News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Rockstar85]

Was egal ist... Der Anwalt kann nicht gut sein, in den USA ticken die Uhren anders.

Weniger Panik mache wäre besser angebracht als :ich schicke es zurück.
Wir rotieren grade in der Firma wegen unserer Datenbank Server... Hochsensible Daten und so. Da verstehe ich die Sorge, nicht aber bei Spielern. Und wenn spectre nicht fixbar ist via microcode, dann ist keine hardware mehr sicher, daß verstehst du aber wohl nicht.

 

[Stellarix]

Hab mir gestern den Artikel mal in Ruhe durchgelesen und besonders der erste Teil ist super erklärt

 

[ich_bins]

Und wenn spectre nicht fixbar ist via microcode, dann ist keine hardware mehr sicher, daß verstehst du aber wohl nicht.

und genau aus DEM Grund werde ich eine "teure CPU" nicht behalten und abwarten

 

[Xmechanisator]

Ich habe das Update gestern schon bekommen und auf meinem 6850k @ 4,2GHz bisher keinen Unterschied feststellen können, bei meinem Nutzverhalten. Ich kann verstehen, dass einige verunsichert sind und gleichzeitig verstehe ich wiederum die Menschen nicht, die jetzt einfach meinen "ich gebe das Ding zurück" oder "ich klage wegen weniger Leistung". Gründe dafür sehe ich persönlich 0. Die CPU verrichtet ihre Arbeit ob gepatcht oder ungepatcht.

Problematisch ist eher der Spectre Teil, jedoch bekommt man z.Z. wohl nichts wo das Hardwaretechnisch gefixt ist.

 

[Rockstar85]

Das Problem des ist ein Ring 0 exploit. Hardware Ebene Speicherbereich. Das ist quasi wenn du nen burggraben hast, aber an der Mauer ne kleine holztür zum Innenhof als Absicherung.

Das ist für alles was nicht privat Anwender ist, kritisch bis tödlich. Weil wir müssen Daten Sicherheit garantieren!
Und ich kaufe mir Ryzen+, oder CFL. Weil bis spectre in Hardware behoben ist vergehen einige Gens. Modernes Computing basiert ja auf der Lücke, denn ohne dieses Prefetchen der Daten, wäre die Rechenleistung nicht so hoch. Und solange ich privat aufpasse was ich tue, passiert da nichts.

 

[Maxminator]

Sehr gut auf den Punkt gebracht, AMD-Mafiosi! Danke

 

[valnar77]

Wir rotieren grade in der Firma wegen unserer Datenbank Server... Hochsensible Daten und so

Was aber nur bedingt nötig ist, solange ihr nicht kommerziell VMs/Cloud-Services anbietet oder die Datenbank auf selbigem läuft. Für einen 08/15 Firmenserver der intern läuft wird erstmal gar nix wildes passieren, solange nicht jemand an dem Server unkontrolliert im Internet surft. Sollte dies der Fall sein,hab ihr ein ganz anders Problem.
Sogar für einen Firmenserver, der einen Dienst über einen Paketfilter nach draußen anbietet, sehe ich das als recht unkritisch an. Es muss ja erst einmal über eine Lücke entsprechender Code ins System inflitriert werden, welcher dann Daten auslesen kann. Hypothetisch ist sicherlich vieles denkbar, aktue Gefahr besteht in dem Fall eher selten.
Natürlich werden sich in klassischer "German Panic" Manier alle IT-Sicherheitsbeauftragten sich jetzt mächtig aufblähen und die Welle machen. Aber bis das zum Admin rüberschwappt, hat man vermutlich schon den finalen Kernel-Patch von M$, Linux, Apple etc.

 

[AntiUser]

MeltDown nur Intel CPUs

Nein, Arm hat hier bekannt gegeben, dass von Meltdown auch einige Arm CPUs betroffen sind:

https://developer.arm.com/support/security-update

Apple hat dies z.B. hier bestätigt, das davon alle iPhone betroffen sind:

https://support.apple.com/en-us/HT208394

 

[Maxminator]

Mir ging es um x86 Systeme natürlich...

 

[Rockstar85]

Was aber nur bedingt nötig ist, solange ihr nicht kommerziell VMs/Cloud-Services anbietet oder die Datenbank auf selbigem läuft.

Nunja ich bin nicht Admin in der Firma und beileibe im Thema Informatik, da wo studierte sind, aber ich weiß das wir teilweise VMs laufen haben, die aber wohl auch nicht am Kundendatenserver hängen sondern seperiert sind. Grundsätzlich bin ich aber der Mensch der sagt: lieber einmal mehr aufpassen als eben leichtgläubig mit umgehen. Grundsätzlich gebe ich dir Recht, aber wenn wir in der Firma gewarnt wegen wegen Phishing, obwohl jeder normale Mensch 5min nachdenken kann, dann sollen sie mal rotieren

 

[Herdware]

Das ist quasi wenn du nen burggraben hast, aber an der Mauer ne kleine holztür zum Innenhof als Absicherung.

Was übrigens ein durchaus übliches Feature an mittelalterlichen Burgen war.

Spoiler

Als Privatanwender bleibt einem nur, die Sicherheistpatches für alle Geräte gewissenhaft zu installieren und sich halt auch bewusst sein, dass es immer Sicherheitslücken geben wird. Wahrscheinlich haben unsere heutigen Rechner auch noch ein paar viel schlimmere als Meltdown und Spectre, von denen wir nur noch nichts wissen.

Unternehmen werden erstmal bewerten, wie groß die Leistungseinbußen und damit verbundene Kosten durch die Patches sind und dann gegebenenfalls prüfen, ob es eine Möglichkeit für Schadensersatzforderungen gibt. Große Chancen sehe ich da aber auch nicht.

 

[Rockstar85]

Jaja Backdoor
Meines Wissens nach waren diese Doors aber nicht immer zur Schlachtseite hingewandt
Aber genau deswegen gefiel mir der Vergleich ja so gut, weil es eben schon im Mittelalter gravierende Sicherheitslücken gab xD

 

[Recharging]

Man sollte jetzt einfach keine Intel sondern AMD CPUs kaufen!

Sonst lernt Intel es nie!

Spectre wurde bereits wie einige Seiten zuvor erfolgreich auf AMD angewendet - mit einem heiß gestrickten Code über Nacht.

Meltdown kann gepatcht werden.

Also nichts mit deinem Intel-Bashing ... himmelhergottnocheinmal, wie verblendet kann man eigentlich sein? Das Problem trifft so gut wie jeden aktuellen x86-Prozessor gleichermaßen, weil auch AMD das Rad nicht ständig neu erfindet und gute, etablierte Dinge auch beidseitig (siehe AMD64) übernommen werden.

 

[get]

Ein Forum voller möchtegern IT'ler

Wie sagt der CCC so schön?!" Es betrifft die Hardware und kann nicht mit einem Patch beseitigt werden". Lasst euch weiter verarschen!

 

[Steffen]

Artikel-Update: Erste Spectre-Gegenmaßnahmen in Firefox 57.0.4
Mozilla hat damit begonnen, Firefox 57.0.4 (Download) per automatischem Update zu verteilen. Darin sind erste Spectre-Gegenmaßnahmen enthalten.

[Embed: Zum Betrachten bitte den Artikel aufrufen.]​

Microsoft gibt an, diese Maßnahmen auch in Edge und Internet Explorer 11 eingebaut zu haben. Diese Änderungen sind Bestandteil des oben erwähnten Windows-Updates.

Stellungnahme von Apple
Apple gibt in einer Stellungnahme an, dass man Meltdown-Gegenmaßnahmen bereits im Dezember mit iOS 11.2, macOS 10.13.2 und tvOS 11.2 an seine Kunden verteilt habe. Jene hätten in GeekBench 4, Speedometer, JetStream und ARES-6 „keine messbaren“ Leistungseinbußen verursacht. Die Apple Watch sei von Meltdown nicht betroffen (vermutlich nutzt deren SoC keine Speculative Execution). In den kommenden Tagen werde man ein Safari-Update mit Spectre-Gegenmaßnahmen veröffentlichen, das je nach Benchmark gar keine bis maximal 2,5 Prozent Leistung kosten werde. Zudem stellt Apple weitere Updates mit Spectre-Gegenmaßnahmen für iOS, macOS, tvOS und watchOS in Aussicht.

Microcode-Updates für Microsoft Surface
Microsoft stellt Updates für Surface-Produkte bereit, die unter anderem neuen Microcode für die verbauten Intel-CPUs enthalten. Es handelt sich also vermutlich um eine Maßnahme gegen Spectre („Variant 2“).

Intel veröffentlicht technische Details
Intel hat ein PDF Analysis of Speculative
Execution Side Channels veröffentlicht. Darüber hinaus werde man „bis Ende nächster Woche“ für 90 % der in den letzten 5 Jahren veröffentlichten Intel-CPUs Updates veröffentlicht haben. Zudem gibt es eine Liste der betroffenen CPUs. In den ebenfalls veröffentlichten Frequently Asked Questions vertritt Intel weiterhin die exklusive Auffassung, dass es sich nicht um Hardware-Bugs handelt.

Is this a bug in Intel hardware or processor design?

No. This is not a bug or a flaw in Intel products. These new exploits leverage data about the proper operation of processing techniques common to modern computing platforms, potentially compromising security even though a system is operating exactly as it is designed to. Based on the analysis to date, many types of computing devices — with many different vendors’ processors and operating systems — are susceptible to these exploits.

 

[Picard87]

Wie sehen denn die Reaktionen der großen NAS Hersteller QNAP und Synology aus? Hier sollte es ja auch zeitnah Updates geben, denn auf einem NAS läuft ja gerne auch mal eine VM...

Bzgl ARM/Android zeigt sich mal wieder eine fundamentale Schwäche der Plattform: Fragmentierung. Wenn Google das nicht löst, bekommt Android spätestens wenn eine Sicherheitslücke massiv ausgenutzt wird, echte Probleme.

 

[Herdware]

Wie sagt der CCC so schön?!" Es betrifft die Hardware und kann nicht mit einem Patch beseitigt werden". Lasst euch weiter verarschen!

Beseitigen lässt es sich durch Software natürlich nicht. Aber es gibt in aller Regel Workarounds. Es werden halt die unsicheren Funktionen deaktiviert, mit allen damit verbundenen Nachteilen.

 

[bumbl73]

sehr schöne diskussion, allerdings für den laien wie mich tlw. schwer verständlich...

meine frage: ich nutze windows 7 und einen xeon 1231V3.
muss ich das update ausführen? falls ich mich dagegen entschließe, um mein system nicht zu verlangsamen, welche konkreten gefahren setze ich mich aus? inwiefern wäre ein virenschutz hilfreich?

 

[Trochaion]

Der Schutz lässt sich auch mit den beschriebenen Mitteln auf Client-PCs abschalten falls man sich Sorgen wegen dem 0-2% Leistungsnachteil machen sollte.

Danke Ich werd das wohl machen. Hardware-Firewall vorm PC, Software kontrollieren, kein Browser, und den Zweit-PC mit aktivem Patch als Passthrough für Dateien. Bissl umständlich, aber manchmal hab ich doch ein paar syscall-intensive Anwendungen im Repertoire.

 

[Steffen]

Um zwischendurch auch mal was zum Lachen zu haben: http://www.commitstrip.com/en/2018/01/04/reactions-to-meltdown-and-spectre-exploits/