Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Meltdown und Spectre: "Dann sind wir…

Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

  1. Thema

Neues Thema Ansicht wechseln


  1. Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 19.01.18 - 16:35

    Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Falls nein, sehe ich keinen Grund warum jemand der nicht gerade ein Cloudrechenzentrum betreibt patchen sollte.
    Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    Danke.



    1 mal bearbeitet, zuletzt am 19.01.18 16:38 durch narea.

  2. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: stiGGG 20.01.18 - 00:14

    Ja.

  3. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 04:30

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Ja.


    > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

  4. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ThaKilla 20.01.18 - 07:13

    narea schrieb:
    --------------------------------------------------------------------------------
    > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

    Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Bin viel zu faul mir die mühe zu machen selbst zu recherchieren... ne ;)

  5. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 12:33

    ThaKilla schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    >
    > Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie der Existenzbeweis.

    Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass Meltdown so ausnutzbar ist, also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

  6. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ve2000 20.01.18 - 13:43

    narea schrieb:
    --------------------------------------------------------------------------------
    > also bleibe ich dabei, dass es für den
    > Normalnutzer absolut irrelevant ist.
    Natürlich ist es irrelevant.
    Aber Fakten bringen nun mal keine Klicks, Panikmache schon.
    Meltdown/Spectre sind zurzeit DER Glücksfall in der (IT)-Regenbogenpresse, das lassen DIE sich doch nicht nehmen, es bis zum erbrechen auszuschlachten

  7. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 14:14

    narea schrieb:
    --------------------------------------------------------------------------------
    > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > der Existenzbeweis.

    Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben, wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > Meltdown so ausnutzbar ist,

    Ja, genau!
    Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC - weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch keinen schreiben kann.

    > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

    Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office, PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

  8. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 14:20

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > > der Existenzbeweis.
    >
    > Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben,
    > wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    > > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > > Meltdown so ausnutzbar ist,
    >
    > Ja, genau!
    > Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja
    > bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC -
    > weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch
    > keinen schreiben kann.

    Es gibt momentan keinen Grund für Privatnutzer ihren PC zu verlangsamen mit dem Meltdown Patch.

    > > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant
    > ist.
    >
    > Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office,
    > PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

    Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

  9. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 15:49

    narea schrieb:
    --------------------------------------------------------------------------------
    > Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote
    > ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

    Ach, da bin ich aber berühigt!!!

    narea aus dem Golem-Forum garantiert mir und jeden anderen Anwender, dass kein Angreifer eine zweite Code-Execution Lücke ausnutzt (und dann ziemlich einfach sämtliche meiner Passwörter etc. mitlesen könnte) - und ich mir nur über JS Gedanken machen muss.

    Wow, und ich habe mir schon Sorgen gemacht.

    > Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    Hardcore-Erklärung.

    Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine so gute Idee öffentlich Explotes zu posten...

    Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.

    Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die 100% schützt...

    Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so Sicherheits-ignorant?

    Ne, Sorry.

    Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert (hätte ja auch im Meltdown-Papier erwähnt sein können?). Und bei allem sicherheitskritischen weißt du mir bitte schön nach, dass es unbedenklich ist - und nicht umgekerht.

    Das ist aber völlig egal.

    Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen "magischen" Gründen nicht exploiten lassen.

    Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe, weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist nicht mein Problem.

  10. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 16:07

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------

    > Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl
    > einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine
    > so gute Idee öffentlich Explotes zu posten...

    Halte ich für nicht wahrscheinlich, dass da niemand auf die Idee gekommen ist mal zu schauen ob JS im Browser das ausnutzen kann, wenn man es speziell bei Spectre extra gemacht hat. Ist ja ein nicht ganz so abwegiges Szenario.

    > Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung
    > (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.
    >
    > Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die
    > 100% schützt...

    Es geht um was komplett anderes. Meltdown kann Prozessübergreifend auf den Speicher zugreifen, deshalb ist die Virtualisierung auch nicht hilfreich, da sie eben auch nur auf dem Speicher aufliegt.
    JS Sandbox hat damit erstmal gar nichts zu tun - es geht darum, ob die Befehle die man für Meltdown braucht (die man eben bei den ganzen PoC trivial mittels C ausführen kann) eben auch durch JS ausnutzbar sind. Und dafür gibt es bisher keinen einzigen Beweis. Und, siehe oben, man sollte meinen, das wäre eines der wichtigsten Punkte die man untersuchen sollte.

    > Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei
    > Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so
    > Sicherheits-ignorant?

    Die Leistungseinbußen, insb. bei den "uralten" (aka fünf Jahre) Prozessoren, sind zT immens - siehe zB auch SSD Leistungen im heiseartikel.
    Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal selbst die Malware.exe lokal starten müsste), aber verliere Leistung. Kurzum, es ist nicht logisch zu patchen.

    > Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert

    Tja und ich habe keinen Grund anzunehmen, dass es mit Javascript funktioniert [bis zum Beweis des Gegenteils].
    Und glaube mir: Ich würde mich freuen, wenn man mir das Gegenteil beweisen würde.

    > Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und
    > das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen
    > "magischen" Gründen nicht exploiten lassen.

    Siehe oben.

    > Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe,
    > weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist
    > nicht mein Problem.

    Du musst ja gar nicht mit mir diskutieren. Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand beantworten.

  11. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 18:39

    Ich möchte mal hierauf verweisen:

    https://forum.golem.de/kommentare/security/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er/kein-entdecker-sondern-entwickler-von-angriffsvektoren/115115,5000523,5000523,read.html#msg-5000523

    Sind wir uns ja wohl alle einige, dass diese Sicherheitsforscher KEINE "Entwickler von Angriffsvektoren" sind.

    Spectre ist hier etwas anderes, weil Spectre KEIN 100% funtkiontsfähiger Softwarefix bekannt ist.

    Meltdown ist gefixt.

    Wieso zur Hölle sollte ein Sicherheitsforscher jetzt gute Zeit investieren, Angriffe mit Javascript zu entwickeln? Was wäre das für ein Erkentissgewinn?
    Wohlgemerkt: Erkenntnissgewinn, der NICHT auschließlich "den bösen" hilft Mist zu bauen mit den Nutzern, die so dumm waren noch nicht zu patchen.

    > Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand
    > beantworten.

    Ich bin kein Sicherheitsforscher und kann dir diese Frage auch nicht beantworten. Ich sage dir einzig, dass

    a) deine Frage irrelevant ist
    b) die vollgende Aussage absoluter Bullshit ist

    > Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal
    > selbst die Malware.exe lokal starten müsste)

    Wenn du es völlig OK findest, dass jede noch so kleine Software auf dem PC JEDE deiner Passwörter mitlesen kann - ich finde das nich OK. Es gibt Gründe, wieso wir dagegen Sicherheitsmechanismen haben - und das zum Spaß.

    Und nein, dass du grundsätzlich Malware.exe selber starten musst, ist eine ziemlich naive Annahme. Meltdown ist nun einmal nicht die einzige Sicherheitslücke auf dieser Welt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München
  3. KÖNIGSTEINER AGENTUR GmbH, Stuttgart
  4. TUI InfoTec GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 33,99€
  2. (-50%) 4,99€
  3. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Grafikkarte Geforce GTX 1660 Ti soll 1.536 Shader haben
  2. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  3. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

  1. Deutsche Glasfaser: Was passiert, wenn Glasfaser 1 GBit/s auch liefern muss
    Deutsche Glasfaser
    Was passiert, wenn Glasfaser 1 GBit/s auch liefern muss

    Wenn ein Dorf plötzlich ein Drittel der Bandbreite des DE-CIX ausnutzen würde, müsste sich auch der FTTH-Anbieter Deutsche Glasfaser etwas einfallen lassen. Etwa eine 2.000-Gigabit-Standleitung.

  2. WD Black SN750: Leicht optimierte NVMe-SSD mit 2 TByte
    WD Black SN750
    Leicht optimierte NVMe-SSD mit 2 TByte

    Die WD Black SN750 ist eine verbesserte Version der bekannten WD Black 3D: Die Geschwindigkeit der NVMe-SSD steigt, die Kapazität wurde verdoppelt und ein Kühler verhindert frühes Drosseln bei langer Last.

  3. Konsolen-SoC: AMDs Gonzalo hat acht Zen-Kerne und Navi-GPU
    Konsolen-SoC
    AMDs Gonzalo hat acht Zen-Kerne und Navi-GPU

    Ein als Gonzalo entwickelter Chip für eine kommende Spielekonsole von wahrscheinlich Microsoft oder Sony basiert auf einem Zen-Octacore und nutzt eine Navi 10 genannte Grafikeinheit.


  1. 18:04

  2. 15:51

  3. 15:08

  4. 14:30

  5. 14:05

  6. 13:19

  7. 12:29

  8. 12:02