Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

Lesestoff:

MeltdownPrime & SpectrePrime Neue Software automatisiert CPU-Angriffe heise Security.html

https://www.heise.de/security/meldu...tware-automatisiert-CPU-Angriffe-3970686.html

Meltdown & Spectre Microsofts Compiler-Fix weitgehend wirkungslos heise Security.html

https://www.heise.de/security/meldu...piler-Fix-weitgehend-wirkungslos-3970815.html

Nach Meltdown & Spectre Intel baut Bug-Bounty-Programm aus heise Security.html

https://www.heise.de/security/meldu...tel-baut-Bug-Bounty-Programm-aus-3971544.html

Newly Discovered Variants Of Meltdown_Spectre Exploit Cache Coherency Across Cores.html

http://www.tomshardware.com/news/new-variants-meltdown-spectre-exploit-discovered,36533.html

Macht Laune auf mehr ...
 
Hatte mir auch einige dieser Artikel auf Heise gestern durchgelesen. Ja, ziemlich ernüchternd. Insbesondere in Bezug auf Spectre 1. Der C/C++-Compiler in seinem aktuellen Stadium lässt sich beinahe problemlos aushebeln. Und wollte man den Code absolut sicher machen wollen, müsste vor jedem bedingten Sprung ein LFENCE-Kommando eingebaut werden. Und wie der Autor schreibt, wäre der Code dann zwar sicher, jedoch mit gewaltigen Leistungseinbussen abgestraft.

Riesig :(.
 
Meltdown & Spectre Microsofts Compiler-Fix weitgehend wirkungslos heise Security.html
https://www.heise.de/security/meldu...piler-Fix-weitgehend-wirkungslos-3970815.html

Ich habe mir vor glaube zwei Wochen oder so einen (internen) Vortrag über Meltdown und Spectre von einem Professor angehört, der im Bereich CPU-Architekturen tätig ist. Sein Vortrag fasste kurz zusammen, wie CPUs intern "funktionieren", was Seitenkanalangriffe überhaupt sind, wie Meltdown und Spectre diese aushebeln und was man dagegen tun kann. Sein Fazit war: Meltdown kann man patchen (wie z.B. durch KPTI unter Linux und vergleichbaren Patches unter anderen Systemen). Aber Spectre kann man nur in Hardware zuverlässig fixen. Oder eben spekulative Ausführung komplett abschalten, was aber auch laut ihm >60% Leistungseinbußen hätte. Heutige superskalare CPUs arbeiten mit vier Pipelines, was theoretisch zu vierfacher Leistung führen würde. Ohne spekulative Ausführung hat man bei typischem Code (ca. 20% Sprunganweisungen) aber nur etwa den Faktor 1,5 gegenüber einer Pipeline. Mit spekulativer Ausführung und Sprungvorhersage kommt man halt auf den Faktor 3-4. Wenn man nun alles so kompiliert, dass man keine spekulative Ausführung mehr benutzt, sinkt eben der Vorteil der Superskalarität wieder auf den Faktor von ca. 1,5. Diese Performanceeinbußen will wohl keiner hinnehmen - auch wenn das funktionieren würde. Ansonsten bleibt halt nur, das in Hardware zu fixen (und sowas geht nicht "mal eben so", dafür muss grundlegend an der Architektur gearbeitet werden. Ich schätze, vollständigen Schutz gegen Spectre gibt es frühestens in 1-2 Jahren auf Hardwareebene), oder diverse Workarounds bauen, die das ganze in bestimmten Fällen schwerer machen, aber eben nicht vollständig wirken.

Man muss aber auch immer im Hinterkopf behalten: Meltdown war eine echt fiese Sache. Spectre dagegen ist dagegen um Klassen schwerer auszunutzen (und liefert deutlich weniger Daten) und daher deutlich weniger gefährlich. Deswegen muss man sich trotzdem um diese Lücke kümmern, aber wenn man Meltdown gepatcht hat, ist schon mal das gröbste erledigt und gegenüber Spectre hat man oft noch ganz andere, "schlimmere" Angriffsvektoren. Von anderen Sicherheitslücken/zero-day-exploits im System über unsichere Anwendungssoftware bis hin zum social engineering/hacking. Soll heißen: Spectre wirklich zu fixen ist wichtig, aber so lange Spectre noch offen ist, hat man noch ganz andere Probleme, die man eher angehen sollte.
 
am Sonntag konnte ich ein BIOS-Update für mein TPT 10" einspielen. anschließend beim Test auf Spectre und Meltdown mit dem Checker von Ashampoo ergab es sich, dass das Teil gegen beide gesichert ist.

leider gibts noch immer nix für das X220.
 
Nehmt zur Überprüfung besser stets den offiziellen PowerShell Script von MS. Sicher ist sicher.

https://gallery.technet.microsoft.com/scriptcenter/Speculation-Control-e36f0050

- - - Beitrag zusammengeführt - - -

Update 21.02.2018 - 07:18 Uhr

Intel hat nun finale Microcodes für Skylake, Skylake-X, Kaby Lake und Coffee Lake zur Verfügung gestellt, auch im Server-Bereich ist Skylake-SP und bereits Skylake-D neben vielen Atom-Prozessoren laut Support-Dokument (PDF) nun im finalen Status angelangt. Jetzt können die Boardpartner ihre Umsetzungen angehen, sodass in den kommenden Wochen wieder vermehrt BIOS-Updates zu erwarten sind.
ComputerBase.de - Sicherheitslücke Spectre: BIOS-Updates von Acer über Apple, Dell, HP bis Lenovo
 
Zuletzt bearbeitet:
Sicherheitslücke Spectre V2: Auch AMD sieht multiplen Klagen in den USA entgegen

AMDs bis heute diffuse Aussagen zur Betroffenheit in Bezug auf die Sicherheitslücke Spectre haben auch diesem Konzern multiple Klagen eingebracht. Dabei wird insbesondere moniert, dass AMD erst behauptet hatte, quasi gar nicht betroffen zu sein, später aber zurückgerudert ist und ebenfalls Updates in Aussicht stellen musste.
Der komplette Artikel findet sich auf ComputerBase.de.

Aussage: Bleibt Microsoft bei der aktuell umgesetzten Lösung, braucht auch AMD den neuen Microcode, um CPUs mit den neuen CPU-Befehlen auszustatten und das „Near-Zero Risk“ abzuwenden – welche CPUs das ermöglichen, sagte AMD aber nicht. Das Bild bleibt diffus.
Sieht ja mal so aus, als hätte AMD Spectre noch nicht im Griff.



Intel hat diesen Schritt scheinbar hinter sich und es werden stets neue, finale MCUs ausgeliefert.
 
Also ich muss schon sagen, dass ich sehr enttäuscht von Intel und Lenovo bin, dass sie für W530 und T420, obwohl auf der Website aufgeführt, immer noch kein BIOS-Update zur Verfügung gestellt haben. Es scheint als hätten die andere Prioritäten. An den Mitteln kann es bei beiden sicher nicht liegen. Ein klein wenig Hoffnung habe ich noch, aber vermutlich wird auch die enttäuscht werden.
 
Also ich muss schon sagen, dass ich sehr enttäuscht von Intel und Lenovo bin, dass sie für W530 und T420, obwohl auf der Website aufgeführt, immer noch kein BIOS-Update zur Verfügung gestellt haben. Es scheint als hätten die andere Prioritäten. An den Mitteln kann es bei beiden sicher nicht liegen. Ein klein wenig Hoffnung habe ich noch, aber vermutlich wird auch die enttäuscht werden.

Das liegt momentan aber eher an Intel als an Lenovo! Wie man hier sehen kann, sind die Updates für Sandy und Ivy Bridge bei Intel noch in der Beta-Phase. Da kann Lenovo auch nix machen bis die freigegeben sind. Was eher zu bemängeln ist: dass Lenovo noch keine Updates für die 4th, 5th, 7th und 8th Gen CPUs gebracht hat, obwohl die schon seit mehreren Tagen - v.a. für Kaby Lake und Coffe Lake - freigegeben sind. Zumindest auf der entsprechenden Seite zu den Lücken noch nichts verzeichnet. Aber die hängt zugegebener Maßen auch ziemlich den tatsächlichen Uploads hinterher.

Von daher besteht doch berechtigte Hoffnung und ich würde eher öfter einen Blick auf die entsprechende Treiber-Downloadseite zum jeweiligen Gerät werfen!
 
Also ich muss schon sagen, dass ich sehr enttäuscht von Intel und Lenovo bin, dass sie für W530 und T420, obwohl auf der Website aufgeführt, immer noch kein BIOS-Update zur Verfügung gestellt haben. Es scheint als hätten die andere Prioritäten. An den Mitteln kann es bei beiden sicher nicht liegen. Ein klein wenig Hoffnung habe ich noch, aber vermutlich wird auch die enttäuscht werden.

Ja da fragt man sich was Intel & Co. die letzten 8 Monate unternommen haben ...:confused:
 
Zuletzt bearbeitet:
Ich habe einen Skylake-Prozessor in meinem Thinkpad. Lenovo integrierte den neuen Microcode von Intel bereits Anfang Januar 2018 in einem BIOS-Update. Am 09. Januar hatte ich mein BIOS damit geflasht. Null Probleme hinterher. Kurz danach zog Lenovo genau dieses BIOS-Update auf Betreiben von Intel wieder zurück und stellte es jetzt nach ca. 1 1/2 Monaten ohne Änderungen erneut zum offizielllen Download zur Verfügung.
 
Zuletzt bearbeitet:
Hallo,

sind eigentlich die Intel Atom CPUs N270 und N450 auch betroffen?

MfG

xsid
 
Intels Sicherheitsfunktion SGX ist ebenfalls durch Spectre angreifbar.

Seit der Skylake-Generation ist die Sicherheitstechnik "Software Guards Extensions", kurz SGX, auf Intel-Prozessoren nutzbar. Sie richtet geschützte Enklaven im Hauptspeicher ein, in denen Code sogar auf von Malware betroffenen System geschützt sein sollte. Nun ist es Wissenschaftlern gelungen, die Sicherheitstechnik über eine Spectre-Attacke auszuhebeln.

Wie sie die Enklave von außen so beeinflussen konnten, dass der eigentlich geheime Bereich auszulesen war, erklären Forscher der Ohio State University anhand einer detaillierten Abhandlung.
Quelle: PC Games Hardware - Spectre: Auch Intels Sicherheitsfunktion SGX angreifbar

arxiv.org - SGXPECTRE Attacks: Leaking Enclave Secrets via Speculative Execution
GitHub - spectre-attack-sgx


LG Uwe
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben