Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

Wieso kommt Intel nicht mit Firmware/Microcode um die Ecke?
 
Auch wenn die praktischen Auswirkungen für die meisten Privatpersonen vermutlich eher gering sein dürften, ist das trotzdem ein ziemlich starkes Stück, was da schon wieder aus der Intel-Ecke kommt...
 
Au backe, das ist unschön.

Zum Leistungsverlust aus dem Computerbase-Artikel:
In kurzfristig durchgeführten eigenen Benchmarks konnte ComputerBase auf einem Notebook mit Intel Core i7-4600U in spontan lauffähigen einfachen Benchmarks der Phoronix Test Suite keine über die Messungenauigkeit hinausgehenden Leistungseinbußen feststellen [...]. Bei dem im Tweet in dieser News erwähnten Benchmark „time du -s -x /“ (also dem Aufsummieren der Größe aller Dateien auf dem Hauptdateisystem) konnten aber auch wir einen deutlichen Leistungseinbruch feststellen: Ohne PTI lieferte der Befehl in 0,64 Sekunden ein Ergebnis, mit PTI erst nach 0,82 Sekunden, das entspricht einer Leistungseinbuße von 28%. Dieser „Benchmark“ ist aber als Worst-Case zu bezeichnen [...].

Die weit verbreitete Datenbank PostgreSQL läuft einem Benchmark zu Folge mit PTI rund 7 Prozent langsamer. [...] Derweil gibt es weitere PTI-Benchmarks auf Phoronix, denen zu Folge es bei synthetischen Dateisystem-Benchmarks auf NVMe-SSDs dramatische Einbrüche um Faktor 2 und mehr gibt, deutliche Unterschiede im unteren zweistelligen Prozentbereich bei PostgreSQL- und Redis-Datenbanken und keine messbaren Unterschiede bei Encoding-Benchmarks wie FFmpeg und x264 sowie der Kernel-Kompilierung.

Die Gaming-affinen Leser von ComputerBase wird freuen, dass es in den Spiele-Benchmarks von Phoronix keine messbaren Leistungseinbußen gibt, sodass Gamer sich vermutlich entspannt zurücklehnen können – zumindest unter der Annahme, dass die Ergebnisse der Linux-Benchmarks auf Windows übertragbar sind, wovon man zunächst ausgehen sollte. So wie es aktuell aussieht könnten allenfalls die Ladezeiten durch PTI negativ beeinflusst werden.

Die Behauptung im Spiegel Online-Artikel, etliche Nutzer weltweit müssten mit einem PC leben, der um bis zu ein Drittel langsamer arbeitet als vorher, halte ich auf Basis dieser Informationen allerdings für ein wenig fragwürdig.
 
Und schon geht das Geschrei los...

Der Grund hierfür ist, dass das Problem den Berichten zufolge auf der untersten Verarbeitungsebene der Prozessoren, dem Kernel, zu finden ist.
Zitiert der Spiegel schon aus ComputerBild? :D

Auch wenn die praktischen Auswirkungen für die meisten Privatpersonen vermutlich eher gering sein dürften, ...

Der Kern des Problems ist einer Analyse von "The Register" zufolge, dass normale Programme den Chip-Fehler ausnutzen können, um auf Speicherbereiche des Prozessors zuzugreifen, in denen beispielsweise Passwörter, Login-Daten oder andere Dateien abgelegt werden
Die meisten Privatpersonen benutzen zum Glück keine normalen Programme :D
 
Zuletzt bearbeitet:
und am Ende gewinnt Intel: es wird neue Chipsätze für Mainboards und neue CPU's geben, also wird jeder der kann sich die neuere Generation kaufen...
 
und am Ende gewinnt Intel: es wird neue Chipsätze für Mainboards und neue CPU's geben, also wird jeder der kann sich die neuere Generation kaufen...

Naja, vielleicht kann das wenigstens (auch) AMD für sich nutzen:

"AMD-Prozessoren sind nicht betroffen"
 
Die meisten Privatpersonen benutzen zum Glück keine normalen Programme :D
Ich bin hier von einem gepatchten System ausgegangen - was ich damit sagen wollte, war also: Dem durchschnittlichen Anwender dürften ein paar Prozent Leistungsverlust hier und da kaum auffallen. (Genauso, wie viele Betroffene vermutlich auch nicht mitbekommen, wenn Microsoft die Lücke via Update stopft.)

Die Lücke an sich betrifft natürlich jedes System mit entsprechender Intel-CPU.

Aber die Geschichte scheint sich ja noch zu entwickeln, also warten wir mal ab, was da noch so kommt... :)
 
Heise kam um 13:51 Uhr damit rüber.

Zur Performance-Einbuße:
Die ursprünglichen KAISER/KPTI-Entwickler erwähnen in ihrem Whitepaper eine um 0.28 Prozent erhöhte Laufzeit; die Linux-Entwickler ermittelten Werte um die fünf Prozent.
Mal sehen, wie groß diese unter Windows wirklich sein wird...
 
ComputerBase.de - Intel hat sich zu der angeblichen Sicherheitslücke geäussert und eine Stellungsnahme abgegeben.

Update 03.01.2018 22:25 Uhr

In einer offiziellen Stellungnahme hat Intel am Abend Berichten, denen zufolge die Sicherheitslücke auf einen Fehler in den eigenen Prozessoren zurück zu führen ist, widersprochen. Der Konzern erklärt: „Jüngste Berichte, denen zufolge die Exploits auf „Fehler“ oder „Schwachstellen“ zurück zu führen und nur Produkte von Intel betreffen, sind nicht korrekt.“ Auf Basis der bisher stattgefundenen Analyse sei vielmehr davon auszugehen, dass auch die Produkte anderer Hersteller betroffen sind.

Grundsätzlich, so Intel, sei das Problem kleiner als angenommen: Dass entsprechende Exploits das Potential haben Daten zu korrumpieren, zu modifizieren oder zu löschen, glaubt Intel jedenfalls nicht.

Der Konzern arbeite trotzdem bereits „mit vielen anderen Technologie-Unternehmen – darunter AMD und ARM sowie verschiedene Betriebssystem-Anbieter – an einer industrieweiten Lösung, die die Angelegenheit kurzfristig und zielführend löst“.

Intel habe mit der Auslieferung entsprechender Software- und Firmware-Updates schon begonnen. Und entgegen anders lautender Berichte sei deren Auswirkung auf die Leistung „für den Durchschnittsanwender nicht signifikant und mit der Zeit zu vernachlässigen“.

Apple soll bereits mit dem Anfang Dezember 2017 veröffentlichten Update auf macOS 10.13.2 erste Vorkehrungen getroffen haben, um die Lücke zu schließen, erklärt Alex Ionescu via Twitter. Und für macOS 10.13.3 seien weitere Maßnahmen geplant. Die Updates wären also in etwa gleichzeitig mit Verteilung erster abgesicherter Insider Previews von Windows 10 verteilt worden.

Intel Responds to Security Research Findings
 
Dass Intel die Geschichte herunterspielt, war zu erwarten (welches Unternehmen würde das an dieser Stelle nicht tun?), und dass die Auswirkungen für den "Durchschnittsanwender" eher unbedeutend sind, hat sich auch schon relativ schnell abgezeichnet. Insofern erstmal keine überraschenden Neugikeiten.

Interessant könnte allerdings noch werden, wie das im Server-Bereich aussehen wird, denn dort hat die Lücke bzw. evtl. Performance-Einbußen durch deren Schließen (wenn auch nur in spezifischen Szenarien) naturgemäß eine deutlich größere Relevanz.
 
ComputerBase.de - AMD und Google haben sich mittlerweile auch zu dieser Thematik geäussert.

Update 03.01.2018 23:51 Uhr

Gegenüber CNBC hat AMD sich so geäußert, dass es um insgesamt drei Probleme gehe und dass AMD-CPUs „nicht von allen drei Problemen betroffen“ seien. AMD hat also nicht gesagt, dass man von keinem der drei Probleme betroffen sei. Die Aussage von AMD legt den Schluss nahe, dass die AMD-CPUs betreffende Variante des Problems mehr oder weniger deutlich schwerer auszunutzen ist („near zero risk“):

To be clear, the security research team identified three variants targeting speculative execution. The threat and the response to the three variants differ by microprocessor company, and AMD is not susceptible to all three variants. Due to differences in AMD's architecture, we believe there is a near zero risk to AMD processors at this time.
AMD
Auch Google hat mittlerweile eine Stellungnahme veröffentlicht und sagt darin unmissverständlich, dass sowohl Produkte von Intel als auch Produkte von AMD und ARM betroffen seien – sagt aber nichts dazu, ob das im selben Umfang der Fall ist. Unabhängig davon sind somit jetzt auch Smartphones potenziell betroffen, laut Google gibt es für die ARM-Architektur aber zum jetzigen Zeitpunkt keinen funktionierenden Exploit. In jedem Fall auf der sicheren Seite seien Android-Smartphones und -Tablets, auf denen die Sicherheitsupdates von Januar 2018 installiert wurden.
Zeitgleich hat Google die anscheinend vollständigen Details zu den drei Problemen im Project Zero Blog veröffentlicht. Demnach begann die Zusammenarbeit zur Behebung schon im Juni 2017. Die Bugs wurden auf die Namen Meltdown und Spectre getauft, letzteren gibt es in zwei Varianten.

Update 04.01.2018 00:20 Uhr

Google hat die vollständigen Details zu den drei Problemen im Project Zero Blog veröffentlicht. Die Bugs wurden auf die Namen Meltdown und Spectre getauft, wobei es letzteren in zwei Varianten gibt. Von Meltdown sind nach jetzigem Kenntnisstand nur Intel-CPUs betroffen – und zwar alle seit 1995 ausgelieferten Intel-CPUs mit Ausnahme von Itanium und den vor 2013 produzierten Atom-CPUs. Meltdown ist die Sicherheitslücke, die mittels Page-Table-Isolation (PTI) gelöst werden kann.

Spectre betreffe hingegen praktisch alle relevanten CPUs von Intel über AMD bis hin zu ARM und sei zwar schwerer auszunutzen aber auch schwerer zu beheben. Offenbar kann Spectre nicht an zentraler Stelle mitigiert werden, sondern viele Anwendungen müssen einzeln angepasst werden. Beispielsweise wird Chrome 64 entsprechende Änderungen enthalten. Die Sicherheitsforscher prophezeien, dass Spectre Entwickler noch einige Zeit beschäftigen werde: „As it is not easy to fix, it will haunt us for quite some time.“
 
Zuletzt bearbeitet:
Interessanterweise gab es um Weihnachten herum ein BIOS-Update für mein P51: https://pcsupport.lenovo.com/us/en/...HINKPAD-P51-TYPE-20HH-20HJ/downloads/DS121296



CVE-2017-5715 ist laut den Google-Forschern eine offizielle Bezeichnung des Spectre-Bugs.

Spannende Geschichte, mal sehen wie sich das weiter Entwickelt. Ich denke aber nicht, dass wirklich Panik angebracht ist.

Ich denke schon das echte Panik angebracht ist! Wir reden hier von einem 23 Jahre alten Bug - der jetzt versucht wird durcht software zu lösen. D.h. ich müsste jetzt meinen KC86 aus dem Keller ziehen!


Wer ironie findet darf sie gern behalten ;)
 
Interessanterweise gab es um Weihnachten herum ein BIOS-Update für mein P51

Fürs T460s ebenfalls (released 2017/12/27) - wäre interessant zu wissen was Lenovo hier "enhanced" hat und in wie weit das die Sicherheitslücken schließen kann... So wie die Berichterstattung bisher aussieht hatte ich eher den Eindruck als ob sich das Problem nicht einfach mit einem Microcode-Update beheben ließe (sonst hätten wohl nicht alle drei großen OS das Problem mit solcher Priorität in Software umgangen).
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben