Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

Ob in den letzten BIOS-Updates bereits ein Patch für dieses Problem enthalten war oder nicht, laut PC-Welt sagt Intel zumindest, dass es hierfür (auch) Microcode-Updates geben wird. Außerdem sei durch die Lücke der Zugriff lediglich lesend möglich, gelöscht oder verändert werden können soll dabei nichts.
 
Außerdem sei durch die Lücke der Zugriff lediglich lesend möglich, gelöscht oder verändert werden können soll dabei nichts.
Um Passworte auslesen zu können reicht das auch schon.

Nicht ganz nachvollziehbar ist, warum das Problem erst jetzt erkannt wird: Sicherheitsexperten wie z.B. die von qubes os hätten doch den Angriffsvektor deutlich früher erkennen müssen, da sie sich mit Virtualisierung und der damit verbundenen Trennung von Betriebssystemen (und Prozessen) schwerpunktmäßig (security by compartmentalization) beschäftigen.
 
Microsoft hat einen ersten ausserplanmässigen Hotfix veröffentlicht.

https://www.computerbase.de/downloads/betriebssysteme/windows-10-kumulatives-update/


Ob wirklich alles drei Bugs per Microcode Updates zu eliminieren sind, wird sich noch zeigen.

Linus Torvalds zeigt sich jedenfalls wenig begeistert von der Stellungsnahme von Intel:
Why is this all done without any configuration options?

A *competent* CPU engineer would fix this by making sure speculation
doesn't happen across protection domains. Maybe even a L1 I$ that is
keyed by CPL.

I think somebody inside of Intel needs to really take a long hard look
at their CPU's, and actually admit that they have issues instead of
writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be
written with "not all CPU's are crap" in mind.

Or is Intel basically saying "we are committed to selling you shit
forever and ever, and never fixing anything"?

Because if that's the case, maybe we should start looking towards the
ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities:

- Intel never intends to fix anything

OR

- these workarounds should have a way to disable them.

Which of the two is it?
 
Zuletzt bearbeitet:
Frage mich wie das mit etwaigen Schadensersatzansprüchen aussieht. Könnte man nicht einfach sagen, man hätte eine fehlerhafte Hardware verkauft bekommen und möchte diese nun ersetzt haben (vor allem, wenn auch noch in der Garantiezeit)?
 
Glaube ich eher nicht. Betrifft ja nicht nur ausschliesslich Intel.

Sieht man sich bspw. die Beiträge zu AMD Vega an, so scheinen die Primitive Shader wegen eines Hardwarebugs nicht zu laufen und werden es wohl auch nie mit dem jetzigen Vega 10-Chip.
 
Aber nur weil es neben Intel auch andere Hersteller betrifft, wird das Ganze dadurch nicht besser. Offenbar lässt sich die Sicherheitslücke nicht vollständig durch Software-Updates beheben, sondern nur durch einen Hardware-Wechsel. Wenn ich also noch Garantie auf ein Produkt habe, hat man dann nicht das Recht auf Beseitigung der Mängel und in dem Fall wäre das ein Austausch der Hardware?
 
Nur gibt es derzeit keine entsprechenden Intel-CPUs, welche sich da tauschen liessen. Jede dieser CPUs ist ja von den Bugs betroffen, selbst jene, welche derzeit in der Fertigungsphase stecken (ausser die Itaniums und die vor 2013 produzierten Atoms, welche die Bugs nicht haben).
 
Update bei Heise:
Um die Kompatibilität ihrer Antiviren-Produkte mit dem Sicherheitsupdate zu dokumentieren, müssen die Hersteller einen bestimmten Registry-Key in Windows setzen; Microsoft dokumentiert dies in seinem Support-Hinweis. Einige Antiviren-Hersteller, etwa Kaspersky oder Avast, haben schon reagiert und Updates bereitgestellt oder sie für den 9. Januar angekündigt. Microsoft warnt ausdrücklich davor, das Windows-Update zu installieren, solange nicht kompatible Antiviren-Software eingesetzt wird.

Inzwischen wurde bekannt, dass der Chef von Intel seine Felle davon schwimmen sieht. Mal sehen, ob er noch wegen Insider-Geschfäften belangt wird:
...
Intel-Chef verkaufte hunderttausende Aktien

Intel-Chef Brian Krzanich verkaufte einige Monate, nachdem Intel von Google über die Prozessorlücke informiert wurde, hunderttausende Intel-Aktien und verblieb nur noch mit seinem Pflichtanteil. (Bild: Intel)

Für Diskussionen sorgt derweil der massive Aktienverkauf von Intel-Chef Brian Krzanich, der am 29. November 2017 Intel-Aktien im Wert von 24 Millionen US-Dollar abstieß. Damals war der Öffentlichkeit die Sicherheitslücke noch nicht bekannt...
Heise
 
Zuletzt bearbeitet:
Frage mich wie das mit etwaigen Schadensersatzansprüchen aussieht. Könnte man nicht einfach sagen, man hätte eine fehlerhafte Hardware verkauft bekommen und möchte diese nun ersetzt haben (vor allem, wenn auch noch in der Garantiezeit)?
Ich bin da kein Fachmann, aber ich glaube, bei Schadensersatzansprüchen ist relevant, wie sehr das Produkt von den zugesagten Eigenschaften abweicht.
Und ob diese Sicherheitslücke ausreichend ist, müsste letztlich wohr ein Gericht entscheiden. Die leistungseinbußen durch die anstehenden patches kann man ja durch Deaktivieren der Patches umgehen, das wird also wohl nicht gelten.
 
Eine interessante Entwicklung, die ich heute hauptsächlich auf CB mitverfolgt habe. Tatsächlich aber ist noch gar nicht klar, in welcher Form diese Lücken geschlossen werden. Mehrfach sprechen Intel, AMD und auch die Fachpresse von versch. Stellschrauben: von OS-Updates über Programmupdates (z.B. Chrome) bis hin zu Firmware/Microcode-Updates.

Habe soeben das "emergency update" von Win 10 durchlaufen lassen. PC startet noch ;)

Interessanter wird es mit dem T61, weil es laut mehreren Berichten mehr Performance-Einbußen gibt, je älter die CPUs sind.

Daher die Frage in die Runde... dieses Update gibt es auch für Win 7 und Linux: wo sind die Leute mit sehr alten Thinkpads, die dieses Update einspielen? Gibt es hier merkbare Leistungsverluste?
 
Warten wir mal ab.. noch sehe ich für Win 8.1 kein Update. Evtl. nochmal schnell Benchmarks laufen lassen vorher.
 
ComputerBase.de - Update 8

Update 04.01.2018 21:29 Uhr

Äußerung zu Leistungseinbußen und Klarstellungen von Google


In einem neuen Blog-Eintrag hat Google eigene Erfahrungen mit den Leistungseinbußen sowie Klarstellungen zu den drei Problemvarianten veröffentlicht. Man habe sowohl Page-Table Isolation (PTI) als auch eine Spectre-Gegenmaßnahme namens Retpoline, die seit heute auch von den Linux-Entwicklern diskutiert wird, auf allen Google-Servern (u.a. Search, Gmail, YouTube und Cloud Platform) eingespielt und anschließend nur vernachlässigbare („negligible“) Leistungseinbußen festgestellt. Jene könnten natürlich von Fall zu Fall abweichen, die Ergebnisse mancher Microbenchmarks seien aber mitnichten auf reale Anwendungen übertragbar.

Darüber hinaus hat Google ein paar Klarstellungen zu den drei Problemvarianten veröffentlicht. Klar ist der Fall bei Meltdown („Variant 3“): Von dieser einfach ausnutzbaren aber auch relativ einfach behhebbaren Sicherheitslücke sind ausschließlich Intel-CPUs betroffen und die PTI-Patches für Linux bzw. das heute veröffentlichte Windows-Update sorgen für Abhilfe.

Bei Spectre („Variant 1“ und „Variant 2“), wovon auch CPUs von AMD und ARM betroffen sind, ist die Sache komplizierter. „Variant 1 (bounds check bypass)“ könne nur entgegengewirkt werden, indem jede betroffene Anwendung einzeln angepasst wird. Deshalb werden beispielsweise Google Chrome und Firefox die weiter oben beschriebenen Updates erhalten. „Variant 2 (branch target injection)“ könne durch Microcode-Updates des CPU-Herstellers oder durch die neue „Retpoline“-Technik mitigiert werden. Jene könne dazu in betroffene Betriebssysteme, Hypervisors, Systemprogramme, Bibliotheken und Anwendungen eingebaut werden.
 
Und so läuft es ja auch schon: T460s und P51 z.B. haben ja bereits Ende Dezember BIOS-Updates erhalten, die CVE-2017-5715 (=Variant 2) patchen sollen und Firefox hat heute ein Security-Update diesbezüglich erhalten. Mal sehen, wann Lenovo BIOS-Updates für andere Maschinchen ausliefert. Vor allem hoffe ich mal, dass Ubuntu auch die Kernel für 16.04 patchen wird oder, wenn das nicht so einfach machbar ist, wenigstens den gepatchten Kernel 4.14 dafür bereitstellen wird.
 
Mal sehen, wann Lenovo BIOS-Updates für andere Maschinchen ausliefert.
Für mein Yoga 260 gab es am 27.12.2017 ebenfalls ein entsprechendes Update. Ich werde morgen früh mal versuchen, eine Liste der Updatelinks zusammenzustellen, da es von Lenovo selbst noch keine derartige Übersicht zu geben scheint.
 
Ja, für alle gibt es die leider noch nicht. Zumindest fürs T460 und T460p bisher nicht.

Korrektur: Gerade nochmal geschaut, fürs T460 gibt's auch inzwischen eins. fürs kleine p allerdings noch nicht.
 
Zuletzt bearbeitet:
Ich habe im Wiki mal mit einer Liste angefangen und befülle diese gerade noch mit einer Auswahl aktueller Modelle. Sobald ich damit durch bin, stelle ich den Link hier rein, dann kann das gerne noch ergänzt werden.
 
Von Lenovo gibt es mittlerweile ein Security Advisory zu dem Thema inkl. einer Liste mit betroffenen Systemen der neueren Generationen (bis zur Generation Tx30): https://support.lenovo.com/us/en/solutions/LEN-18282

Dort sind auch zugehörige BIOS-Updates verlinkt, die die Lücke CVE-2017-5715 (Spectre 2) beheben - bzw. wenn noch kein Update verfügbar ist, ein Datum zur voraussichtlichen Verfügbarkeit.
 
Dann kann ich mir das ja sparen :) Wenn ich das richtig sehe, ist bei Lenovo jeweils nur das Update Utility verlinkt, Linux-User müssen sich den Link zur ISO also selbst heraussuchen bzw. zusammenbasteln.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben