Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Meltdown und Spectre: "Dann sind wir…

Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

  1. Thema

Neues Thema Ansicht wechseln


  1. Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 19.01.18 - 16:35

    Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Falls nein, sehe ich keinen Grund warum jemand der nicht gerade ein Cloudrechenzentrum betreibt patchen sollte.
    Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    Danke.



    1 mal bearbeitet, zuletzt am 19.01.18 16:38 durch narea.

  2. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: stiGGG 20.01.18 - 00:14

    Ja.

  3. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 04:30

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Ja.


    > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

  4. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ThaKilla 20.01.18 - 07:13

    narea schrieb:
    --------------------------------------------------------------------------------
    > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

    Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Bin viel zu faul mir die mühe zu machen selbst zu recherchieren... ne ;)

  5. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 12:33

    ThaKilla schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    >
    > Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie der Existenzbeweis.

    Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass Meltdown so ausnutzbar ist, also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

  6. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ve2000 20.01.18 - 13:43

    narea schrieb:
    --------------------------------------------------------------------------------
    > also bleibe ich dabei, dass es für den
    > Normalnutzer absolut irrelevant ist.
    Natürlich ist es irrelevant.
    Aber Fakten bringen nun mal keine Klicks, Panikmache schon.
    Meltdown/Spectre sind zurzeit DER Glücksfall in der (IT)-Regenbogenpresse, das lassen DIE sich doch nicht nehmen, es bis zum erbrechen auszuschlachten

  7. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 14:14

    narea schrieb:
    --------------------------------------------------------------------------------
    > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > der Existenzbeweis.

    Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben, wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > Meltdown so ausnutzbar ist,

    Ja, genau!
    Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC - weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch keinen schreiben kann.

    > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

    Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office, PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

  8. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 14:20

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > > der Existenzbeweis.
    >
    > Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben,
    > wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    > > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > > Meltdown so ausnutzbar ist,
    >
    > Ja, genau!
    > Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja
    > bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC -
    > weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch
    > keinen schreiben kann.

    Es gibt momentan keinen Grund für Privatnutzer ihren PC zu verlangsamen mit dem Meltdown Patch.

    > > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant
    > ist.
    >
    > Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office,
    > PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

    Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

  9. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 15:49

    narea schrieb:
    --------------------------------------------------------------------------------
    > Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote
    > ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

    Ach, da bin ich aber berühigt!!!

    narea aus dem Golem-Forum garantiert mir und jeden anderen Anwender, dass kein Angreifer eine zweite Code-Execution Lücke ausnutzt (und dann ziemlich einfach sämtliche meiner Passwörter etc. mitlesen könnte) - und ich mir nur über JS Gedanken machen muss.

    Wow, und ich habe mir schon Sorgen gemacht.

    > Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    Hardcore-Erklärung.

    Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine so gute Idee öffentlich Explotes zu posten...

    Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.

    Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die 100% schützt...

    Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so Sicherheits-ignorant?

    Ne, Sorry.

    Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert (hätte ja auch im Meltdown-Papier erwähnt sein können?). Und bei allem sicherheitskritischen weißt du mir bitte schön nach, dass es unbedenklich ist - und nicht umgekerht.

    Das ist aber völlig egal.

    Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen "magischen" Gründen nicht exploiten lassen.

    Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe, weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist nicht mein Problem.

  10. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 16:07

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------

    > Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl
    > einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine
    > so gute Idee öffentlich Explotes zu posten...

    Halte ich für nicht wahrscheinlich, dass da niemand auf die Idee gekommen ist mal zu schauen ob JS im Browser das ausnutzen kann, wenn man es speziell bei Spectre extra gemacht hat. Ist ja ein nicht ganz so abwegiges Szenario.

    > Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung
    > (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.
    >
    > Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die
    > 100% schützt...

    Es geht um was komplett anderes. Meltdown kann Prozessübergreifend auf den Speicher zugreifen, deshalb ist die Virtualisierung auch nicht hilfreich, da sie eben auch nur auf dem Speicher aufliegt.
    JS Sandbox hat damit erstmal gar nichts zu tun - es geht darum, ob die Befehle die man für Meltdown braucht (die man eben bei den ganzen PoC trivial mittels C ausführen kann) eben auch durch JS ausnutzbar sind. Und dafür gibt es bisher keinen einzigen Beweis. Und, siehe oben, man sollte meinen, das wäre eines der wichtigsten Punkte die man untersuchen sollte.

    > Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei
    > Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so
    > Sicherheits-ignorant?

    Die Leistungseinbußen, insb. bei den "uralten" (aka fünf Jahre) Prozessoren, sind zT immens - siehe zB auch SSD Leistungen im heiseartikel.
    Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal selbst die Malware.exe lokal starten müsste), aber verliere Leistung. Kurzum, es ist nicht logisch zu patchen.

    > Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert

    Tja und ich habe keinen Grund anzunehmen, dass es mit Javascript funktioniert [bis zum Beweis des Gegenteils].
    Und glaube mir: Ich würde mich freuen, wenn man mir das Gegenteil beweisen würde.

    > Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und
    > das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen
    > "magischen" Gründen nicht exploiten lassen.

    Siehe oben.

    > Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe,
    > weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist
    > nicht mein Problem.

    Du musst ja gar nicht mit mir diskutieren. Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand beantworten.

  11. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 18:39

    Ich möchte mal hierauf verweisen:

    https://forum.golem.de/kommentare/security/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er/kein-entdecker-sondern-entwickler-von-angriffsvektoren/115115,5000523,5000523,read.html#msg-5000523

    Sind wir uns ja wohl alle einige, dass diese Sicherheitsforscher KEINE "Entwickler von Angriffsvektoren" sind.

    Spectre ist hier etwas anderes, weil Spectre KEIN 100% funtkiontsfähiger Softwarefix bekannt ist.

    Meltdown ist gefixt.

    Wieso zur Hölle sollte ein Sicherheitsforscher jetzt gute Zeit investieren, Angriffe mit Javascript zu entwickeln? Was wäre das für ein Erkentissgewinn?
    Wohlgemerkt: Erkenntnissgewinn, der NICHT auschließlich "den bösen" hilft Mist zu bauen mit den Nutzern, die so dumm waren noch nicht zu patchen.

    > Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand
    > beantworten.

    Ich bin kein Sicherheitsforscher und kann dir diese Frage auch nicht beantworten. Ich sage dir einzig, dass

    a) deine Frage irrelevant ist
    b) die vollgende Aussage absoluter Bullshit ist

    > Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal
    > selbst die Malware.exe lokal starten müsste)

    Wenn du es völlig OK findest, dass jede noch so kleine Software auf dem PC JEDE deiner Passwörter mitlesen kann - ich finde das nich OK. Es gibt Gründe, wieso wir dagegen Sicherheitsmechanismen haben - und das zum Spaß.

    Und nein, dass du grundsätzlich Malware.exe selber starten musst, ist eine ziemlich naive Annahme. Meltdown ist nun einmal nicht die einzige Sicherheitslücke auf dieser Welt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. K & P Computer Service- und Vertriebs-GmbH, deutschlandweit (Home-Office)
  2. über duerenhoff GmbH, Wasserburg am Inn
  3. Hays AG, Hannover
  4. über duerenhoff GmbH, Erkrath

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 75,90€ + Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nur noch Wochenende Taz stellt ihre Printausgabe wohl bis 2022 ein
  2. Cybercrime Bayern rüstet auf im Kampf gegen Anonymität im Netz
  3. Satelliteninternet Fraunhofer erreicht hohe Datenrate mit Beam Hopping

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

  1. Foreshadow/L1TF: Intel-CPUs ermöglichten unberechtigtes Auslesen von Speicher
    Foreshadow/L1TF
    Intel-CPUs ermöglichten unberechtigtes Auslesen von Speicher

    Die spekulative Ausführung von Code führt erneut zu einer Sicherheitslücke auf Intel-Prozessoren. Mit Foreshadow können Prozesse über den Level-1-Cache unberechtigt Speicher auslesen. Besonders kritisch ist das in virtualisierten Umgebungen.

  2. Mobilfunkzentrum: Bayern schließt seine Funklöcher
    Mobilfunkzentrum
    Bayern schließt seine Funklöcher

    Wo staatliches Geld fließt, schließen sich die Mobilfunk-Löcher erheblich schneller. Wie in Bayern, dessen Landesregierung nun ein Mobilfunkzentrum gründet.

  3. Joint Venture: United Internet will mit Telekom FTTH für Millionen ausbauen
    Joint Venture
    United Internet will mit Telekom FTTH für Millionen ausbauen

    United Internet kann das Angebot nicht ausschlagen, mit der Telekom einige Milliarden Euro für Glasfaserausbau auszugeben. Doch ein 50:50-Joint-Venture traut sich Ralph Dommermuth denn doch nicht zu.


  1. 08:44

  2. 18:09

  3. 16:50

  4. 16:36

  5. 16:14

  6. 15:53

  7. 15:35

  8. 14:45