhistory willen ...)

Ich gehe davon aus, dass die Betriebssystemupdates das gröbste regeln und ein Prozessorupdate nicht nötig ist. Ich würde mir nur im Moment ohne Not keinen neuen Rechner kaufen. sondern warten, bis die neuen Prozessoren raus sind (mit neuen Sicherheitslücken, von denen jetzt noch keiner was ahnt).

 

[Voider]

Ich weiß nicht, was du alles nutzt, aber auf Facebook sehe ich immer grade den Artikel in der Werbung, den ich kurz vorher bei Amazon gekauft habe.

Es reicht schon sich über Produkte nur im Facebook-Chat zu unterhalten, damit du auf der nächsten Website am Rand einen Werbebanner mit genau dem Produkt hast. Ob das nun Parfüm, Hardware oder Schuhe sind.
Auch der Chat wird analysiert und ausgewertet. Den Faden Beigeschmack dessen beiseite, finde ich zielgerichtete Werbung aber echt gut - vor allem auf FB. Ich seh da öfter Anzeigen von Shops/Sachen die ich wirklich interessant finde und die nicht einfach zu finden gewesen wären.

 

[HQDNXT34X]

Facebook und andere soziale Medien nutze ich nicht, habe auch kein Smartphone und der private Modus und die üblichen Addons und Tor oder Tailscds sind auch da...

Habe aber eigentlich auch nichts zu verbergen...

Aber es klang so als würde Tracking trotzdem problemlos möglich sein von eurer Seite.
Beim Thema Flugsimulation ist mir tatsächlich aufgefallen das nachdem ich FSX auf Steam installiert hatte Focus mir nun öfter Bruchlandungsvideos anbietet...kann auch Zufall sein...aber Gott würfelt doch nicht. Nach der Installations eines Musikprogrammes außerhalb von Steam hat man mir gleich bei Steam das Sonardemo angeboten, das kann ich mir ja noch irgendwie erklären...

Klar ich schau mal bei Facebook und anderen kurz rein wenn ich nach was bestimmten suche und lasse es temporär zu ohne einen Account zu besitzen...reicht das etwas schon?

 

[haebbmaster]

Deine IP Adresse haben die auf jeden Fall, und wenn auf der nächsten Seite ein Facebook Button ist, haben sie dich am Haken.

 

[Voider]

Habe aber eigentlich auch nichts zu verbergen...

Man kann sehr viel mit Daten von Leuten anstellen, die nichts zu verbergen haben - da geht einiges. Das ist ein Thema für sich.
Aber in der Praxis wird keiner der nicht selber proggen kann, sich gut auskennt und sich seine Schutzprogramme/Skripte selber entwickelt wirklich sicher durch's Netz gurken.

 

[Sogyra]

Zum Raspberry Pi würd mich noch unteressieren was damit so alles geht...

Im Grunde alles. Ist halt ein 1-Platinen Computer mit Linux (Debian a'la Raspbian) als Betriebssystem.
Ich mach damit alles was Internet anbelangt, auch wenn damit natürlich noch mehr geht. Also auch Grafik, Audio-und Videoanwendungen. Nur wird man aufgrund der recht bescheidenen Hardware damit nicht wirklich glücklich.
Es sind alle Pakete(Programme) installierbar. Angefangen von einigen Webbrowsern wie Chromium (ist standardmäßig schon installiert), bis zu diversen Playern und Codecs.
Ich mach damit alles was ich fürs Netz brauche. Surfen, Mails, Online-Käufe, Bank, Youtube und vieles mehr. Geht alles problemlos damit.

 

[Sogyra]

Ich gehe davon aus, dass die Betriebssystemupdates das gröbste regeln und ein Prozessorupdate nicht nötig ist.

Bei dieser Meinung würd ich mich nicht allzu sehr in falsche Sicherheit wiegen!!!
Man kann das so vergleichen, als das eine riesige klaffende Fleischwunde nur mit kleinen Pflasterchen zu behandeln versucht wird. Wie gesagt: das ist ein sehr ernstzunehmendes Problem von dem alle IT-Experten eindrücklichst warnen!
Intel versucht die ganze Sache natürlich herunter zu spielen...eh klar.

 

[khz]

Das Intel Ding ist schon einer von vielen besonderer Bug, auch weil schon seit 1995 teilweise vorhanden und denen es egal war/ist.
Aber:
Bugs gab es schon immer und es wird sie immer geben.
Technik ist komplex und den meisten so etwas von egal weil:
Es soll funktionieren, egal wie! Bunt, individuell und sozial.
Wenn Sicherheit und so ein Thema wäre würden wir Kunden den Markt beeinflussen!
Es ist uns aber egal!
Wir gestalten die Welt mit oder sind es die Illuminaten?

 

[45tsdfp983fou350j]

Was total doof ist...du kaufst bei Thomann ein Produkt...und kriegst es anschließend auf sequencer.de als Werbung ausgespielt. Wieso das denn? Man hats doch schon gekauft...die Werbung ist dann doch überflüssig...

 

[haebbmaster]

Bei dieser Meinung würd ich mich nicht allzu sehr in falsche Sicherheit wiegen!!!

Genau. Und insbesondere sollte man sich nicht in Sicherheit wiegen, wenn man zusätzlich noch die CPU tauscht und meint, dass dann alles geregelt wäre. Dann ist nur diese eine Lücke geregelt. Alle anderen, von denen normalerweise keiner spricht, werden weiterhin kommen und müssen weiterhin durch regelmäßige Updates gestopft werden.

 

[haebbmaster]

Was total doof ist...du kaufst bei Thomann ein Produkt...und kriegst es anschließend auf sequencer.de als Werbung ausgespielt. Wieso das denn? Man hats doch schon gekauft...die Werbung ist dann doch überflüssig...

das ist garantiert die Folge eines Javascript Angriffes auf dein Thomann-Konto ...

Ist übrigens bei Amazon genauso. Computer sind dumm.

 

[haebbmaster]

Man kann das so vergleichen, als das eine riesige klaffende Fleischwunde nur mit kleinen Pflasterchen zu behandeln versucht wird.

Man hat eine klaffende Fleischwunde und ignoriert dabei völlig, dass einem in Wirklichkeit die Haut schon seit Jahren in Fetzen davonhängt. Da macht man aber nichts dagegen, weil sonst die Bepanthen die Weltherrschaft über die Haut erhält.

 

[haebbmaster]

In Ubuntu wurde die Lücke mit dem Kernel 4.13.0-25 vor zwei Wochen gestopft. Wer regelmäßig Updates macht hat diesen Kernel schon.

Jeder Hersteller veröffentlicht Listen der laufend entdeckten und gestopften Sicherheitslücken
https://portal.msrc.microsoft.com/de-de/security-guidance
https://support.apple.com/de-de/HT201222
https://usn.ubuntu.com/usn/

Seltsamerweise berichtet die Presse nur über Meltdown und Spectre ...

 

[swissdoc]

Seltsamerweise berichtet die Presse nur über Meltdown und Spectre ...

Wann haben Exploits schon mal so nette Maskottchen? Hängt wohl damit zusammen, dass die Lücke hier in der Prozessorarchitektur besteht und nicht einfach nur ein SW Fehler ist.

 

[Sogyra]

Das Intel Ding ist schon einer von vielen besonderer Bug, auch weil schon seit 1995 teilweise vorhanden und denen es egal war/ist.

Also für mich sieht das eher nach Absicht aus. Ich meine: da sitzen die (welt?) besten Köpfe in deren Labore. Da kann mir doch niemand erzählen das es nicht Absicht war. Also ich glaub da nicht dran, aber ok.

Wenn Sicherheit und so ein Thema wäre würden wir Kunden den Markt beeinflussen!
Es ist uns aber egal!

Mir aber nicht. Was geht wildfremden Menschen meine Passwörter an???