Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Meltdown und Spectre: "Dann sind wir…

Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

  1. Thema

Neues Thema Ansicht wechseln


  1. Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 19.01.18 - 16:35

    Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Falls nein, sehe ich keinen Grund warum jemand der nicht gerade ein Cloudrechenzentrum betreibt patchen sollte.
    Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    Danke.



    1 mal bearbeitet, zuletzt am 19.01.18 16:38 durch narea.

  2. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: stiGGG 20.01.18 - 00:14

    Ja.

  3. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 04:30

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Ja.


    > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

  4. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ThaKilla 20.01.18 - 07:13

    narea schrieb:
    --------------------------------------------------------------------------------
    > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

    Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Bin viel zu faul mir die mühe zu machen selbst zu recherchieren... ne ;)

  5. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 12:33

    ThaKilla schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    >
    > Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie der Existenzbeweis.

    Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass Meltdown so ausnutzbar ist, also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

  6. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ve2000 20.01.18 - 13:43

    narea schrieb:
    --------------------------------------------------------------------------------
    > also bleibe ich dabei, dass es für den
    > Normalnutzer absolut irrelevant ist.
    Natürlich ist es irrelevant.
    Aber Fakten bringen nun mal keine Klicks, Panikmache schon.
    Meltdown/Spectre sind zurzeit DER Glücksfall in der (IT)-Regenbogenpresse, das lassen DIE sich doch nicht nehmen, es bis zum erbrechen auszuschlachten

  7. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 14:14

    narea schrieb:
    --------------------------------------------------------------------------------
    > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > der Existenzbeweis.

    Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben, wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > Meltdown so ausnutzbar ist,

    Ja, genau!
    Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC - weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch keinen schreiben kann.

    > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

    Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office, PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

  8. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 14:20

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > > der Existenzbeweis.
    >
    > Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben,
    > wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    > > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > > Meltdown so ausnutzbar ist,
    >
    > Ja, genau!
    > Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja
    > bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC -
    > weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch
    > keinen schreiben kann.

    Es gibt momentan keinen Grund für Privatnutzer ihren PC zu verlangsamen mit dem Meltdown Patch.

    > > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant
    > ist.
    >
    > Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office,
    > PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

    Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

  9. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 15:49

    narea schrieb:
    --------------------------------------------------------------------------------
    > Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote
    > ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

    Ach, da bin ich aber berühigt!!!

    narea aus dem Golem-Forum garantiert mir und jeden anderen Anwender, dass kein Angreifer eine zweite Code-Execution Lücke ausnutzt (und dann ziemlich einfach sämtliche meiner Passwörter etc. mitlesen könnte) - und ich mir nur über JS Gedanken machen muss.

    Wow, und ich habe mir schon Sorgen gemacht.

    > Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    Hardcore-Erklärung.

    Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine so gute Idee öffentlich Explotes zu posten...

    Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.

    Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die 100% schützt...

    Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so Sicherheits-ignorant?

    Ne, Sorry.

    Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert (hätte ja auch im Meltdown-Papier erwähnt sein können?). Und bei allem sicherheitskritischen weißt du mir bitte schön nach, dass es unbedenklich ist - und nicht umgekerht.

    Das ist aber völlig egal.

    Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen "magischen" Gründen nicht exploiten lassen.

    Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe, weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist nicht mein Problem.

  10. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 16:07

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------

    > Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl
    > einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine
    > so gute Idee öffentlich Explotes zu posten...

    Halte ich für nicht wahrscheinlich, dass da niemand auf die Idee gekommen ist mal zu schauen ob JS im Browser das ausnutzen kann, wenn man es speziell bei Spectre extra gemacht hat. Ist ja ein nicht ganz so abwegiges Szenario.

    > Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung
    > (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.
    >
    > Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die
    > 100% schützt...

    Es geht um was komplett anderes. Meltdown kann Prozessübergreifend auf den Speicher zugreifen, deshalb ist die Virtualisierung auch nicht hilfreich, da sie eben auch nur auf dem Speicher aufliegt.
    JS Sandbox hat damit erstmal gar nichts zu tun - es geht darum, ob die Befehle die man für Meltdown braucht (die man eben bei den ganzen PoC trivial mittels C ausführen kann) eben auch durch JS ausnutzbar sind. Und dafür gibt es bisher keinen einzigen Beweis. Und, siehe oben, man sollte meinen, das wäre eines der wichtigsten Punkte die man untersuchen sollte.

    > Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei
    > Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so
    > Sicherheits-ignorant?

    Die Leistungseinbußen, insb. bei den "uralten" (aka fünf Jahre) Prozessoren, sind zT immens - siehe zB auch SSD Leistungen im heiseartikel.
    Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal selbst die Malware.exe lokal starten müsste), aber verliere Leistung. Kurzum, es ist nicht logisch zu patchen.

    > Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert

    Tja und ich habe keinen Grund anzunehmen, dass es mit Javascript funktioniert [bis zum Beweis des Gegenteils].
    Und glaube mir: Ich würde mich freuen, wenn man mir das Gegenteil beweisen würde.

    > Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und
    > das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen
    > "magischen" Gründen nicht exploiten lassen.

    Siehe oben.

    > Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe,
    > weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist
    > nicht mein Problem.

    Du musst ja gar nicht mit mir diskutieren. Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand beantworten.

  11. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 18:39

    Ich möchte mal hierauf verweisen:

    https://forum.golem.de/kommentare/security/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er/kein-entdecker-sondern-entwickler-von-angriffsvektoren/115115,5000523,5000523,read.html#msg-5000523

    Sind wir uns ja wohl alle einige, dass diese Sicherheitsforscher KEINE "Entwickler von Angriffsvektoren" sind.

    Spectre ist hier etwas anderes, weil Spectre KEIN 100% funtkiontsfähiger Softwarefix bekannt ist.

    Meltdown ist gefixt.

    Wieso zur Hölle sollte ein Sicherheitsforscher jetzt gute Zeit investieren, Angriffe mit Javascript zu entwickeln? Was wäre das für ein Erkentissgewinn?
    Wohlgemerkt: Erkenntnissgewinn, der NICHT auschließlich "den bösen" hilft Mist zu bauen mit den Nutzern, die so dumm waren noch nicht zu patchen.

    > Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand
    > beantworten.

    Ich bin kein Sicherheitsforscher und kann dir diese Frage auch nicht beantworten. Ich sage dir einzig, dass

    a) deine Frage irrelevant ist
    b) die vollgende Aussage absoluter Bullshit ist

    > Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal
    > selbst die Malware.exe lokal starten müsste)

    Wenn du es völlig OK findest, dass jede noch so kleine Software auf dem PC JEDE deiner Passwörter mitlesen kann - ich finde das nich OK. Es gibt Gründe, wieso wir dagegen Sicherheitsmechanismen haben - und das zum Spaß.

    Und nein, dass du grundsätzlich Malware.exe selber starten musst, ist eine ziemlich naive Annahme. Meltdown ist nun einmal nicht die einzige Sicherheitslücke auf dieser Welt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ADAC Versicherung AG, München
  2. Hays AG, Berlin
  3. Stadtwerke München GmbH, München
  4. Landratsamt Reutlingen, Reutlingen bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (heute u. a. Be quiet Silent Base 601 104,90€, Zyxel-Switch 44,99€)
  2. (Zugang für die ganze Familie!)
  3. (u. a. Canon EOS 2000D + Objektiv 18-55 mm für 299€ statt 394€ im Vergleich)
  4. ab 119,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


    1. IMFT: Micron will Intels Flash-Speicher-Geschäft übernehmen
      IMFT
      Micron will Intels Flash-Speicher-Geschäft übernehmen

      Das Joint Venture ist zu Ende: Micron kauft Intels Anteile für 1,5 Milliarden US-Dollar und betreibt die Fabriken dann alleine. Intel produziert künftig ebenfalls selbst, vor allem aber wird 3D Xpoint fortgeführt.

    2. Core i9-9900K im Test: Acht verlötete 5-GHz-Kerne sind extrem
      Core i9-9900K im Test
      Acht verlötete 5-GHz-Kerne sind extrem

      Der Core i9-9900K ist ein Octacore mit 5 GHz Boost-Takt und verlötetem Metalldeckel für niedrigere Temperaturen. Dadurch rechnet der Chip sehr flott und schlägt AMDs Ryzen 7 2700X locker. Darf der 9900K aber aus dem Vollen schöpfen, haben wir etwas Angst um das Mainboard.

    3. Bastelrechner: TV-Adapter bringt DVB-T2 für den Raspberry Pi
      Bastelrechner
      TV-Adapter bringt DVB-T2 für den Raspberry Pi

      TV-Server zum Selbstbauen: Die Raspberry Pi TV HAT ist eine neue Adapterplatine für den beliebten Bastelrechner, welche diesen zum DVB-T2-Receiver umfunktioniert. Das Produkt bringt einen Antennenanschluss und passende Software gleich mit. Für das Signal müssen Nutzer trotzdem zahlen.


    1. 15:20

    2. 15:00

    3. 14:09

    4. 13:40

    5. 13:13

    6. 12:58

    7. 12:05

    8. 12:01