1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Downfall: Neue Schwachstelle in…

Gähn... zum einen die x.te CPU-Schwäche, zum anderen benötigt man Malware

  1. Thema

Neues Thema


  1. Gähn... zum einen die x.te CPU-Schwäche, zum anderen benötigt man Malware

    Autor: PSmith 09.08.23 - 10:11

    ... um überhaupt auf dem jeweiligen Rechner den Exploit auszunutzen.
    Wenn aber schon Malware auf dem Rechner platziert werden konnte, gibt es ganz andere Probleme, "Downfall" spielt dann nur eine untergeordnete Rolle.
    Wenn es ein Szenario geben würde, wo man keine Malware zur Ausführung von "Downfall" benötigt, wäre das was anderes.

  2. Re: Gähn... zum einen die x.te CPU-Schwäche, zum anderen benötigt man Malware

    Autor: slax 09.08.23 - 10:31

    Alle gesharten Ressourcen angreifbar. Container, VMs, VPS. Die Liste ist ziemlich lang. Man braucht schon etwas Ahnung von IT um den Impact zu verstehen.

  3. Re: Gähn... zum einen die x.te CPU-Schwäche, zum anderen benötigt man Malware

    Autor: MarcusK 09.08.23 - 10:57

    slax schrieb:
    --------------------------------------------------------------------------------
    > Alle gesharten Ressourcen angreifbar. Container, VMs, VPS. Die Liste ist
    > ziemlich lang. Man braucht schon etwas Ahnung von IT um den Impact zu
    > verstehen.

    gilt aber nur wenn dort auch fremder Code ausgeführt wird. Ich kann 100VMs auf den PC habe und es besteht keine Risiko wenn nur eigener code dort ausgeführt wird.

    Server wo verschienden Kunden auf einer CPU laufen sind hauptsächlich betroffen.

    Über den Browser soll die Lücke nur schwer anwendbar sein, damit ist das Risiko für normale Client-PC wohl sehr überschaubar.

  4. In theory, remotely exploiting this vulnerability from the web browser is possible.

    Autor: me2 09.08.23 - 11:41

    > [Q] What about web browsers?
    >
    > [A] In theory, remotely exploiting this vulnerability from the web browser is possible. In practice, demonstrating successful attacks via web browsers requires additional research and engineering efforts.

  5. Re: Gähn... zum einen die x.te CPU-Schwäche, zum anderen benötigt man Malware

    Autor: PSmith 10.08.23 - 00:34

    slax schrieb:
    --------------------------------------------------------------------------------
    > Alle gesharten Ressourcen angreifbar. Container, VMs, VPS. Die Liste ist
    > ziemlich lang. Man braucht schon etwas Ahnung von IT um den Impact zu
    > verstehen.

    Da habe ich aber wenig Lust, Dir "Ahnung" jetzt hier im Forum noch beizubringen.
    Denn die neu gefundene Schwäche funktioniert bspw. nur mit dem gleichen Kern, nicht Kern-übergreifend. Theoretisch wäre das auf virtuellen Servern am Ehesten ausnutzbar, aber auch da musst Du es erstmal schaffen, Code zu implantieren, d.h. Javascript im Browser oder ähnliches wird Dir da nicht helfen. Wie also schon mal geschrieben, da muss man erst sich Zugang zum System selbst erschlichen haben, um den Code platzieren zu können - eben mit (anderer) Malware.

  6. Re: Gähn... zum einen die x.te CPU-Schwäche, zum anderen benötigt man Malware

    Autor: go-bo 10.08.23 - 10:01

    Ähm - ich miete mir einen virtuellen Server und greife Daten der anderen Mieter ab…?

  7. Re: Gähn... zum einen die x.te CPU-Schwäche, zum anderen benötigt man Malware

    Autor: MarcusK 10.08.23 - 11:06

    go-bo schrieb:
    --------------------------------------------------------------------------------
    > Ähm - ich miete mir einen virtuellen Server und greife Daten der anderen
    > Mieter ab…?

    Dazu musst aber auch das glück haben zum gleichen Zeitpunkt wie geheime Daten verarbeitet werden dein angriff zu starten. Und dazu noch das Glück haben, das dein Thread nicht 1min später auf einer andere CPU läuft. Und dann noch das Glück haben das du bei ein paar GB Ram die entscheidenden byte findest - bei weniger Byte pro Sekunden die du extrahieren kannst.

    Wenn du das geschafft hast, kannst du auch Lotto spielen - dann wirst du bestimmt gewinnen.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Mitarbeiter:in im Bereich Medienraumausstattung
    STRABAG BRVZ GMBH, Stuttgart, Wien, Spittal/Drau, Molzbichl, Villach (Österreich)
  2. Mitarbeiter (m/w/d) für IT-Consulting
    ProSoft GmbH, Geretsried
  3. Department Head (m/w/d) IT-Services
    IHP GmbH - Institut für innovative Mikroelektronik, Frankfurt (Oder)
  4. Digital Process Spezialist:in
    enercity AG, Hannover

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. basierend auf Verkaufszahlen


Haben wir etwas übersehen?

E-Mail an news@golem.de


Chocolatey, Scoop, Winget: Zentralisierte Paketverwaltungen unter Windows
Chocolatey, Scoop, Winget
Zentralisierte Paketverwaltungen unter Windows

Paketverwaltungen bilden unter Linux seit Jahrzehnten das Rückgrat bei der Installation neuer Software. Windows zieht nun nach und integriert ebenfalls zentralisierte Instanzen zur Verwaltung von Softwarepaketen.
Von Erik Bärwaldt

  1. Windows Protected Print Microsoft erklärt Details zu einheitlichem Drucksystem
  2. Microsoft Windows-Nutzer dürfen HP-Smart-Panne selbst ausbügeln
  3. Ungebetener Gast HP-App erscheint unerwartet auf Windows-Systemen

Powerstream-Wechselrichter: Mein Balkonkraftwerk, mein Strom
Powerstream-Wechselrichter
Mein Balkonkraftwerk, mein Strom

Mit dem Powerstream-Wechselrichter hat Ecoflow ein Gerät, das verschiedene Powerstationen des Herstellers als Energiespeicher nutzen kann. Wie gut das funktioniert und wie wirtschaftlich es ist, haben wir ein halbes Jahr lang getestet.
Von Mario Keller

  1. Erleichterungen bei Balkonkraftwerken Bundestag tritt bei Solarpaket auf die Bremse
  2. Juristisches Gutachten Wer haftet bei Schäden durch ein Balkonkraftwerk?
  3. Eigentümer und Mieter Anspruch auf Balkonkraftwerke kommt im Frühjahr 2024

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann