Ich habs ja im anderen Thread schon andiskutiert - wollte das Thema aber lieber auskoppeln.

Aus meiner Sicht sieht es so aus:
Die Meltdown und Spectre zugrundeliegende Sicherheitslücke in den Intel-CPUs stellt einem Mangel im Sinne der Mängelhaftung / Gewährleistung dar, solange der Kauf der CPU nicht mehr als 2 Jahre zurückliegt. (Lägen mehr als 2 Jahre zurück müsste man Intel bzw. dem Verkäufer erst arglistige Täuschung nachweisen damit es noch unter Gewährleistung fällt).
Mit Zombieload ist dazu noch eine Lücke aufgetaucht, die wohl nur durch abschalten von HT 100% dicht gemacht werden kann. Damit würde dann bei den Prozessoren mit HT eine zugesicherte Eigenschaft entfallen.

Jetzt stünden dem Verkäufer Nachbesserungsversuche zur Verfügung. Diese sind aber eigentlich aus mehreren Gründen nicht zumutbar.
- Zum einen stopft Intel nun seit über einem Jahr Lücken in diesem Zusammenhang und es tauchen immernoch weitere Exploits auf die wieder neue Patches (aka Nachbesserungen nötig machen)
- Dann ist der Erfolg des Patches für einen normalen Endverbraucher nicht prüfbar
- Ausserdem bringen die Patches neue Mängel in Form von Performanceeinbussen mit sich
- Zuletzt KANN der Händler selbst sowieso nicht Nachbessern in dieser Sache (ausser bei Komplettsystemen durch den Tausch der CPU)


Folgende Argumente/Versuche könnte ein Händler unternehmen sich aus der Affäre zu ziehen:
- Wenden Sie sich bitte an Intel -> Falsch... Der Händler ist für Gewährleistung zuständig - auch wenn sie einen gerne an den Hersteller abschieden würden
- Es gibt keinen Mangel für den normalen Anwendungsfall, denn die Performance Einbussen sind für normale Anwendungen vertretbar -> ganz dünnes Eis - erstens ist der zugrundeliegende Mangel die Sicherheitslücke, zweitens kann die eigentlich niemand vorschreiben für was du die CPU nutzt. Ein High-End-Gaming PC sollte durchaus kein "fremder/abnormaler" Anwendungsfall für nen i5 / i7 sein...
- das war damals State of the Art -> es gibt nur noch 2 Hersteller für Desktop CPUs - Intel und AMD und nur einer davon ist so massiv betroffen also IMHO auch falsch
- die Mängel wurden behoben, die sich ergebenden Performance-Einbussen sind irrelevant ->das wäre zu klären - es gibt Hinweise darauf das bis zu 5% Einbussen zu akzeptieren wären... Speziell ZombieLoad bei HT Prozessoren kostet aber mehr (weil HT wohl abgeschaltet werden muss für 100% Sicherheit) -> eine andere Argumentationslinie sagt aber, dass die Mängel eben NICHT behoben wurden sondern eben nur unter Mitwirkung von Dritten (den Software / BS Herstellern) "umgangen"...

Ich bin gerade dabei das ganze mit Hilfe meiner Rechtsschutz durchzustreiten... Je nach Ausgang kann ich vielleicht was dazu sagen, vielleicht auch nicht ;) ... Aber vielleicht gibt es ja interesse das ganze hier mal von den Grundlagen her durchzudiskutieren... Kann mir nicht vorstellen dass ich der Einzige bin den das Ankäst und der seine CPU erst vor weniger als 2 Jahren erneuert hat...
ACHTUNG: Es geht hier explizit nicht um INTEL BASHING oder INTEL vs. AMD (auch wenns dazu einlädt) - sondern das Ganze ruhig und sachlich im Sinne der Mängelhafttung mal zu durchleuchten...

Linksammlung:
https://urldefense.proofpoint.com/v2/url?u=https-3A__www.kes.info_archiv_leseproben_2018_kernschmelze-2D20_&d=DwIFaQ&c=ZgVRmm3mf2P1-XDAyDsu4A&r=zW6P9-mHH8qUTMTNqrWjmCbC1QRF33OJDDV-QIElf64&m=DQ39htfuuJC6VVN5XCcOlc1rcwa6tFmCQH0KbuFLrUc&s=-YcyD1UrYuyj4XCSQjbCT-B9ciR4IzXI6SHEqLYN26A&e=
https://www.grammpatent.de/de/newsdetails/der-unsichere-prozessor-haftungsfragen-bei-konstruktiven-sicherheitsluecken-in-cpus.html

Ist ja nicht so, daß ich u.U. nicht bei dir bin :) aber objektiv gesehen ist da imho nichts zu machen:
Ausserdem bringen die Patches neue Mängel in Form von Performanceeinbussen mit sichEs werden KEINE BESTIMMTE Leistungen/Mindestleistungen zugesichert.
Die paar Balkendiagramme welche Intel selbst in Umlauf bringt ist keine rechtlich angreifbare Zusicherung.

Davon ab, daß drauf neben den CPUs die heute 2 Jahre alt sind, eh nur welche auftauchen sollten, die schon selbst betroffen sind (meine ich). Sie werden daher mit den Patches alle um einen ähnliche Faktor lahmer -> der Zuwachs hat sich Prozentuall also nicht besonders verändert.

p.s.:
Das passierte in der Geschichte der Systemhardware bisher aber auch so selten... Mich interessiert das ehrlich gesagt weniger. Weniger als das was Microsoft wie auch manche Softhersteller mit Updates verkacken. Ich würde mich viel mehr freuen, wenn jemand dafür endlich MS vollpinkeln würde. Statt Intel für Meltdown.
Vor allem da, realistisch gesehen, das Privatanwender quasi nicht betrifft. Das sind fast alles Fehler die Cloudanbieter und sonstige Infrastrukturen betreffen, die mit VMs arbeiten. Wenn er mal mag, kann Bezos die anpinkeln. An MS-Patches leiden dagegen alle die Windows nutzen.

Ist ja nicht so, daß ich u.U. bei dir bin :) aber objektiv gesehen ist das imho nichts zu machen:
Es werden KEINE BESTIMMTE Leistungen/Mindestleistungen zugesichert.
Die paar Balkendiagramme welche Intel selbst in Umlauf bringt ist keine rechtlich angreifbare Zusicherung.

Davon ab, daß drauf neben den CPUs die heute 2 Jahre alt sind, eh nur welche auftauchen sollten, die schon selbst betroffen sind (meine ich). Sie werden daher mit den Patches alle um einen ähnliche Faktor lahmer -> der Zuwachs hat sich Prozentuall also nicht besonders verändert.
Das Ändert aber nix an der Existenz des zugrundeliegenden Mangels - der Hardwarelücke, die uns Spectres, Meltdowns und Zombies überhaupt beschehrt hat. Ein Autohersteller hat auch ein Problem, wenn ihm jemand nachweist, dass er dir die Motorleistung nach dem Kauf um x% runtergedreht hat... Das Problem beim Auto ist der Aufwand für den Nachweis. Das ist bei CPUs einfacher... Trotzdem: Argumentativ muss man auf die Lücke selbst zielen... Nicht auf die Perf. Einbussen...

Wie immer, bin kein Anwalt:

Soweit ich weiß wirbt Intel beim bzw. für den Kauf von CPUs nicht mit konkreten Performance-Werten. Somit wurde dir konkret nichts versprochen, da die restlichen Eckdaten ja identisch bleiben. Software Updates können auch die Performance beeinflussen, ganz unabhängig von der Problematik. Es verklagt ja auch niemand Microsoft dafür, dass ein AMD Threadripper unter Windows wesentlich langsamer arbeitet als unter Linux. Oder das du in ClearLinux nochmals im Schnitt bis zu 20% mehr Leistung hast, als bei den meisten anderen Betriebssystemen.

Und Nachbesserungen kommen ja und da sie mittlerweile ganz ohne Nutzereinwirkung über normale Betriebssystem Updates kommen, sehe ich das auch das "ist nicht zumutbar" nicht.

Und klar ist der Händler für die Abwicklung zuständig, aber in den meisten Fällen setzt der sich dann auch nur mit dem Hersteller bzw. einer autorisierten Werkstatt in Verbindung. Dein Händler ist also schon damit raus, indem er dir einen Link zu den entsprechenden Software-Updates gibt, die du so oder so schon bekommst.

Den einzigen Ansatzpunkt den ich sehe ist bei Hyperthreading CPUs. Soweit ich weiß sind die Lücken mit den aktuellen Patches hier nicht gänzlich geschlossen. Somit könnte man hier argumentieren, dass hier wirklich ein beworbenes Feature entfallen ist. Es wird aber nicht einfach deaktiviert, sondern es wird dir überlassen, welches Risiko du eingehen willst. Das ist imo etwas schwammig und da könnte man ansetzen.

Bei allem Anderen sehe ich eher weniger Hoffnung.

edit:

Ein Autohersteller hat auch ein Problem, wenn ihm jemand nachweist, dass er dir die Motorleistung nach dem Kauf um x% runtergedreht hat...

Hier wurde dir aber beim Kauf eine bestimmte Leistung zugesichert.

Ja das ist richtig. Eher auf die Lücke und nicht auf die Performance. Du wirst aber wohl den Nachweis erbingen müssen, daß dich Lücken die noch offen wären, betrifft.
Welche sind das denn noch? (sorry ich ignoriere das Thema dieser Lücken seitdem ich es verstanden habe)

Und dann muss man sich wohl auch der frage stellen inwiefern der Nachweis theoretisch und inwiefern praktisch sein sollte. Was ggf. der Gericht zu entscheiden hätte, welchen REALEN SCHADEN du eigentlich beklagst.

edit:
Die rechtlich sicher, zugesicherte Leistung des Motors beim Auto ist übrigens auch nicht die, die im Fahrzeugschein steht ;)

Ihr hängt euch imho zu sehr an den Performanceeinbussen auf und der Frage ob Intel da was zusichert...
Die Einbussen erfolgen nach dem Kauf im Zuge einer versuchten Mängelbehebung. Das ist imho etwas anderes. Die Sache (CPU) verändert sich negativ NACH dem Kauf...
Die zugrundeliegende Lücke existiert auch danach noch was immer neue Exploits die immer neue Nachbesserungen nötig machen Eindrucksvoll zeigen - DAS ist der Mangel...

Ihr hängt euch imho zu sehr an den Performanceeinbussen? Da du das als Punkt aufgeführt hast, hab ich das einmal abgehandelt und gut :)

Die zugrundeliegende Lücke existiert auch danach noch was immer neue Exploits die immer neue Nachbesserungen nötig machen Eindrucksvoll zeigen - DAS ist der Mangel...Gilt. Du musst dafür aber aufzeigen, daß Intel nicht in der Lage sein wird das zu stopfen. Das ist schon haariger.
Sie haben ja das Recht auf Nachbesserung. Wo sich auf was tut.
Deine Bringschuld wäre dann darzulegen, daß sie sozusagen nie damit fertig werden können und dann der Support ausläuft und du auf dem fehlerhaften Produkt sitzen bleibst.

Ich stell mir das nicht so trivial vor. Dafür braucht man Sachverständige. Am besten vom schalge eines Ormandy & Co. :freak:

? Da du das als Punkt aufgeführt hast, hab ich das einmal abgehandelt und gut :)

Gilt. Du musst dafür aber aufzeigen, daß Intel nicht in der Lage sein wird das zu stopfen. Das ist schon haariger.
Sie haben ja das Recht auf Nachbesserung. Wo sich auf was tut.
Deine Bringschuld wäre dann darzulegen, daß sie sozusagen nie damit fertig werden können und dann der Support ausläuft und du auf dem fehlerhaften Produkt sitzen bleibst.

Ich stell mir das nicht so trivial vor.
Den Nachweis haben sie doch in den letzten 1,5 Jahren selbst erbracht :)

Dein Problem: Du musst dafür was beweisen. Eine Theorie/these zu entwickeln ist extrem selten etwas was Gerichte akzeptieren.

Und du stehst dann noch Intels Rechtsabteilung gegenüber. Das ist eine andere Nummer als wenn du deinem Nachbar was vorwirfst.

Dein Problem: Du musst dafür was beweisen. Eine Theorie/these zu entwickeln ist extrem selten etwas was Gerichte akzeptieren.

Und du stehst dann noch Intels Rechtsabteilung gegenüber. Das ist eine andere Nummer als wenn du deinem Nachbar was vorwirfst.
Ne - nur der des Händlers... wie gesagt... Mängelhaftung/Gewährleistung ist Händlersache...

Und welche Theorie? Intel bastelt seit über nem Jahr und hat sicher schon mehr als 3 Nachbesserungsversuche „verbraucht“....

Die Sache (CPU) verändert sich negativ NACH dem Kauf...

Na wie schon gesagt: Das passiert dir mit fast jedem Software-Update tagtäglich. Mal bekommst du Performance, mal verlierst du Performance. Ich glaube halt schlicht nicht, dass du mit diesem Argument wesentlich weit kommst.

Darum sage ich ja auch: Versteife du dich nicht zu sehr auf die Performance-Änderung nach den Patches, sondern schaue eher auf das angesprochene Hyperthreading. Denn das ist ein Feature was beim Kauf vermarktet wurde. Hier könnte man vielleicht argumentieren, dass das anlassen von HT "unzumutbar" ist, aber da musst du dann schon ein ordentliches Szenario aufstellen.

Die zugrundeliegende Lücke existiert auch danach noch was immer neue Exploits die immer neue Nachbesserungen nötig machen Eindrucksvoll zeigen - DAS ist der Mangel...

Nein. Die Lücken sind in der Regel in unterschiedlichen Bereichen an unterschiedlichen Teilen zu finden. Klar kann man es ganz ganz grob auf ein/zwei Kernprobleme herunterbrechen, aber auch hier gilt: Das ist macht das Problem auch nicht unfixbar. Analog dazu könntest du jede Software grundlegend beanstanden die in einer Programmiersprache geschrieben ist, die Bufferoverflows erlaubt. Denn das sind mal eben >90% aller Lücken in der Software-Welt.

Bin ja durchaus dafür, dass Intel wegen der ganzen Sache allen Kunden eine Entschädigung zukommen lassen muss, aber die Angriffsfläche ist halt sehr sehr sehr klein.

Zombieload und HT sind natürlich der dickste Brocken - das wäre dann aus meiner Sicht das Fehlen einer zugesicherten Eigenschaft.. Denn Intel hat die CPUs mit HT vermarktet...

Ne - nur der des Händlers...Ja... wenn du einem Händler damit ankommst wird er bei Intel Deutschland schon anrufen. Mach dir keine Sorgen.

Zombieload und HT sind natürlich der dickste BrockenJep.

Ja... wenn du einem Händler damit ankommst wird er bei Intel Deutschland schon anrufen. Mach dir keine Sorgen.

Das Problem das der Händler hat ist: Er ist für die Mängelhaftung zuständig nicht Intel... Er ist auch der, der ggF Fristen einzuhalten hat... Da kann Intel im höchstens argumentativ helfen... Er bliebe auch auf den Kosten hängen falls es zu einem Verfahren käme bei dem er nur Teilweise verlieren müsste und schon wärs für ihn Billiger gewesen nen Wandel anzubieten...
Insofern stellt sich schon die Frage ob er nicht spätestens in dem Moment wo er Post von nem Anwalt bekommt nicht lieber einknickt und das dann Kullanz nennt um keinen Präzedenzfall zu schaffen...Er kann aber im Nachgang auf jeden Fall versuchen sich das Geld von Intel wieder zu holen... Und genau indem Moment hat dann Intel das Problem, das der Händler davor hatte...

Daher generell in solchen Fragen. Immer klarmachen, dass einem bekannt ist, dass der Händler der Ansprechpartner für Mangelhaftung ist und nicht der Hersteller... Die Händler versuchen das natürlich gerne da der Hersteller ne dickere Nummer ist und dem Kunden eher ein X für ein U vormachen/Beindrucken kann...

Analog dazu könntest du jede Software grundlegend beanstanden die in einer Programmiersprache geschrieben ist, die Bufferoverflows erlaubt. Denn das sind mal eben >90% aller Lücken in der Software-Welt.

Der Kern-Unterschied ist: Hier ist eben halt mal eine Lücke in der HARDWARE (und zwar so richtig - wenn er sich nichtmal mit Microcode Änderungen fixen lässt) und das ist schon ein wichtiger Unterschied...

Problem Sicherheitslücken: Welche fixt Intel davon wirklich nicht?
Im Zweifelsfall dürfte Intel hierbei immer damit argumentieren können, das erstens keine bestimmte Sicherheit zugesichert wurde und zweitens in der Praxis noch gar keine Angriffe vorgekommen sind, egal sogar des Anwendungsbereichs. Das hat vor Gericht kaum eine Chance, weil die Praxisrelevanz eigentlich Null ist.

Problem Performanceverlust: Wieviel ist zu viel?
Generell hat Intel nichts zugesichert außer den nominellen Eigenschaften der CPU, welche erhalten bleiben. Da zudem der Performanceverlust im Bereich der normalen Anwendung (Windows) bei immer noch unterhalb 10% liegt (woran MS sicherlich mitwirkt), gibt es da auch nichts, womit man irgendeine Mitleidstour begründen könnte. Hat vor Gericht keine Chance, überhaupt gehört zu werden.

Thema HyperThreading:
Das nur das Abschalten von HT wirkliche Sicherheit bringt, stimmt nominell, klappt aber nur aus einem sehr theoretischen Blickwinkel. Denn es bezieht sich allein auf eine hypothetische Gefahr, das da noch mehr sein könnte, von dem man nichts weiss. So was kann man ITlern verklickern, vor Gericht wäre das substanzlos.


Generell hat Intel auch noch eine weitere Trumpfkarte in Form der "neuen, bislang nicht bekannten Gefahr". Intel kann dabei argumentieren, das das alte Produkt zum Zeitpunkt der Erstellung nach besten Wissen und Gewissen designt war, die Lücken eine gänzlich neue Kategorie an Problem bzw. Produktfeature aufgemacht haben, welche erst mit zukünftigen Produkten addressiert werden kann. Vergleichsweise wie wenn durch eine Gesetzesänderung ein bestimmter Kat nicht mehr technologisch modern ist - dann kann der frühere Käufer ja auch nicht sagen, er will das bereits gekaufte Teil umtauschen.

Vergleichsweise wie wenn durch eine Gesetzesänderung ein bestimmter Kat nicht mehr technologisch modern ist - dann kann der frühere Käufer ja auch nicht sagen, er will das bereits gekaufte Teil umtauschen.
Der Vergleich hinkt meiner Ansicht nach... Eher geignet scheint mir der Vergleich zum Dieselskandal (bis auf den Vorsatz Seitens VW den man Intel erstmal nachweisen müsste).
Es gab keinen Einfluss "von Aussen" - es haben sich keine Gesetze und keine Naturgesetze plötzlich geändert sondern der Mangel war Produktionsbedingt. Es war auch kein Softwarebug. Das Unterscheidet ihn von allem bisher dagewesenen. Es ist halt mal echt in Hardware (und nichtmal Microcode...).

Intel kann dabei argumentieren, das das alte Produkt zum Zeitpunkt der Erstellung nach besten Wissen und Gewissen designt war.
Das wäre das Argument Stand der Technik... Nur leider hat einer von zwei Herstellern von Desktop CPUs den Fehler NICHT bzw. nicht so gravierend gemacht -> also doch nicht zwingend Stand der Technik...

Allgemein mal Lesestoff zur rechtlichen Seite:
https://urldefense.proofpoint.com/v2/url?u=https-3A__www.kes.info_archiv_leseproben_2018_kernschmelze-2D20_&d=DwIFaQ&c=ZgVRmm3mf2P1-XDAyDsu4A&r=zW6P9-mHH8qUTMTNqrWjmCbC1QRF33OJDDV-QIElf64&m=DQ39htfuuJC6VVN5XCcOlc1rcwa6tFmCQH0KbuFLrUc&s=-YcyD1UrYuyj4XCSQjbCT-B9ciR4IzXI6SHEqLYN26A&e=

Alles natürlich alles andere als eine sichere Bank - anderseits kann es gut sein, dass spätestens vor Gericht jemand einen Rückzieher macht und sich einigt weil man eben lieber keinen Präzedenzfall schaffen will... Der Richter als technischer Laie kann nämlich auch ganz leicht in die andere Richtung "losgehen" und sich auf die Seite des Verbrauchers stellen...

Wäre Cool wenn wir jemanden in unseren Reihen hätten der sowohl die IT Seite wie auch die Mängelhaftung aus rechtlicher Sicht proffessionell durchdringt...

[Ich warte auf den Tag andem irgendjemand nachweist, dass er durch Industriespionage geschädigt wurde, die durch eine für die US Regierung eingebaute Hintertür in seine Infrastruktur möglich wurde... DAS wird ein Spass...]

Es gab keinen Einfluss "von Aussen" - es haben sich keine Gesetze und keine Naturgesetze plötzlich geändert sondern der Mangel war Produktionsbedingt. Es war auch kein Softwarebug. Das Unterscheidet ihn von allem bisher dagewesenen. Es ist halt mal echt in Hardware (und nichtmal Microcode...).


Doch hier gab es einen Einfluß von Außen. Der Mangel war vorher vollkommen unbekannt. Hier wurde also kein kaputtes Produkt gebaut, sondern es wurde nach dem Bau festgestellt, das ein bestimmtes Problem auftreten kann. Intel kann aber jederzeit sagen, das das Produkt zum Design- und zum Kaufzeitpunkt nach bestem Wissen und Gewissen Stand der Technik war.

Anderes Beispiel: Man entdeckt in der Materialforschung plötzlich, das irgendwas krebserregend ist - und schließt dann das Material X aus. Das ergibt keine Regresspflichten für diejenigen, die bisher dieses Material eingesetzt haben. In aller Regel bekommen die sogar großzügige Übergangsfristen, weil niemand auf die schnelle alles ändern kann. Siehe Intel - die können auch nicht morgen eine Architektur aus dem Hut zaubern, wo alles von Haus aus gefixt ist.

Intel kann aber jederzeit sagen, das das Produkt zum Design- und zum Kaufzeitpunkt nach bestem Wissen und Gewissen Stand der Technik war.
War es, vereinfacht gesprochen, nicht so das Intel Abfragen ala "darf xyz auf abc zugreifen?" erst nach dem Zugriff durchgeführt hat und danach dann verwirft? Kann sowas Stand der Technik sein, oder habe ich das damals falsch aufgefasst?

War es, vereinfacht gesprochen, nicht so das Intel Abfragen ala "darf xyz auf abc zugreifen?" erst nach dem Zugriff durchgeführt hat und danach dann verwirft? Kann sowas Stand der Technik sein, oder habe ich das damals falsch aufgefasst?
Eigentlich ist es noch etwas schlimmer: Intel führt den Zugriff durch ohne zu prüfen und dann kann eine Zeit X ins Land gehen bis die CPU merkt, dass sie gar nicht hätte dürfen... Und in dieser Zeit kann man auf die Daten zugreifen...

Meiner Ansicht nach kann man das Argument "Stand der Technik" damit entkräften, dass es Gegenbeispiele gibt... Bei nur zwei Herstellern von Desktop CPUs sollte ein Gegenbeispiel eigentlich reichen um das zu wiederlegen ;)

Das tückische an der Lücke ist doch, dass man gar nicht Nachweisen kann dass sie Ausgenutzt wurde ! Daher ist es IMHO auch eine reine Spekulation dass nur Rechenzentren betroffen oder gefährdet seien.
Im Prinzip kann ich doch als Lieschen Müller (sofern ich überhaupt was davon gehört habe) nicht mehr ruhig in irgend einem Browser (oder anderen Programm) mein PW eintippen ohne mich zu fragen ob da grad irgendwer mithört... Das ist eigentlich per se schon unzumutbar...

Eigentlich ist es noch etwas schlimmer: Intel führt den Zugriff durch ohne zu prüfen und dann kann eine Zeit X ins Land gehen bis die CPU merkt, dass sie gar nicht hätte dürfen... Und in dieser Zeit kann man auf die Daten zugreifen...

Nein, das stimmt so nicht. Die Tätigkeiten des Prozessors hinterlassen Spuren im Cache und aufgrund nachfolgender Verhalten / Timings kannst du dann Rückschlüsse darauf ziehen, was die CPU da eigentlich getan hat. Darum nennt man es auch Seitenkanal-Angriff. Das Verfahren selbst funktioniert korrekt. Nur hinterlassen sie zu viele Spuren.

Das ist wie als wenn du die Strahlung des Prozessors bei der Erzeugung eines Keys misst, um dann zurückzurechnen welche Befehle dabei ausgeführt wurden um an den Key zu kommen. Du konntest durch einen Seitenkanal die Daten nachbilden. Aber auf die tatsächlichen Daten selbst hattest du keinen Zugriff.

Meiner Ansicht nach kann man das Argument "Stand der Technik" damit entkräften, dass es Gegenbeispiele gibt... Bei nur zwei Herstellern von Desktop CPUs sollte 1/2 eigentlich reichen um das zu wiederlegen ;)

Damit unterschlägst du nur leider alle anderen betroffenen CPU-Hersteller. Nur weil es für dich nur x86er gibt, heißt es nicht, dass der Rest nicht existiert ;)

Damit unterschlägst du nur leider alle anderen betroffenen CPU-Hersteller. Nur weil es für dich nur x86er gibt, heißt es nicht, dass der Rest nicht existiert ;)
Willst du jetzt Handy-SOCs mit Desktop CPUs gleichsetzen ? Kann man machen ... Muss man aber nicht... In der Tat sind auch ARM etc. betroffen nur sind das meist auch geschlossene Systeme was es dann IMHO noch eher verzeihlich macht...

Willst du jetzt Handy-SOCs mit Desktop CPUs Vergleichen ? Kann man machen ... Muss man aber nicht... In der Tat sind auch ARM etc. betroffen nur sind das meist auch geschlossene Systeme was es dann IMHO nicht ganz so schlimm macht...

Was ändert sich denn an der Schwere der Lücken, nur weil das System geschlossener ist? Ob ein Browser-Skript meinen Passwortmanager auf Windows, Linux, macOS, Android oder iOS ausliest, ist doch vollkommen egal oder?

Nein, das stimmt so nicht. Die Tätigkeiten des Prozessors hinterlassen Spuren im Cache und aufgrund nachfolgender Verhalten / Timings kannst du dann Rückschlüsse darauf ziehen, was die CPU da eigentlich getan hat. Darum nennt man es auch Seitenkanal-Angriff. Das Verfahren selbst funktioniert korrekt. Nur hinterlassen sie zu viele Spuren.

Das ist wie als wenn du die Strahlung des Prozessors bei der Erzeugung eines Keys misst, um dann zurückzurechnen welche Befehle dabei ausgeführt wurden um an den Key zu kommen. Du konntest durch einen Seitenkanal die Daten nachbilden. Aber auf die tatsächlichen Daten selbst hattest du keinen Zugriff.

Ist imho spitzfindig... Hier ist nicht der Thread um das technisch in der Tiefe zu durchleuchten sondern es war ne vereinfachte Antwort auf eine als vereinfacht gekennzeichnete Frage...
Und der Unterschied zu Strahlung ist: Ich brauche KEIN extra Messgerät dafür und keinen PHYSISCHEN lokalen Zugriff...

Was ändert sich denn an der Schwere der Lücken, nur weil das System geschlossener ist? Ob ein Browser-Skript meinen Passwortmanager auf Windows, Linux, macOS, Android oder iOS ausliest, ist doch vollkommen egal oder?
Ich sagte verzeihlicher - nicht verzeihlich. Bei einem geschlossenen System kann man eher mal "schlampern" weil ein Exploit normalerweise schwerer - oder gar nicht - von aussen drauf zu bekommen ist... Ausserdem sind Lücken leichter zu schliessen wenn alles aus einer Hand kommt... Ist aber ne sehr subjektive Sichtweise - geb ich zu...

Naja, wenn du vor hast Intel dafür zu verklagen, dann solltest du halt nicht mit solchen Argumenten kommen. Wenn du da groben Unsinn behauptest oder dich auf Hörensagen beziehst, dann kommst du da keinen Meter weit. Gerade wenn du behaupten willst, Intel sei der einzig betroffene Hersteller, nur weil du für dich den Rest der Welt ignorierst.

Darum kann ich nur wiederholen: Imo ist der einzige wirklich minimal erfolgsversprechende Versuch die Sache mit Hyperthreading. Alles andere hat viel zu viele wenn und abers. Aber auch die HT Geschichte für dich als Anwender auch eher fragwürdig. Betrifft halt eher Cloud/VM Anbieter.

Naja, wenn du vor hast Intel dafür zu verklagen, dann solltest du halt nicht mit solchen Argumenten kommen. Wenn du da groben Unsinn behauptest oder dich auf Hörensagen beziehst, dann kommst du da keinen Meter weit. Gerade wenn du behaupten willst, Intel sei der einzig betroffene Hersteller, nur weil du für dich den Rest der Welt ignorierst.

Darum kann ich nur wiederholen: Imo ist der einzige wirklich minimal erfolgsversprechende Versuch die Sache mit Hyperthreading. Alles andere hat viel zu viele wenn und abers. Aber auch die HT Geschichte für dich als Anwender auch eher fragwürdig. Betrifft halt eher Cloud/VM Anbieter.
Zunächst nochmal: Ich will nicht "Intel verklagen"... Ich will meinen Händler wegen eines Sachmangels in die Pflicht nehmen... Ich will auch keinen Schadensersatz sondern eine Wandlung / Rückabwicklung...

Ich sage ja auch gar nicht dass es eine sichere Sache ist. Da gibt es ganz viel was einfach Auslegungssache ist.
Es ist aber auch nicht Aussichtslos...

Hast du eine Hyperthreading-CPU? Dann schreib deinen Händler an, dass du dich jetzt gezwungen siehst dies abschalten zu müssen und das von Intel nicht behoben wird, auch keine Reparatur möglich ist. Darum willst du dein Geld zurück. Dann wartest du auf die Antwort.

Da braucht es doch noch keinen Anwalt...

Hast du eine Hyperthreading-CPU? Dann schreib deinen Händler an, dass du dich jetzt gezwungen siehst dies abschalten zu müssen und das von Intel nicht behoben wird, auch keine Reparatur möglich ist. Darum willst du dein Geld zurück. Dann wartest du auf die Antwort.

Da braucht es doch noch keinen Anwalt...
Ja... Habe eine von denen die von Zombieload betroffen ist...
Und doch braucht man... Denn der Händler will das nicht einsehen ...

Zuerst bestand er darauf 3 mal Nachbessern zu dürfen... Nachdem ich ihm mitgeteilt hatte dass Nachbesserung a) durch ihn wohl kaum möglich ist und b) eher aussichtslos und somit nicht zumutbar ist hat er mich an Intel verwiesen. Dann habe ich ihm mitgeteilt, dass Intel nicht mein Ansprechpartner bei Mängelhaftung ist sondern er... Und dann hat mir seine Rechtsabteilung geschrieben dass es aus iherer Sicht für mich als "normalen" Endanwender kein Problem gibt... Darauf hin habe ich ihm mitgeteilt, dass ich das nach Rechtsberatung durch meine RV nicht so sehe und das an einen Anwalt übergebe falls er nicht einlenkt... Hat er nicht, die RV hat mir einen Anwalt zugewiesen (wenn ich mir selbst einen ausgesucht hätte hätte ich Selbstbehalt zahlen müssen) der hat dem Händler nochmal etwas blumiger das selbe Geschrieben und da stehen wir jetzt...
Ich hoffe auf ne Lösung auf "Kullanz" - aber falls die nicht kommt hoffe ich mal das meine RV nicht einknickt weil ich das tatsächlich gerne klären lassen würde...

Ich denke aus rechtlicher Sicht ist das ganze Ding ein durchaus spannendes Thema... Es wundert mich, dass man so wenig davon hört... Wie gesagt: Ich bin doch nicht der einzige der sich in den letzten 1,5 Jahren ne Intel CPU gekauft hat - und sicher nicht der einzige "Spinner" der da einen Sachmangel sieht und bereit war das nem Anwalt zu übergeben... (egal ob es nun Tatsächlich einer ist...)

Dass du diese Diskussion schon durch hast, hättest du durchaus erwähnen können und das Ganze nicht so auf theoretischer Ebene abhandeln. Aber es bleibt dabei. Deine beste Chance ist die Sache mit dem Hyperthreading. Auf alles andere würde ich persönlich verzichten. Da kommst du mMn nicht sehr weit.

Ich sagte verzeihlicher - nicht verzeihlich. Bei einem geschlossenen System kann man eher mal "schlampern" weil ein Exploit normalerweise schwerer - oder gar nicht - von aussen drauf zu bekommen ist...

Ist nur leider eine komplette Falschannahme, weil das Ausnutzen dieser Lücken stark auf das Parsing von Programmen wie Browsern abzielen dürfte, wofür es keine Rolle spielt, wie offen oder geschlossen eine Plattform ist.
Außerdem machen zig Leute Transaktionen mit Smartphone oder Tablet. Ich sehe überhaupt nicht, warum man hier zwischen Mobile und Desktop unterscheiden sollte.

Ich sehe überhaupt nicht, warum man hier zwischen Mobile und Desktop unterscheiden sollte.

Imo ist der mobile Bereich theoretisch sogar kritischer, da hier global gesehen nur ein winzig kleiner Bruchteil mit gepatchten System arbeiten. Die Meisten sehen die ganzen Patches der Hersteller nicht. Dies ist bei einem Desktop-PC eher seltener der Fall, da hier die Patches in der Regel auch ankommen.

Einzig puffernder Faktor bei ARM SoCs ist, dass verdammt viele Telefone und Tablets mit ARM A53 o.ä. CPUs betrieben werden, die immun dagegen sind.

Dass du diese Diskussion schon durch hast, hättest du durchaus erwähnen können und das Ganze nicht so auf theoretischer Ebene abhandeln. Aber es bleibt dabei. Deine beste Chance ist die Sache mit dem Hyperthreading. Auf alles andere würde ich persönlich verzichten. Da kommst du mMn nicht sehr weit.
Naja ich hab doch im Eingangsposting stehen dass ich mit Anwalt drann bin...
Abgesehen davon solls hier nicht um mich im speziellen gehen sondern um die allgemeine Sachlage...
Ich selbst steuere allerdings gerne an Infos dazu was sich ergibt - wenn ich kann/darf...

Ist nur leider eine komplette Falschannahme, weil das Ausnutzen dieser Lücken stark auf das Parsing von Programmen wie Browsern abzielen dürfte, wofür es keine Rolle spielt, wie offen oder geschlossen eine Plattform ist.
Außerdem machen zig Leute Transaktionen mit Smartphone oder Tablet. Ich sehe überhaupt nicht, warum man hier zwischen Mobile und Desktop unterscheiden sollte.
Das wiederum deckt sich aber überhaupt nicht mit dem hier immer wieder gesagten „es sind doch nur Rechenzentren und Cloud Anbieter“ betroffen - aber keine normal sterblichen.... - ja was denn nun?

Naja ich hab doch im Eingangsposting stehen dass ich mit Anwalt drann bin...

Bei allem anderen steht aber, dass ein Händler so argumentieren _könnte_, nicht, dass er schon hat. Aber ist ja jetzt auch egal.

Das wiederum deckt sich aber überhaupt nicht mit dem hier immer wieder gesagten „es sind doch nur Rechenzentren und Cloud Anbieter“ betroffen - aber keine normal sterblichen.... - ja was denn nun?

Wie du es halt drehen willst. Für einen 08/15 Anwender sind nur wenige Lücken wirklich relevant. Alle anderen benötigen eine sehr lange laufende Software auf dem anzugreifenden PC. Wenn du aber schon in der Lage warst eine Software auf dem entsprechenden PC auszuführen, brauchst du auch die Lücken nicht. Die hast dann bereits alle Rechte die du brauchst.

Mobilgeräte sind hier aber anders. Eine 08/15 Anwendung hat anfänglich kaum Rechte. Diese Lücken helfen, aus diesem Gefängnis auszubrechen und auch auf andere Sachen zuzugreifen. Zeit hat sie in der Regel auch genug.

Oder in kurz: Normale PC-Betriebssysteme sind eh schon so unsicher gestaltet, dass die Ausnutzung der Lücke auf anderen Lücken basiert und somit diese Lücke irrelevant wird. Das ist im Mobile und auch Cloud/VM Bereich halt nicht so.

Bei allem anderen steht aber, dass ein Händler so argumentieren _könnte_, nicht, dass er schon hat. Aber ist ja jetzt auch egal.



Wie du es halt drehen willst. Für einen 08/15 Anwender sind nur wenige Lücken wirklich relevant. Alle anderen benötigen eine sehr lange laufende Software auf dem anzugreifenden PC. Wenn du aber schon in der Lage warst eine Software auf dem entsprechenden PC auszuführen, brauchst du auch die Lücken nicht. Die hast dann bereits alle Rechte die du brauchst.

Mobilgeräte sind hier aber anders. Eine 08/15 Anwendung hat anfänglich kaum Rechte. Diese Lücken helfen, aus diesem Gefängnis auszubrechen und auch auf andere Sachen zuzugreifen. Zeit hat sie in der Regel auch genug.

Oder in kurz: Normale PC-Betriebssysteme sind eh schon so unsicher gestaltet, dass die Ausnutzung der Lücke auf anderen Lücken basiert und somit diese Lücke irrelevant wird. Das ist im Mobile und auch Cloud/VM Bereich halt nicht so.
Hmm... das letzte Argument lasse ich nicht gelten denn danach wären alle Anstrengungen per se vergebens solange Menschen Computer bedienen...

In Zeiten in denen Webseiten Bitcoin Mining auf deinem Rechner auf deine (Strom)kosten machen sehe ich eine durchaus die Gefahr dass eine Webseite in Tab A Daten (also Passwörter und Email Adressen) von Tab B oder gar einer Anwendung die gerade läuft abgreift bzw das versucht... Wie gross muss das reale Risiko sein dass es klappt bevor es ein Mangel wird? Und wer legt das fest?
Oder jemand meine VM mit meinem kleinen Webserver/Cloudserver infiziert und dann aus der Vm raus Daten ausspäht... Also wo endet normale Nutzung? Wo beginnt die Gefahr selbst bei „normaler“ Nutzung...
Und darf man dem Käufer vorschreiben was normale Nutzung ist? Und diese dann nach dem Kauf (um)definieren?

Wer den Link den ich gepostet habe gelesen hat sieht - dass zB noch nichteinmal klar ist ob ein Hersteller der beim Beheben eines Mangels der vor dem Kauf bestand einen neuen Mangel erzeugt (der somit Nicht vor dem Kauf bestand) für diesen neuen Mangel in die Pficht genommen werden kann - und der alte Mangel ist dann ja behoben (Stichwort Gefahrenübergang).
Das sind spannende Themen!

In Zeiten in denen Webseiten Bitcoin Mining auf deinem Rechner auf deine (Strom)kosten machen sehe ich eine durchaus die Gefahr dass eine Webseite in Tab A Daten (also Passwörter und Email Adressen) von Tab B oder gar einer Anwendung die gerade läuft abgreift...

Browser haben allesamt ihre Timer-Genauigkeit gesenkt. Ein Angriff über den Browser ist jetzt relativ unwahrscheinlich.

Oder jemand meine VM mit meinem kleinen Webserver/Cloudserver infiziert und dann aus der Vm raus Daten ausspäht... Also wo endet normale Nutzung?

Darum sagte ich ja, ist HyperThreading quasi dein einziger Weg, wenn du so argumentierst. Alle anderen Lücken wurden von Intel gepatched. Nur Hyperthreading ist ein Punkt, der nur unzureichend per Update gefixt wurde. Die Wahrscheinlichkeit, dass du dadurch angegriffen wirst, ist zwar verschwindend gering, aber das sollte in dem Kontext egal sein.

Und ansonsten sind diese Lücken nunmal hauptsächlich ein Problem für Cloud/VM Anbieter, da man dadurch über VM Grenzen hinweg schnüffeln kann. Wenn der Server keinen unbekannten Code ausführt, kann man auch nicht betroffen sein.

Hier zB:
https://www.lto.de/recht/hintergruende/h/bgh-viiizr6617-sachmangel-gewaehrleistung-verhaeltnis-nacherfuellung-ersatzlieferung/
[...]
Denn selbst eine "herstelleramtliche" nachträgliche Information lässt, was in den Händen eines vorsichtigen Endverbrauchers als Mangel erscheint, nicht nachträglich wieder entfallen.
[...]
Verkäufer darf Mangel nicht nachträglich auf eigene Faust beseitigen
[...]

Und der Hersteller? Oder gar dritte? Das ist doch das was aktuell passiert...
Also wie das analoge Recht in der digitalen Welt angewendet wird scheint mir ein reines Glücksspiel...

Das wiederum deckt sich aber überhaupt nicht mit dem hier immer wieder gesagten „es sind doch nur Rechenzentren und Cloud Anbieter“ betroffen - aber keine normal sterblichen.... - ja was denn nun?
Das deckt sich problemlos: Die geringe Restwahrscheinlichkeit eines erfolgreichen Angriffs wird noch geringer.

Browser haben allesamt ihre Timer-Genauigkeit gesenkt. Ein Angriff über den Browser ist jetzt relativ unwahrscheinlich.

Gibt auch noch weitere Hardening-Maßnahmen. Sowohl für den Code selbst, als auch Compiler:
https://www.phoronix.com/scan.php?page=news_item&px=LLVM-SLH-Spectre-V1

Längst nicht alles ist wasserdicht, aber die Mitigations sind ja auch nur solche, und keine Fixes.

Hab gerade noch einen Artikel gefunden, der es aus rechtlicher Sicht durchleuchtet...
https://www.grammpatent.de/de/newsdetails/der-unsichere-prozessor-haftungsfragen-bei-konstruktiven-sicherheitsluecken-in-cpus.html


Festzuhalten bleibt somit, dass Sicherheitslücken, selbst wenn diese lange unerkannt gewesen sind, einen Mangel an einem IT-System darstellen und entsprechende Rechte für Käufer oder Mieter dieser Systeme begründen können. Sofern die Nacherfüllung sog. Folgemängel nach sich zieht, wie in der Form von Leistungseinbrüchen, können unter Umständen sogar ohne die vorherige Forderung nach Nacherfüllung der Rücktritt bzw. die Kündigung erklärt werden. Dies dürfte jedenfalls bei Leistungseinbrüchen von mehr als 5 % der Fall sein. Entsprechende Rechtsprechung hierzu existiert indes noch nicht.

Also die 5% reissen wir mittlerweile dann wohl... Auch ohne HT abzuschalten..
https://www.tomshw.de/2019/05/21/intel-verliert-5x-mehr-durchschnittliche-leistung-als-amd-durch-entschaerfung-der-schwachstellen/