Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Meltdown und Spectre: "Dann sind wir…

Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

  1. Thema

Neues Thema Ansicht wechseln


  1. Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 19.01.18 - 16:35

    Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Falls nein, sehe ich keinen Grund warum jemand der nicht gerade ein Cloudrechenzentrum betreibt patchen sollte.
    Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    Danke.



    1 mal bearbeitet, zuletzt am 19.01.18 16:38 durch narea.

  2. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: stiGGG 20.01.18 - 00:14

    Ja.

  3. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 04:30

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Ja.


    > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

  4. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ThaKilla 20.01.18 - 07:13

    narea schrieb:
    --------------------------------------------------------------------------------
    > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

    Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Bin viel zu faul mir die mühe zu machen selbst zu recherchieren... ne ;)

  5. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 12:33

    ThaKilla schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    >
    > Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie der Existenzbeweis.

    Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass Meltdown so ausnutzbar ist, also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

  6. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ve2000 20.01.18 - 13:43

    narea schrieb:
    --------------------------------------------------------------------------------
    > also bleibe ich dabei, dass es für den
    > Normalnutzer absolut irrelevant ist.
    Natürlich ist es irrelevant.
    Aber Fakten bringen nun mal keine Klicks, Panikmache schon.
    Meltdown/Spectre sind zurzeit DER Glücksfall in der (IT)-Regenbogenpresse, das lassen DIE sich doch nicht nehmen, es bis zum erbrechen auszuschlachten

  7. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 14:14

    narea schrieb:
    --------------------------------------------------------------------------------
    > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > der Existenzbeweis.

    Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben, wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > Meltdown so ausnutzbar ist,

    Ja, genau!
    Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC - weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch keinen schreiben kann.

    > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

    Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office, PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

  8. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 14:20

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > > der Existenzbeweis.
    >
    > Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben,
    > wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    > > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > > Meltdown so ausnutzbar ist,
    >
    > Ja, genau!
    > Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja
    > bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC -
    > weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch
    > keinen schreiben kann.

    Es gibt momentan keinen Grund für Privatnutzer ihren PC zu verlangsamen mit dem Meltdown Patch.

    > > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant
    > ist.
    >
    > Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office,
    > PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

    Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

  9. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 15:49

    narea schrieb:
    --------------------------------------------------------------------------------
    > Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote
    > ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

    Ach, da bin ich aber berühigt!!!

    narea aus dem Golem-Forum garantiert mir und jeden anderen Anwender, dass kein Angreifer eine zweite Code-Execution Lücke ausnutzt (und dann ziemlich einfach sämtliche meiner Passwörter etc. mitlesen könnte) - und ich mir nur über JS Gedanken machen muss.

    Wow, und ich habe mir schon Sorgen gemacht.

    > Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    Hardcore-Erklärung.

    Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine so gute Idee öffentlich Explotes zu posten...

    Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.

    Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die 100% schützt...

    Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so Sicherheits-ignorant?

    Ne, Sorry.

    Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert (hätte ja auch im Meltdown-Papier erwähnt sein können?). Und bei allem sicherheitskritischen weißt du mir bitte schön nach, dass es unbedenklich ist - und nicht umgekerht.

    Das ist aber völlig egal.

    Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen "magischen" Gründen nicht exploiten lassen.

    Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe, weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist nicht mein Problem.

  10. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 16:07

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------

    > Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl
    > einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine
    > so gute Idee öffentlich Explotes zu posten...

    Halte ich für nicht wahrscheinlich, dass da niemand auf die Idee gekommen ist mal zu schauen ob JS im Browser das ausnutzen kann, wenn man es speziell bei Spectre extra gemacht hat. Ist ja ein nicht ganz so abwegiges Szenario.

    > Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung
    > (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.
    >
    > Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die
    > 100% schützt...

    Es geht um was komplett anderes. Meltdown kann Prozessübergreifend auf den Speicher zugreifen, deshalb ist die Virtualisierung auch nicht hilfreich, da sie eben auch nur auf dem Speicher aufliegt.
    JS Sandbox hat damit erstmal gar nichts zu tun - es geht darum, ob die Befehle die man für Meltdown braucht (die man eben bei den ganzen PoC trivial mittels C ausführen kann) eben auch durch JS ausnutzbar sind. Und dafür gibt es bisher keinen einzigen Beweis. Und, siehe oben, man sollte meinen, das wäre eines der wichtigsten Punkte die man untersuchen sollte.

    > Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei
    > Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so
    > Sicherheits-ignorant?

    Die Leistungseinbußen, insb. bei den "uralten" (aka fünf Jahre) Prozessoren, sind zT immens - siehe zB auch SSD Leistungen im heiseartikel.
    Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal selbst die Malware.exe lokal starten müsste), aber verliere Leistung. Kurzum, es ist nicht logisch zu patchen.

    > Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert

    Tja und ich habe keinen Grund anzunehmen, dass es mit Javascript funktioniert [bis zum Beweis des Gegenteils].
    Und glaube mir: Ich würde mich freuen, wenn man mir das Gegenteil beweisen würde.

    > Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und
    > das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen
    > "magischen" Gründen nicht exploiten lassen.

    Siehe oben.

    > Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe,
    > weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist
    > nicht mein Problem.

    Du musst ja gar nicht mit mir diskutieren. Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand beantworten.

  11. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 18:39

    Ich möchte mal hierauf verweisen:

    https://forum.golem.de/kommentare/security/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er/kein-entdecker-sondern-entwickler-von-angriffsvektoren/115115,5000523,5000523,read.html#msg-5000523

    Sind wir uns ja wohl alle einige, dass diese Sicherheitsforscher KEINE "Entwickler von Angriffsvektoren" sind.

    Spectre ist hier etwas anderes, weil Spectre KEIN 100% funtkiontsfähiger Softwarefix bekannt ist.

    Meltdown ist gefixt.

    Wieso zur Hölle sollte ein Sicherheitsforscher jetzt gute Zeit investieren, Angriffe mit Javascript zu entwickeln? Was wäre das für ein Erkentissgewinn?
    Wohlgemerkt: Erkenntnissgewinn, der NICHT auschließlich "den bösen" hilft Mist zu bauen mit den Nutzern, die so dumm waren noch nicht zu patchen.

    > Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand
    > beantworten.

    Ich bin kein Sicherheitsforscher und kann dir diese Frage auch nicht beantworten. Ich sage dir einzig, dass

    a) deine Frage irrelevant ist
    b) die vollgende Aussage absoluter Bullshit ist

    > Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal
    > selbst die Malware.exe lokal starten müsste)

    Wenn du es völlig OK findest, dass jede noch so kleine Software auf dem PC JEDE deiner Passwörter mitlesen kann - ich finde das nich OK. Es gibt Gründe, wieso wir dagegen Sicherheitsmechanismen haben - und das zum Spaß.

    Und nein, dass du grundsätzlich Malware.exe selber starten musst, ist eine ziemlich naive Annahme. Meltdown ist nun einmal nicht die einzige Sicherheitslücke auf dieser Welt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. GDS GmbH, Hamburg
  2. TeamViewer GmbH, Großraum Stuttgart / Göppingen
  3. Alte Hansestadt Lemgo, Lemgo
  4. Bosch Software Innovations GmbH, Waiblingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-50%) 9,99€
  2. 88,87€ (nur für Prime-Kunden)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

Fujitsu Lifebook U727 im Test: Kleines, blinkendes Anschlusswunder
Fujitsu Lifebook U727 im Test
Kleines, blinkendes Anschlusswunder
  1. Palmsecure Windows Hello wird bald Fujitsus Venenscanner unterstützen
  2. HP und Fujitsu Mechanischer Docking-Port bleibt bis 2019
  3. Stylistic Q738 Fujitsus 789-Gramm-Tablet kommt mit vielen Anschlüssen

Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

  1. Wochenrückblick: Früher war nicht alles besser
    Wochenrückblick
    Früher war nicht alles besser

    Golem.de-Wochenrückblick Voller Nostalgie spielen wir die Neuauflage von Age of Empires - und sehnen uns nach modernen Strategiespielen. Und auch der neue Airbus lässt uns alte Maschinen schnell vergessen.

  2. Raumfahrt: Falsch abgebogen wegen Eingabefehler
    Raumfahrt
    Falsch abgebogen wegen Eingabefehler

    Jeder macht einmal Fehler, aber bei Raketen sind sie besonders ärgerlich. Ein kleiner Irrtum bei der Eingabe reicht, damit eine Ariane 5 in die falsche Richtung fliegt.

  3. Cloud: AWS bringt den Appstore für Serverless-Software
    Cloud
    AWS bringt den Appstore für Serverless-Software

    Von AWS-Kunden für AWS-Kunden: Das Serverless Application Repository ist eine Datenbank, die Nutzer nach Diensten durchstöbern können, die sie dann für ihre eigenen Projekte nutzen. Das Ganze findet ausschließlich in der Cloud statt.


  1. 09:02

  2. 17:17

  3. 16:50

  4. 16:05

  5. 15:45

  6. 15:24

  7. 14:47

  8. 14:10