News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Faust2011]

Ich hab jetzt nicht die 1420 Kommentare dazu durchgelesen, deshalb entschuldigt, falls die Frage bereits aufkam: Wie wahrscheinlich ist es denn, dass sich letztlich die Sache als CPU-Fehler herausstellt. Hat dann Intel ein Problem und jeder Besitzer einer Intel-CPU darf auf Tausch hoffen/klagen/einfordern?

 

[Tammy]

Man kann wohl davon ausgehen, dass jede Intel-CPU mit virtuallisierten Speicheradressen und spekulativer Befehlsabarbeitung von Meltdown betroffen ist. Das sind alle Intel-CPUs der letzten 20 Jahre, ausgenommen nur einige ältere Atom (nicht spekulativ) und Itanium (ganz andere Architektur).

Das ist auch mein Wissensstand, aber wieso kommt der hotfix, wenn man etwas, an dem so lange gearbeitet wurde, überhaupt so nennen darf, dann nur für einen Bruchteil der betroffenen CPU?

Ich kann und werde mein System so ja nicht produktiv nutzen ohne Gefahr zu laufen, dass es korrumpiert wird.

Bedenkt man den Zeitraum in dem Intel von dem bug in Kenntnis gesetzt wurde kann es doch eigentlich nicht sein dass grundlegend ähnliche CPU nicht gepatcht werden.

Ich möchte von Intel eine klare Aussage, ob und wann auch Prozessoren mit älterem Datum das update erhalten werden!

 

[Dark Matter]

@DFFVB @Xmechanisator

Also sind wir Privat-User Spectre hoffnungslos ausgeliefert, bis es CPUs gibt wo die Lücke geschlossen ist?

 

[Steffen]

So Freunde, entschuldigt, falls ich nicht 100% auf dem letzten stand bin...

Es gibt Meltdown (1&2), was sich halbwegs leicht patchen lässt (Und auch leichter auszunutzen ist), und es gibt Spectre, was sich nicht patchen lässt, sonder "ANWENDUNGSSEITIG" behoben werden muss, und das wird dauern, bzw. nie erreicht werden?

Doch, wie in der News steht gibt es erste Updates für die Browser. Weitere werden folgen. Zudem dürfte es BIOS-Update mit neuem Microcode (quasi Firmware-Updates für CPUs) geben, alternativ sollte Microsoft Microcode-Updates per Windows-Update ausliefern können (soweit ich weiß ist das von Surface-Produkten abgesehen aber noch nicht geschehen). Es kann schon sein dass manche Anwendungen nie geupdatet werden, aber betroffen scheinen in erster Linie Browser zu sein, weil die nicht vertrauenswürdiges JavaScript von überall her laden und ausführen. Solange man einen großen und regelmäßig mit Updates versorgten Browser wie Chrome, Edge, Firefox, Opera oder Safari nutzt, wird man Updates erhalten und dann auf der sicheren Seite sein.

Wie isses eigentlich mit GPUs? Haben die so einen Mechanismus nicht auch in der Art?
Also leicht abstrakter ;-)

Bei CPUs sind die Caches transparent vor den RAM geschaltet, d.h. von Seiteneffekten wie niedrigeren Zugriffszeiten abgesehen sind sie für Anwendungen und Entwickler unsichtbar. Ich habe irgendwo gelesen, dass das bei GPUs nicht der Fall ist (da muss der Entwickler Caches explizit befüllen und leeren?), weshalb es die Probleme dort nicht zu geben scheint. Wäre schön wenn das jemand bestätigen könnte, denn mein Wissen über Grafikkarten ist überschaubar.

Was noch überhaupt nicht beantwortet wurde ist, ob ein AV-Programm nicht anschlagen müßte wenn die Lücken mit Schadcode (Virus/Trojaner) ausgenutzt werden?

Auf Schlangenöl wie Antivirenprogramme würde ich persönlich mich nicht verlassen. Manche fertige Exploits werden die vermutlich erkennen, aber umfassender Schutz ist nur dadurch möglich, dass die Ursache der Probleme beseitigt wird.

 

[bumbl73]

sehr schöne diskussion, allerdings für den laien wie mich tlw. schwer verständlich bzw. nicht abschätzbar, was das für mich bedeutet..

meine frage: ich nutze windows 7 und einen xeon 1231V3.
muss ich das update ausführen? falls ich mich dagegen entschließe, um mein system nicht zu verlangsamen, welche konkreten gefahren setze ich mich aus? inwiefern wäre ein virenschutz hilfreich (aktuell nur windows defender)?

 

[Epix]

Asus z87+ 1230v3 Win10

Intel CPU Sicherheitslücke mit PowerShell überprüfen, ob die Schutzfunktion aktiviert ist

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is enabled: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False

Suggested actions

* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
* Install the latest available updates for Windows with support for speculation control mitigations.
* Follow the guidance for enabling Windows support for speculation control mitigations are described in https://support.microsoft.com/help/4072698


BTIHardwarePresent : False
BTIWindowsSupportPresent : False
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : False
KVAShadowWindowsSupportEnabled : False
KVAShadowPcidEnabled : False

ob asus für ältere MB noch ein update reinschiebt?

 

[engine]

... Wie wahrscheinlich ist es denn, dass sich letztlich die Sache als CPU-Fehler herausstellt. Hat dann Intel ein Problem und jeder Besitzer einer Intel-CPU darf auf Tausch hoffen/klagen/einfordern?

Du wirst gar nichts bekommen, in D sowieso nicht, siehe VW-Diesel-Skandal.
So wie ich das verstanden habe:
Intel hat vermutlich nur die Geschwindigkeit der CPUs interessiert.
Jetzt durch den patch, flickt das gepatchte OS den Schlamassel, indem die betreffende CPU-Funktionalität deaktiviert und softwaremäßig erledigt wird.

 

[viperxxl]

Also was ich mich frage mit Meltdown Exploit kann man theoretisch 1 GB RAM in einer Stunde auslesen, Frage ist wie oft sich der Inhalt der Speicheradressen in dieser Zeit ändern Tausenden male? wie erwischt man dann ein PW genau in der Milisekunde? in der dies im Klartext im Speicher ist.

Einige User schreiben Zugriff auf Dateien im System Hä? Seit wann kann der Exploit Code ausführen? Wenn das File nicht (vollständig?) gerade im Speicher ist wie soll man das abgreifen können?

Also so ein Speicherdump schaut ja recht schön aus aber ohne Tabelle an welcher Speicherstelle was gespeichert hat kann man eher nur im Trüben fischen, wobei man bei der aktuellen Rechenleistung natürlich denken kann das man das irgendwie analysieren kann.

 

[Steffen]

Wie wahrscheinlich ist es denn, dass sich letztlich die Sache als CPU-Fehler herausstellt. Hat dann Intel ein Problem und jeder Besitzer einer Intel-CPU darf auf Tausch hoffen/klagen/einfordern?

Ich kenne mich mit den rechtlichen Aspekten nicht aus. Aber CPUs haben ja immer wieder kleinere Bugs, die per Microcode-Update behoben werden, und da gibt es in der Regel keinen Schadensersatz. Hier ist die Sache jetzt etwas anders, weil die Bugs massive Sicherheitslücken aufreißen und nicht alle von Intel selbst behoben werden können (sondern in Betriebssysteme und Anwendungen müssen Workarounds eingebaut werden, d.h. streng genommen behebt Intel die Fehler gar nicht alle). Wie das dann rechtlich zu beurteilen ist, da bin ich überfragt. Es könnte eventuell (reine Spekulation) auch einen Unterschied machen, ob man seine CPU vor oder nach Juni 2017 gekauft hat (seitdem sind Intel die Probleme bekannt).

meine frage: ich nutze windows 7 und einen xeon 1231V3.
muss ich das update ausführen? falls ich mich dagegen entschließe, um mein system nicht zu verlangsamen, welche konkreten gefahren setze ich mich aus? inwiefern wäre ein virenschutz hilfreich (aktuell nur windows defender)?

Installier das Update. Die Leistungseinbußen sind auf Desktop-PCs nach jetzigem Kenntnisstand nicht messbar bis minimal. Zum Thema Virenschutz siehe meinen vorigen Beitrag.

 

[Dark Matter]

Auf Schlangenöl wie Antivirenprogramme würde ich persönlich mich nicht verlassen. Manche fertige Exploits werden die vermutlich erkennen, aber umfassender Schutz ist nur dadurch möglich, dass die Ursache der Probleme beseitigt wird.

Ach Ihr Schlangenöl-Verschwörer....

Ein AV-Programm ist Teil eines Sicherheitskonzeptes. Kein AV-Programm zu nutzen ist keine Lösung sondern fahrlässig!

Und auch der Defender ist ein AV-Programm und wäre somit auch Schlangenöl. Den benutzt du aber doch sicher, oder etwa nicht?
Und der Defender reißt auch Sicherheitslücken ins System. In den letzten Monaten habe ich nur von Sicherheitslücken im Defender gelesen/gehört, aber nichts von z.b. Kaspersky, Norton oder Eset.

 

[Xmechanisator]

@bumbl73

ich würde das Update auf jeden Fall ausführen. Die teilweise genannten "Bis zu -30% Leistung" sind äußerst Fallabhängig. Wie gesagt, bei meinem Nutzverhalten habe ich mit dem Patch bisher _keinen_ Unterschied feststellen können. Wenn du dich entschließt, den Patch nicht zu installieren, was kann im schlimmsten Fall passieren?

Naja, ungepatcht heißt, dass ein (bösartiges) Programm über die Fehler an Informationen kommen kann, die es definitiv nicht haben soll. Ein Antivirenprogramm hilft nur _bedingt_ . I.d.R. wird ein Antivirenprogramm mit Signaturen versorgt, über welche es Schädliche Programme erkennt. Aber wie du dir schon denken kannst: Keine Signatur = kein schädliches Programm. Gerade wenn ein neues, bösartiges Programm rauskommt, dauert es 1-2 Tage, bis dein Antivirenprogramm es in seinen Signaturen drin hat.

 

[BrollyLSSJ]

Beim ersten meiner Systeme wurde mir heute Morgen das Update für W7 angeboten. Installation lief sauber durch und System hat normal gebootet. Ist ein Core 2 Duo Laptop. Beim zweiten System musste ich die Suche selber starten, weil ich den Rechner auch erst extra angeschaltet hatte. Ist ein Core 2 Duo Desktop ebenfalls mit W7. Auch hier lief die Installation und der folgende Boot sauber durch. Beide Rechner haben Kaspersky Free Antivirus. Die Updates für W7 werden also, sofern man ein kompatibles AV hat, per WU verteilt.

 

[Steffen]

Ein AV-Programm ist Teil eines Sicherheitskonzeptes. Kein AV-Programm zu nutzen ist keine Lösung sondern fahrlässig!

Ja, aber Antivirenprogrammen wird eine viel zu hohe Bedeutung beigemessen. Sie sind ein Baustein, aber viel wichtiger sind zum Beispiel regelmäßige Software-Updates.

 

[Pingumania]

sehr schöne diskussion, allerdings für den laien wie mich tlw. schwer verständlich bzw. nicht abschätzbar, was das für mich bedeutet..

meine frage: ich nutze windows 7 und einen xeon 1231V3.
muss ich das update ausführen? falls ich mich dagegen entschließe, um mein system nicht zu verlangsamen, welche konkreten gefahren setze ich mich aus? inwiefern wäre ein virenschutz hilfreich (aktuell nur windows defender)?

Wenn du automatische Updates aktiviert hast, wird es vermutlich nächste Woche installiert. Wir User werden keinen Leistungsunterschied feststellen können, somit bitte unbedingt das Update installieren. Es gibt schon genügend Benchmarks die zeigen, dass Spiele und Benutzeranwendungen keine Performance Änderungen zeigen.

 

[ldasta]

Vor allem existiert die Lücke seit 20 Jahren und erst jetzt hat man sie (öffentlich) erkannt - so schlimm kanns nicht sein.

Du verwechselst da was. Ein Bug der 20 Jahre lang nicht auftritt, ist auch kein Bug. Ok.
Aber eine Sicherheitslücke die erst nach 20 Jahren entdeckt wird, ist dann ein Risiko.

 

[Mr. Incredible]

@Epix
Mit welchem Programm hast du das geprüft? Auch will.

 

[Banned]

Man möge sich vorstellen, der bug fix würde für die Normalo-User solche Leistungseinbußen bedeuten, wie am Anfang teilweise verbreitet/spekuliert.

Da hätte man als Apple-Nutzer sein aufgrund von Akkuverschleiß ohnehin schon heimlich gedrosseltes Smartphone gleich in die Tonne kloppen können.


Aber krass, mit was da am Anfang für Werten um sich geschmissen wurde, die ja wie es mittlerweile aussieht, nur mit Realitätsfernen synthetischen Benchmarks erzielt werden können. Teilweise wohl für Clickbait, teilweise wohl, um Intel einen reinzuwürgen.

Da haben sie auf jeden Fall echt noch mal Schwein gehabt.
Im Prinzip werden davon wohl längerfristig alle Kunden profitieren. Denn so auf dicke Hose machen und dementsprechend die Preise setzen, wie in der Vergangenheit, wird in der nahen Zukunft bestimmt nicht mehr drinnen sein.

 

[Recharging]

Da haben sie auf jeden Fall echt noch mal Schwein gehabt.
Im Prinzip werden davon wohl längerfristig alle Kunden profitieren. Denn so auf dicke Hose machen und dementsprechend die Preise setzen, wird in der nahen Zukunft bestimmt nicht mehr drinnen sein.

Wäre ein Vorteil für uns Konsumenten ...
Aber ich höre ja schon wieder die Schreie, warum Intel nicht mit jeder Generation mind. + 30 % raushaut, weil das mit den Shrinks locker drin sein müsste. Schneller, höher, weiter ... in immer kürzerem Abstand. Der Qualität war das selten zuträglich.

 

[Sun_set_1]

Ich verstehe, dass Spectre nicht per Microcode behoben werden kann.
Aber was ist denn mit einer Art Killswitch im Mircrocode? So wie ich Spectre verstehe, muss zum Ausführen der Komponenten die CPU mehrfach und teils extrem in speculative execution gedrückt werden.

Könnte man nicht etwas in den Microcode einbauen, dass bei mehrfacher Wiederholung nicht erfolgreicher SE Ausführungen ein STOP eingeleitet wird? Mir ist klar, dass das in nem Freeze endet. Wäre mir aber lieber als das bleeden des RAM.

Natürlich besteht die Gefahr von false positive. Aber irgendwo müsste es einen sweetspot geben, eine Art Minimum an Taktzyklen die Spectre braucht und deren Häufigkeit an falschen SE Operationen im normalen Anwendungsfall einfach nicht vorkommt oder extrem selten...

CPU auf STOP / HALT bei Erkennung und gut ist...klar, nervig bei false positive. Wäre mir aber immer noch lieber als eine nicht patchbare Lücke.

 

[Epix]

@Mr. Incredible hab den link grade bit ein edetiert *GG

https://www.deskmodder.de/blog/2018/01/04/intel-cpu-sicherheitsluecke-mit-powershell-ueberpruefen-ob-die-schutzfunktion-aktiviert-ist/