Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

Heise: Meltdown und Spectre: Update für Windows 10 legt einige PCs lahm

Das von Microsoft eilig bereitgestellte Update KB4056892 führt laut Nutzerberichten auf einigen AMD-Systemen zu einem Bootfehler und lässt sich auf anderen PCs nicht installieren.

Das Windows-10-Update, das Microsoft in der Nacht zum 4. Januar eilig herausgegeben hat, um den gravierenden Prozessor-Sicherheitslücken Meltdown und Spectre zu begegnen, führt seinerseits zu Problemen. Von Anfang an war bekannt, dass es inkompatibel zu einigen Viren-Schutzprogrammen ist. Hersteller wie Kaspersky oder Avast haben für ihre Programme deshalb schon Updates bereitgestellt oder angekündigt, die man vorab installieren sollte.

Nun klagen einige Nutzer von PCs mit AMD-Prozessoren in verschiedenen Microsoft-Foren (1, 2, 3) darüber, dass ihre Systeme nach dem Versuch, KB4056892 zu installieren, unbrauchbar geworden sind – auch ohne installierten Virenschutz. Sie ließen sich nicht mehr starten und zeigten den Fehler 0x800f0845. Einige Anwender konnten sich damit behelfen, Windows auf einen Wiederherstellungspunkt vor dem Update zurückzusetzen.

Andere Nutzer beklagen sich darüber, dass ihre Web-Browser abstürzen. Zunächst bleibt dabei das Fenster des Browers weiß und friert für einige Sekunden ein. Danach stürzt das Programm vollständig ab. Erwähnt werden zumindest Chrome und Firefox. In einigen US-Berichten heißt es zudem, dass das Update inkompatibel zu einigen Apps und Treibern sei, die nach der Installation nicht mehr laufen. Dies erscheint aber angesichts der üblichen Schwierigkeiten bei Software-Aktualisierungen ein kleineres Problem zu sein.
Zum Vergrößern anklicken....
 
Helios schrieb:
Heise: Meltdown und Spectre: Update für Windows 10 legt einige PCs lahm
Zum Vergrößern anklicken....

Mist ich hatte heute die 2te Bluescreen (t440s)


Microsoft (R) Windows Debugger Version 10.0.16299.15 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Windows\MEMORY.DMP]
Kernel Bitmap Dump File: Full address space is available


************* Path validation summary **************
Response Time (ms) Location
Deferred symsrv*symsrv.dll*C:\Symbols*http://msdl.microsoft.com/download/symbols
Symbol search path is: symsrv*symsrv.dll*C:\Symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 10 Kernel Version 16299 MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 16299.15.amd64fre.rs3_release.170928-1534
Machine Name:
Kernel base = 0xfffff802`7108a000 PsLoadedModuleList = 0xfffff802`713f0fd0
Debug session time: Sun Jan 7 16:03:39.690 2018 (UTC + 1:00)
System Uptime: 1 days 0:37:32.467
Loading Kernel Symbols
...............................................................
................................................................
................................................................
........
Loading User Symbols

Loading unloaded module list
............
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck D1, {20, 2, 1, fffff8040f52dec2}

Probably caused by : tcpip.sys ( tcpip!TcpPeriodicTimeoutHandler+6b2 )

Followup: MachineOwner
---------

c:\Windows\System32\drivers\tcpip.sys:
Verified: Signed
Signing date: 13:33 01.01.2018
Publisher: Microsoft Windows
Company: Microsoft Corporation
Description: TCP/IP Driver
Product: Microsoft« Windows« Operating System
Prod version: 10.0.16299.192
File version: 10.0.16299.192 (WinBuild.160101.0800)
MachineType: 64-bit
MD5: 9900BD38D592CF4EE6F2EAE3847A24D8
SHA1: 4313D9E6F6AF9875AD0961FCE7A734DD32AE24D6
PESHA1: 1B74BD8BCEDF7C15D7AD263DE21BEF46B753A809
PE256: 8ECA25D9F1094A4053E3CD078210A794BF6EEBC82BCE21903F96CA3813C55404
SHA256: 2D787BC94A0F148D9E7B32BEED09F7EB94D8918B95CB5A091643C1E4F34F1CF3
IMP: 1E17778724658A680E997D0C52E43BDC
VT detection: 0/68
VT link: https://www.virustotal.com/file/2d7...7eb94d8918b95cb5a091643c1e4f34f1cf3/analysis/



Kann mir da jemand einen Tip geben (außer den WLan Treiber nochmal neu zu installieren) - "detailed debugging information" verstehe ich nicht wirklich ...

Danke

mcb
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Volvo-Berti schrieb:
das hier las ich im Mac-Forum:

wie ist das denn zu bewerten? UEFI ist ja wohl auf den Tablets und neueren PC drauf, oder? und Intel ME bei allen? ich bitte um Aufklärung, Beruhigung gibts ja wohl keine mehr :(
Zum Vergrößern anklicken....
das ist ein anderes Thema und sollte nicht hier mit diskutiert werden. Es wird unübersichtlich, wenn man x verschiedene Sicherheitslücken in einem Thread diskutiert, in dem es eigentlich um Meltdown und Spectre geht.
 
Zuletzt bearbeitet:
Zur Liste der betroffenen Prozessoren: Ich hab' grad' den Testcode aus dem Spectr-Paper ausprobiert, er funktioniert bei meinen Core2Duo und CoreDuo (T60/T61/X61) nicht - das Ding wirft nur einen Segfault (FreeBSD+Linux). "Am-I-affected-by-Meltdown" funktioniert auch nicht - aber das war nicht anders zu erwarten, der gepatchte Kernel ist seit gestern am System (T61). Langsamer ist's aber nicht geworden.
 
Alexander J. Lee von y-cruncher schreibt erste Resultate bezüglich der Geschwindigkeit:

Page Table Isolation and Large Pages: (January 7, 2018)

If you follow tech news, you should be well aware of the Meltdown and Spectre side-channel attacks that affect nearly all processors with speculative execution. Furthermore, the patches come with performance penalties that range anywhere from negligible to a ridiculous 50% depending on the application and hardware.

Is y-cruncher affected? Yes. But it may be avoidable under certain circumstances.


Hardware:

  • Core i7 4770K (Haswell) @ 4.0 GHz (4 cores/8 threads)
  • 32 GB DDR3 @ 2133 MT/s
  • Asus Z87-Plus
  • Windows 10 Anniversary Update
The following table compares performance with and without KPTI for Meltdown. Unfortunately, no BIOS/microcode update for the Spectre patch was available to test. Given the age of the system, it seems unlikely that the manufacturer will provide such an update.

[TABLE="class: grid, width: 500, align: center"]
[TR]
[TD]1 billion digits of Pi[/TD]
[TD="colspan: 2"]y-cruncher v0.7.4[/TD]
[/TR]
[TR]
[TD][/TD]
[TD]Normal Pages (4 KB)[/TD]
[TD]Large Pages (2 MB)[/TD]
[/TR]
[TR]
[TD]No Patches[/TD]
[TD]107.448[/TD]
[TD]106.803[/TD]
[/TR]
[TR]
[TD]Kernel Page Table Isolation (KPTI)[/TD]
[TD]110.418[/TD]
[TD]106.388[/TD]
[/TR]
[/TABLE]

Notes:

  • All times are in seconds.
  • Each benchmark was done multiple times to ensure consistency and the fastest time was chosen. Run-to-run variation is on the order of +/- 0.5%.
  • When PTI was enabled, it was enabled with the PCID (Process-Context Identifiers) optimization.
y-cruncher spends very little time in the kernel. So based on that, one would expect the effect of KPTI to be negligible. However, there are a lot of small system calls from all the multi-threading related constructs. (mutexes, condition variables, signals, etc...)

In the end, we see a 3% performance impact when using normal (4 KB) pages. But when switching to large (2 MB) pages, that penalty disappears.

A possible explanation for this is that each system call that goes into kernel mode will cause a TLB flush upon its return. So even if the system call is short, it leads to a flood of TLB misses as the computation resumes and has to re-populate the TLB. Since y-cruncher has a massive memory footprint, there will be a lot of pages to re-populate. With large pages, there are far fewer of them - thereby drastically reducing the performance penalty. Though this explanation has issues since PCID should (theoretically) be eliminating the TLB flushes as far as I understand (which I admit I don't).

Regardless of the exact reason for why large pages help so much, let's not get too excited. This is just a single benchmark on a single platform. Things may look different on other systems. Furthermore, there are requirements to enable large pages - some of which may be inconvenient.

Those interested in testing out large pages for y-cruncher can refer to the memory allocation guide.


Looking forward, the current development version of v0.7.5 is showing significantly less penalty from KPTI:

[TABLE="class: grid, width: 500, align: center"]
[TR]
[TD]1 billion digits of Pi[/TD]
[TD="colspan: 2"]y-cruncher v0.7.5 (trunk)[/TD]
[/TR]
[TR]
[TD][/TD]
[TD]Normal Pages (4 KB)[/TD]
[TD]Large Pages (2 MB)[/TD]
[/TR]
[TR]
[TD]No Patches[/TD]
[TD]104.337[/TD]
[TD]102.995[/TD]
[/TR]
[TR]
[TD]Kernel Page Table Isolation (KPTI)[/TD]
[TD]104.581[/TD]
[TD]103.142[/TD]
[/TR]
[/TABLE]

It's unclear why this is the case. But it could be a side-effect of the new bandwidth optimizations.

Version v0.7.5 is currently not ready for release. However, it is in feature freeze.


Spectre Mitigations:

So far, I have yet to test the impact of the Spectre mitigations.

  • Retpoline should be irrelevant as long as compilers make it optional. So that leaves its usage in the kernel. But y-cruncher spends so little time in the kernel anyway that there should be little effect of any retpoline overhead in the kernel itself.
  • Microcode updates for branch target injection are still unclear. If we assume worst case in that they disable branch target prediction, y-cruncher is expected to be affected, but only minimally so. While y-cruncher makes fairly heavy use of virtual calls, they are never used in any place that is super performance critical.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
@Helios: Mal wieder der Hinweis, dass es mindestens uncool, wenn nicht gar urheberrechtlich fragwürdig ist, fremde Inhalte so großflächig zu übernehmen. Selbst mit Verweis auf die Quelle - da quasi alle relevanten Infos übernommen wurden, gibt es keinen Grund mehr, die Quelle zu besuchen, wodurch dem Urheber, der sich die Mühe gemacht hat, Klicks und ggf. auch Werbeeinnahmen verloren gehen. Das macht man einfach nicht...
 
Nach dieser Heise-Meldung, patcht (vorerst) ja Intel nur Prozessoren ab 2013:
https://www.heise.de/newsticker/mel...estaetigt-Performance-Auswirkung-3936956.html

Nun beklagen viele Leute ja, dass damit Sandy-Bridge sowieso und Ivy Bridge wohl raus wären. Aber es gibt doch einzelne Ivy Bridge Prozessoren, welche erst 2013 rausgekommen sind.
https://en.wikipedia.org/wiki/Ivy_Bridge_(microarchitecture)

Und Lenovo hat für T430, X230 etc, zumindest auch Updates angekündigt (für Februar), also müssten die ja mehr wissen:
https://support.lenovo.com/de/de/solutions/len-18282

Könnt ihr Euch vorstellen, dass echt alles vor der 30er Generation zu Schrott degradiert wird, zumindest sicherheitstechnisch?
 
bender79 schrieb:
Könnt ihr Euch vorstellen, dass echt alles vor der 30er Generation zu Schrott degradiert wird, zumindest sicherheitstechnisch?
Zum Vergrößern anklicken....
Schätze ja, obwohl ich hoffe, dass ich damit falsch liege.

- - - Beitrag zusammengeführt - - -

Die SpeculationControl PowerShell Scripte wurden seitens Microsoft aktualisiert.

Speculation Control Validation PowerShell Script

- - - Beitrag zusammengeführt - - -

Microsoft hat die Auslieferung des Patches KB4056892 wegen teilweisen Systemabstürzen während des Bootvorgangs für AMD-Systeme gestoppt.

Windows operating system security update block for some AMD based devices
 
Zuletzt bearbeitet:
So 4 Bluescreens später :(

Win1709 auf einem t440(s) Treiber alle aktuell

https://support.microsoft.com/en-us...ive-execution-side-channel-vulnerabilities-in

REM disable the fix *
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restart

powershell "Get-SpeculationControlSettings"
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: False


BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : True
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False

Das heißt jetzt ist gar nichts mehr geschützt oder ?

Bin begeistert ...

Wenn mir ev. jemand erklären könnte welcher registry Schlüssel welch Lücke betrifft - kann ich ja nochmal einzeln testen :pinch:

Danke

mcb
 
Zuletzt bearbeitet:
Teilweise. Für dein T440 gibt es doch bestimmt ein aktualisiertes BIOS?

Die Regkey-Einträge sollten keinen Absturz verursachen. FeatureSettingsOverride würde ich mal wieder auf 0 setzen.

- - - Beitrag zusammengeführt - - -

mcb schrieb:
Wenn mir ev. jemand erklären könnte welcher registry Schlüssel welch Lücke betrifft - kann ich ja nochmal einzeln testen
Zum Vergrößern anklicken....
Habe ich auf einem Zweitrechner getestet. Die Reg-Einträge brachten nichts und das Ergebnis sieht gleich aus wie auf meinem W520 mit den Reg-Einträgen.
 
Helios schrieb:
Teilweise. Für dein T440 gibt es doch bestimmt ein aktualisiertes BIOS?

Die Regkey-Einträge sollten keinen Absturz verursachen. FeatureSettingsOverride würde ich mal wieder auf 0 setzen.

- - - Beitrag zusammengeführt - - -


Habe ich auf einem Zweitrechner getestet. Die Reg-Einträge brachten nichts und das Ergebnis sieht gleich aus wie auf meinem W520 mit den Reg-Einträgen.
Zum Vergrößern anklicken....

Ja die Keys schalten den Fix unter Windows entweder an oder aus.
Mein Bios ist gepacht - aber Windows stürzt mit den aktivierten Settings zu oft ab ...
 
cyrax schrieb:
Hier läuft ein x220 mit aktuellem Ubuntu und Win 10, wenn bei beiden Systemen die Patches installiert sind, sind die Intel Updates dann egal oder müssen die Betriebssysteme und das UEFI aktualisiert werden?
Zum Vergrößern anklicken....

Nein, ist nicht egal, es geht hier um insgesamt drei verschiedene Probleme, die auf verschiedene Weise angegangen werden. Eines (Meltdown) ist nur durch Betriebssystemkernel-Updates zu patchen, für Spectre (Variant 2) braucht man zwingend ein Microcode/Firmwareupdate (also über BIOS-Update), sonst ist die Lücke nicht zu schließen. Spectre (Variant 1) ist Programmabhängig, hierfür müssen die Anwendungsentwickler für ihre jeweiligen Programme Patches bringen. Das betrifft v.a. Browser (für die meisten gängigen gab es da schon Updates), aber auch andere Anwendungen, wie z.B. Nvidia-Software, die gerade gepatchte Treiber gebracht haben.

Für Geräte, die kein BIOS-Update mehr bekommen gibt es evtl. die Möglichkeit, dass Microcode-Updates bei jedem booten über das OS geladen werden können. Unter Linux ist das problemlos möglich (unter Windows gibt es wohl eine ähnliche Möglichkeit?). Aber hierfür müssen die CPU-Hersteller auch erstmal Microcode-Upates für die Prozessoren bereit stellen. Das werden sie sicher nicht für alle in den letzten 20 Jahren hergestellten machen. Für CPUs, für die Intel und AMD keine Upates veröffentlichen, gibt es keine Möglichkeit genannte Spectre (Variant 2) zu schließen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben