Link zur News:
https://www.3dcenter.org/news/hardware-und-nachrichten-links-des-13-november-2019

Wieder kein Wort über die dutzende neue Sicherheitslücken bei Intel? Davon einige die angeblich schon gepatcht wurden, und das verhalten Intels damit?

Kein Wort, aber immerhin 2 Links dazu. Ich habe es mir von mehreren Seiten aus durchgelesen und bin nicht sicher, ob das zu etwas echtem taugt (außer einer Skandalisierung). Denn das Intel die Infos zurückhält, ist irgendwie normal, wenn man noch keinen Fix hat. Das dies dann zu einer Falschangabebei Cascade Lake SP führt, läßt sich kaum vermeiden - ansonsten würde man ja aufdecken, das da was zu holen ist. Der Sinn des Disclosure liegt aber gerade darin, dem Hersteller Zeit für einen Fix zu geben, während das Loch noch nicht allgemein bekannt ist.

So mein Eindruck nach dem Lesen. Wenn jemand was anderes liest oder meint, wo der Skandal offensichtlicher und unleugbar wird, dann nur her damit!

Der "Skandal" rührt wohl eher daher das Intel wohl augenscheinlich wider besseren Wissens damit geworben hat das Zombieload gefixt ist.
Diese auch als TSX Asynchronous Abort (TAA) bekannte Schwachstelle ist nach Aussage des Teams VUSec seit mehr als einem Jahr bekannt und noch immer nicht vollständig geschlossen.
Das dies dann zu einer Falschangabe bei Cascade Lake SP führt, läßt sich kaum vermeiden - ansonsten würde man ja aufdecken, das da was zu holen ist.
Hm...vielleicht einfach nicht damit extra WERBEN (https://www.heise.de/security/meldung/Scharfe-Kritik-an-Intels-spaeten-Sicherheitsupdates-4586019.html)?
In der Zwischenzeit hatte Intel sogar eine neue Generation von Serverprozessoren eingeführt, nämlich die zweite Generation der Xeon Scalable Processors (Xeon-SP Cascade Lake), die ebenfalls von TAA betroffen sind. Dabei hatte Intel jedoch den Eindruck erweckt, die wesentlichen Lücken durch Änderungen von Hardware und CPU-Microcode sowie durch Patches für Betriebssysteme geschlossen zu haben.

Ebenso kann ich nicht die Information über ein potenziell gefährliches Sicherheitsleck monatelang zurückhalten, mit dem Verweis dass die Zeit für koordinierte Gegenmaßnahmen gebraucht wird, wenn der Fix ein einfaches abschalten eines Features ist.
"Wir veröffentlichen sie jetzt, weil Intel die Zeit benötigte, um eine Gegenstrategie zu entwickeln", betonte Gruss.
Das ist lächerlich Intel:
TAA betrifft nämlich die speziellen Befehle der Transactional Synchronization Extensions (TSX, früher auch Transactional Memory genannt). Diese wurden vor allem für die Beschleunigung bestimmter Datenbanken entwickelt, sind nur bei bestimmten Prozessoren aktivierbar (vor allem für Server) und lassen sich oft per BIOS-Setup abschalten.

Falls TSX bei einem bestimmten Server oder PC trotzdem aktiv sind, lassen sie sich auch noch im Betriebssystem abschalten, bei Linux mit dem Bootparameter "tsx=off" und unter Windows (Server) per Registry-Eingriff.

Angesichts dieser simplen Schutzmaßnahmen für den wohl größten Teil der von TAA betroffenen Rechner ist es aber umso unverständlicher, dass Intel nicht früher darüber informiert hat. Das steht im Kontrast zum Anfang 2018 nach Bekanntwerden von Spectre und Meltdown veröffentlichten Versprechen "Sicherheit zuerst" (Security First Pledge).

Quellen:

Heise (https://www.heise.de/security/meldung/Scharfe-Kritik-an-Intels-spaeten-Sicherheitsupdates-4586019.html)
Intel (https://software.intel.com/security-software-guidance/software-guidance/intel-transactional-synchronization-extensions-intel-tsx-asynchronous-abort)
Der Standard (https://www.derstandard.de/story/2000111010493/grazer-forscher-entdeckten-neues-sicherheitsleck-bei-computerprozessoren)

Ok ... gute Zitate.

Einfach mal die Kommentare der Forscher dazu lesen, dann stößt man doch mit der Nase drauf, dass das wieder ein Intel typischer Dickmove ist.

Ich füge noch CB hinzu:

"Forscher sind sauer auf Intel

Die Forscher der VUSec der Universität Amsterdam, die TSX Asynchronous Abort (TAA) bereits im September 2018 fanden, sind deshalb sauer auf Intel. Der Konzern soll der Abwandlung von Zombieload nicht mit genügend Entschlossenheit begegnet sein, den Mai-Patch trotz besserem Wissens unvollständig veröffentlicht und weitere Informationen zurückgehalten haben. Auch versuchte Intel laut Medienberichten das Risiko anfangs herunterzuspielen, wollte dem Forscherteam im September 2018 beispielsweise lediglich 40.000 US-Dollar als Bounty auszahlen, berichtet Wired, erhöhten es später dann auf 80.000 und letztlich doch auf die volle Summe von 100.000 US-Dollar, die der Hersteller seit einiger Zeit öffentlich auslobt."

https://www.computerbase.de/2019-11/taa-mds-ridl-ng-intel-cpu-sicherheitsluecken/

Mit Skandalisierung hat das wenig zu tun.

Und der Vollständigkeit halber:
https://mdsattacks.com/

Man beachte die Timeline am Ende.

Man beachte die Timeline am Ende.
Ohja, die hatte ich vergessen auch noch mit reinzunehmen. Die kann sich so mancher mal unter die Nase reiben der das Treiben von Intel noch verteidigt. Das ist eigentlich eine Frechheit...

Ich verteidige hier sicherlich niemanden. Ich will es nur wirklich verstanden haben, ehe man solcherart Attacken reitet.

Ich verteidige hier sicherlich niemanden. Ich will es nur wirklich verstanden haben, ehe man solcherart Attacken reitet.
Warst auch nicht du gemeint, sondern wieder die üblichen Verdächtigen die schon überall aus ihren Löchern kommen. Naja, die leben wahrscheinlich in denselben Intel Sicherheitslöchern - genug gibt es ja ;D