Intel hätte schon vorgestern reagieren können. Sie haben sich aber entsprechend Zeit gelassen um ein nichtssagendes Pamphlet unter der ungewaschenen Masse zu verbreiten, dass ja alles gar nicht stimmt und vor allem: die anderen ja auch!!!

Wenn du nur weiter gegen Intel hetzen willst, bitte, mach, mach ich nur nicht mit. Dass Sicherheitslücken lange vorher bekannt sind und geheim gehalten werden ist keine Neuheit. Das ist Standard. Das so ein großes Unternehmen bei einem Leak vom Ganzen nicht von jetzt auf gleich irgendwas schreiben kann ist auch klar. Es gibt teilweise Lücken die über mehrere Monate bis Jahre vorher bekannt waren. Es gab Lücken die mussten Hacker erst mal von der NSA klauen, die schon seit Jahrzehnten da sind. Das ist einfach nur normal was gerade passiert, kein fail oder sonst was xD

https://support.microsoft.com/en-sg/help/4056891/windows-10-update-kb4056891

https://support.microsoft.com/en-sg/help/4056892

Ist das der Meltdown Patch? Steht nur was von Kernel.

Das ist einfach nur normal was gerade passiert, kein fail oder sonst was xD
Meltdown betrifft potentiell nahezu alle Intel-CPUs seit 1995. Klar, ganz normal.

Um es mal zusammenzufassen (korrigiert mich, wenn ich falsch liege):

Beide Sicherheitsprobleme basieren darauf, dass man lokal eine Anwendung ausführt. Es ist somit (noch) keine Remote-Lücke.

Problemkind #1: PC-Anwender. Da wir ja auf die glorreiche Idee kamen aus einem Browser ein zweites Betriebssystem zu machen, welches Random Code von irgendwo lädt und ausführt, ist somit jeder Anwender ohne Skript-Blocker prinzipiell in Gefahr.

Problemkind #2: Virtualisierungs-Dienstleister. Diese verkaufen einen Server mehrfach über VMs. Das Problem, dass ein VM Nutzer plötzlich mehr machen darf als vorgesehen gibt's nicht erst jetzt, gab es schon zig mal zuvor. Jeder der VMs anbietet und VMs nutzt weißt das, dass eine VM keine 100%ige Sicherheit gewährleisten kann. Es sind nun eben mehr Systeme betroffen. Zweites Problem ist, dass ein VM-System von den Performance-Problemen am stärksten betroffen ist. Die Lücke hat also Nachwirkungen.

kein Problemkind: Alle Systeme die keine beliebige Code-Ausführung erlauben. Irgendwelche Webserver und Co. die einfach nur Anfragen bearbeiten sind ohne Patch nicht direkt in Gefahr. Wenn es jemanden gelingt auf den Server drauf zu kommen, dann hat er in der Regel alles erreicht was es zu erreichen gibt.

Spectre gesellt sich zu Rowhammer. Ein prinzipbedingtes Problem, wo die Auswirkungen nur gemindert werden können, aber vermutlich nie ganz beseitigt, außer man lässt Hardware anders funktionieren.

Meltdown betrifft potentiell nahezu alle Intel-CPUs seit 1995. Klar, ganz normal.

Und jede andere Sicherheitslücke betrifft alle CPUs. Ist nicht so als wenn unsere Server und PC-Landschaft heterogen ist. Du hast hauptsächlich Windows auf PCs und Linux auf Servern.

Das Problem ist ein anderes. Ich vermute Intel sieht hier große Teile seines Vorsprungs vor dem Wettbewerb gefährdet. Wenn es grundlegender Änderung bedarf, dann könnte es sein die der technische Vorsprung schmilzt.

Meltdown betrifft potentiell nahezu alle Intel-CPUs seit 1995. Klar, ganz normal.
und muß mit höchstem Aufwand in einer Nacht-und Nebelaktion mit tiefgreifenden Änderungen am Kernel entschärft werden - klar ganz normal. Und die Krönung ist dann das gestrige Intel-Statement, daß alles mit allem und jedem vermischt um nur ja keinen eigenen Fehler zugeben zu müssen. Klar, daß sowas nicht gut ankommt.

Das Problem ist ein anderes. Ich vermute Intel sieht hier große Teile seines Vorsprungs vor dem Wettbewerb gefährdet. Wenn es grundlegender Änderung bedarf, dann könnte es sein die der technische Vorsprung schmilzt.

Sorgt hoffentlich dafür, dass man sich nicht global nur auf einen einzigen Hersteller versteift. Und auch hoffentlich, dass solche Kamikaze-Spekulationen in CPUs nicht noch mal vorkommen.

diese Algorythmen, die scheinbar nun seit 1995 existieren, sind doch aufirgendjemandes Mist gewachsen. Waren das damals die Jungs&Mädels aus Israel mit ihrem ersten Core/Memrom Zeugs? würde mich ja mal interessieren, was die dazu sagen...

Was sollen sie sagen? Dass sie mit Pentium-M Intel gerettet haben?

https://lkml.org/lkml/2018/1/3/797

Linus (nicht der von Youtube) ist wohl aktuell mit Intels Aussagen nicht so einverstanden... :freak:

diese Algorythmen, die scheinbar nun seit 1995 existieren, sind doch aufirgendjemandes Mist gewachsen.

Name-Calling bei Sicherheitslücken lässt man in der Regel sein. Das führt zu nichts Gutem und bringt auch gar nichts. Dafür muss Intel als Firma gerade stehen und nicht irgend ein Mitarbeiter der vermutlich eh schon gar nicht mehr dort arbeitet.

Was ich viel lustiger/trauriger finde, ist dass Intels CEO seine Aktien (zumindest so viel er verkaufen durfte) alle verkauft hat. Ich weiß es gibt nur bestimmte Zeitfenster, in denen hochrangige Mitarbeiter das tun dürfen, aber da werden sich die Intel-Aktionäre freuen...

Was ich noch lustiger/trauriger finde, ist die Reaktion von Intel und der Versuch alle anderen mit ins schwarze Loch zu stürzen, mit Ihrer Aussage, dass nicht nur sie betroffen sind. Lisa Su hat gestern noch ein Statement herausgegeben, in dem ganz offen Intels Statement zersägt wird. Gut so. Wieder eine Intel Manipulation, die man abstrafen sollte mMn. Halbwahrheiten, um den Konkurrenten zu schaden, fast so lustig wie ein zusammengeklebter Epyc ;D

Wundere mich gerade, was ab geht, da 90% der offiziellen Institutionen, Militär, etc. auf Intel Prozessoren setzen :freak:

Hier kann man alles schönreden, etc. Abgesehen vom tatsächlichen Ausmaß des praktischen Problems, finde ich wieder einmal die Machenschaften von Intel das größere Problem. Im Kunden-Verarschen sind Intel und Nvidia wieder einmal im selben Boot. Das so etwas vom Endkunden oder Großkunden unterstützt wird (nun ja, bis jetzt bot AMD leider keine wirkliche Alternative, nun endlich schon), finde ich wirklich bescheuert. Lass uns doch mal sehen, wie es weitergehen wird.

MMn wird sich Intel aus der Affäre wieder rauskaufen oder rausschleimen.

edit: Bevor wieder das eine oder andere Lager einen dicken Hals kriegt. Jede Firma versucht soviel Geld wie möglich auf Kosten der Kunden zu machen, AMD natürlich auch. Trotzdem sollten vernünftige Menschen solche Machenschaften nicht dulden und Konsequenzen ziehen.

https://lkml.org/lkml/2018/1/3/797

Linus (nicht der von Youtube) ist wohl aktuell mit Intels Aussagen nicht so einverstanden... :freak:

Unneu, aber charmant wie immer. Ist das die Kritik an den Patchentwicklern?

.. and that really means that all these mitigation patches should be
written with "not all CPU's are crap" in mind.
---------------------------------------------------

Was soll denn Intel passieren? Ihnen Fahrlässigkeit oder Bösartigkeit vorzuwerfen, ist IMO absurd. Ja, die Aktie wird leiden, vielleicht melden sich auch Anwälte anderer Unternehmen bei Intel wegen der gestrigen Pressemitteilung.

Nebenbei_
Intel hat schon angedeutet, dass sie mit der Berichterstattung in den vielen Medien nicht ganz glücklich sind. Würde mich nicht wundern, dass so manche Redaktionen ihre Artikel "korrigieren" werden.

We translated Intel's crap attempt to spin its way out of CPU security bug PR nightmare (https://www.theregister.co.uk/2018/01/04/intels_spin_the_registers_annotations/)
:D

Heute soll das Patch kommen, weiß jemand wann? Und Dr. Windows sagt das nicht alle das Patch überhaupt bekommen, auch wenn sie betroffen sind.
Da das Patch mit der heizen Nadel beschrieben würde. Und Probleme macht bei der Installation.

https://www.drwindows.de/news/cpu-luecke-microsoft-patcht-google-erklaert-amd-dementiert

Was ich noch lustiger/trauriger finde, ist die Reaktion von Intel und der Versuch alle anderen mit ins schwarze Loch zu stürzen, mit Ihrer Aussage, dass nicht nur sie betroffen sind. Lisa Su hat gestern noch ein Statement herausgegeben, in dem ganz offen Intels Statement zersägt wird.

Das war Google und nicht Intel, und sollte sich das bewahrheiten dann könnte man Lisa Su strafrechtlich belangen.

kein Problemkind: Alle Systeme die keine beliebige Code-Ausführung erlauben. Irgendwelche Webserver und Co. die einfach nur Anfragen bearbeiten sind ohne Patch nicht direkt in Gefahr. Wenn es jemanden gelingt auf den Server drauf zu kommen, dann hat er in der Regel alles erreicht was es zu erreichen gibt.
Ähm, nein - gerade Webserver sind davon auch sehr stark betroffen.
Auf jedem zweiten läuft hautzutage ein Wordpress, Joomla oder co., für welche quasi wöchentlich! Sicherheitslücken aufgedeckt werden, welche irgendwelchen unauthorisierten Code Upload erlauben.
Dieser kann dann anschliessend aufgerufen werden und auch wenns als unprivilegierter User läuft - scheint ja einmal mehr beim aktuellen Problem keine Rolle zu spielen, wenn ja selbst JS im Browser ein Einfallstor sein kann.

Name-Calling bei Sicherheitslücken lässt man in der Regel sein. Das führt zu nichts Gutem und bringt auch gar nichts. Dafür muss Intel als Firma gerade stehen und nicht irgend ein Mitarbeiter der vermutlich eh schon gar nicht mehr dort arbeitet.

Hmm, interessante Einstellung... imho aber falsch. Jedoch: bequem...

Ähm, nein - gerade Webserver sind davon auch sehr stark betroffen.

Aber nur indirekt. Wie gesagt. Wenn du schon auf dem Server bist, dann hast du in der Regel alles was du willst. Du kannst zwar nun noch mehr anstellen, aber alleine die Existenz von diesen Lücken gibt dir keinen Zugang. Du wirst nun nicht plötzlich Twitter, Facebook, Google und YouTube hacken können deswegen. Du brauchst erst ein vorgelagertes Problem.

Den Patch einspielen muss man natürlich. Aber es ist nicht akut so wie bei VMs.

Hmm, interessante Einstellung... imho aber falsch. Jedoch bequem...

Nein. Menschen machen Fehler und wenn schon sämtliche Arbeit, die du auf Arbeit verrichtest, dem Arbeitgeber gehört, dann hat der dafür auch zu haften. Was genau versprichst du dir davon die Person zu kennen? Willst du sein Leben zerstören?

Übrigens ist Meltdown nicht Intel-Only. ARM Cortex-A75 CPUs sind auch betroffen. Ändert natürlich nichts daran, dass Intel-CPUs kaputt sind.

https://developer.arm.com/support/security-update

Nein. Menschen machen Fehler und wenn schon sämtliche Arbeit, die du auf Arbeit verrichtest, dem Arbeitgeber gehört, dann hat der dafür auch zu haften. Was genau versprichst du dir davon die Person zu kennen? Willst du sein Leben zerstören?
Nach außen muss Intel geradestehen, intern wird sicherlich geprüft wer dafür verantwortlich ist. Da die "Bugs" allerdings seit mehreren Generationen mitgeschleppt werden wird man vermutlich eher prüfen warum so lange keiner darauf gestoßen ist.
Letztendlich sind die Fehler doch auf eine recht aggressive Strategie beim spekulativen Vorbefüllen des Speichers (ganz vereinfacht formuliert!) zurückzuführen. Ich gehe stark davon aus, dass das nicht von irgendeinem Ingenieur entschieden sondern von höherer Stelle abgesegnet und das Risiko zu Gunsten der Performance in Kauf genommen wurde. Wenn Intel schlau ist, wird man daraus lernen und in Zukunft von solchen Praktiken absehen... komplett sicher kann man trotzdem nicht sein, deswegen spricht AMD ja auch von "near Zero Risk".

Nach außen muss Intel geradestehen, intern wird sicherlich geprüft wer dafür verantwortlich ist. Da die "Bugs" allerdings seit mehreren Generationen mitgeschleppt werden wird man vermutlich eher prüfen warum so lange keiner darauf gestoßen ist.

Natürlich muss das intern untersucht werden. Aber hier wurde quasi verlangt die verantwortliche Person / Personen an den Pranger zu stellen. Je nach schwere der Lücke können Personen auch ihren Job verlieren, aber das ist noch was anderes als wenn man sie öffentlich zur Schau stellt.

Es gibt genug bescheuerte Menschen auf der Welt und es gab auch schon Fälle wo Leute aufgrund von "Twitter Lynch Mobs" sich das Leben genommen haben. Name-Calling ist kein Spaß, das kann ganz böse ins Auge gehen.

Falls es KB4056892 ist, dann wird die Shice gerade bei mir installed.

Natürlich muss das intern untersucht werden. Aber hier wurde quasi verlangt die verantwortliche Person / Personen an den Pranger zu stellen. Je nach schwere der Lücke können Personen auch ihren Job verlieren, aber das ist noch was anderes als wenn man sie öffentlich zur Schau stellt.

Es gibt genug bescheuerte Menschen auf der Welt und es gab auch schon Fälle wo Leute nach "Twitter Lynch Mobs" sich das Leben genommen haben. Name-Calling ist kein Spaß, das kann ganz böse ins Auge gehen.
Sowas zu fordern ist natürlich quatsch und vollkommen realitätsfremd und ich hoffe, dass niemand ernsthaft auf solche Forderungen eingehen wird. Manchmal sollte man sich selber mal vor Augen führen wie oft man im Arbeitsalltag nicht die Zeit hat um alle Eventualitäten abzusichern.

Übrigens ist Meltdown nicht Intel-Only. ARM Cortex-A75 CPUs sind auch betroffen. Ändert natürlich nichts daran, dass Intel-CPUs kaputt sind.

https://developer.arm.com/support/security-update
Von Variante 1 und 2 sind einige ARMs betroffen. Darunter auch ARMs, welche man in Smartphones findet (= Android mit der "tollen" Updatesituation").

Nach außen muss Intel geradestehen, intern wird sicherlich geprüft wer dafür verantwortlich ist. Da die "Bugs" allerdings seit mehreren Generationen mitgeschleppt werden wird man vermutlich eher prüfen warum so lange keiner darauf gestoßen ist.
Letztendlich sind die Fehler doch auf eine recht aggressive Strategie beim spekulativen Vorbefüllen des Speichers (ganz vereinfacht formuliert!) zurückzuführen. Ich gehe stark davon aus, dass das nicht von irgendeinem Ingenieur entschieden sondern von höherer Stelle abgesegnet und das Risiko zu Gunsten der Performance in Kauf genommen wurde. Wenn Intel schlau ist, wird man daraus lernen und in Zukunft von solchen Praktiken absehen... komplett sicher kann man trotzdem nicht sein, deswegen spricht AMD ja auch von "near Zero Risk".

Es gibt bei sowas nicht aber nicht nur einen der dafür verantwortlich ist. Wieso nicht die Qualitätssicherung? Immerhin haben die das ja auch nicht gefunden. :ugly:

Da sind viel zu viele Personen und Prozesse involviert um sowas auf einen Menschen zurückzuführen.

Wäre es möglich das Thema zu splitten?
1) Nur relevante technische Infos und Diskussion (Wer ist betroffen und Wie? Patches, Performance... Links etc.)
2) PR, Haftung... das restliche Gelaber um den Markt

Von Variante 1 und 2 sind einige ARMs betroffen. Darunter auch ARMs, welche man in Smartphones findet (= Android mit der "tollen" Updatesituation").

CVE-2017-5753 und CVE-2017-5715 sind Spectre, CVE-2017-5754 ist Meltdown.

Nach außen muss Intel geradestehen, intern wird sicherlich geprüft wer dafür verantwortlich ist. Da die "Bugs" allerdings seit mehreren Generationen mitgeschleppt werden wird man vermutlich eher prüfen warum so lange keiner darauf gestoßen ist.
Letztendlich sind die Fehler doch auf eine recht aggressive Strategie beim spekulativen Vorbefüllen des Speichers (ganz vereinfacht formuliert!) zurückzuführen. Ich gehe stark davon aus, dass das nicht von irgendeinem Ingenieur entschieden sondern von höherer Stelle abgesegnet und das Risiko zu Gunsten der Performance in Kauf genommen wurde. Wenn Intel schlau ist, wird man daraus lernen und in Zukunft von solchen Praktiken absehen... komplett sicher kann man trotzdem nicht sein, deswegen spricht AMD ja auch von "near Zero Risk".

Das ist gerade die Frage, ob es ein Bug ist oder ein "Bug". Eine CPU-Generation wird ja nicht von heute auf morgen entwickelt, Intel muss sich somit "nur" vorwerfen lassen, ob sie in der Vergangenheit nicht hätten erkennen müssen, dass ihr langjähriges Design Ende 2017/Anfang 2018 aus sicherheitstechnischer Sicht mangelhaft ist.

Und Intel hat irgendwie Recht: Ihre CPUs funktionieren so, wie es sein soll, also fehlerfrei.

Leider funktioniert der Markt so nicht. Als Nutzer interessiert mich das recht wenig, sondern die Berichterstatung hat aufgezeigt, dass mein PC unsicher sein kann.

Es gibt bei sowas nicht aber nicht nur einen der dafür verantwortlich ist. Wieso nicht die Qualitätssicherung? Immerhin haben die das ja auch nicht gefunden. :ugly:

Da sind viel zu viele Personen und Prozesse involviert um sowas auf einen Menschen zurückzuführen.
Eben, ich denke das war mitte der 90er eine "politische" Entscheidung ala "die Performance muss stimmen, um die Probleme kümmern wir uns später". Sowas entscheidet kein einfacher Ingenieur, das kommt von Oben (analog zu der VW Abgas Geschichte). Den Fehler bei einer Person oder einigen wenigen Personen zu suchen bringt nichts.

Wenn alle Fakten auf dem Tisch sind werden sich die entsprechenden Stellen mit der Haftung beschäftigen, dann ist halt entscheidend ob man nachweisen kann in wie weit Intel das Risiko bewusst war.

Das ist gerade die Frage, ob es ein Bug ist oder ein "Bug". Eine CPU-Generation wird ja nicht von heute auf morgen entwickelt, Intel muss sich somit "nur" vorwerfen lassen, ob sie in der Vergangenheit nicht hätten erkennen müssen, dass ihr langjähriges Design Ende 2017/Anfang 2018 aus sicherheitstechnischer Sicht mangelhaft ist. ...
und das finde ich schon auch sehr schwach von Intel bzw. kann ich es mir eigentlich kaum vorstellen, daß man diesen Unsicherheitsfaktor, der _prinzipiell_ jedem, der sich nur etwas mit CPUs auskennt, sofort einleuchtet, über diesen ganzen Zeitraum nicht erkannt haben will

und das finde ich schon auch sehr schwach von Intel bzw. kann ich es mir eigentlich kaum vorstellen, daß man diesen Unsicherheitsfaktor, der _prinzipiell_ jedem, der sich nur etwas mit CPUs auskennt, sofort einleuchtet, über diesen ganzen Zeitraum nicht erkannt haben will

Der "Fehler" leuchtet jedem ein, darum hat man das Problem erst 2017 erkannt? Und das woh vonl von Google Project Zero (https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html). Nach deiner Argumentation sind alle an dieser Sicherheitslücke beteiligt, die Ahnung von CPUs haben: Microsoft, Apple, Google, IBM, HP, Oracle/Sun, Amazon... Sie hätten den Fehler vor Jahren sehen müssen und ihre Betriebssysteme/Produkte abdichten.

Leider ist aber gerade eine ziemliche Panik unter Normalanwendern deswegen. Und hier muss man einfach mal auf die Bremse treten. Die Medien schreiben den Kram gerade alle so, als wenn demnächst alle Intel-CPUs nur noch halbe Leistung liefern. Dass Performance-Probleme nur in bestimmten Workloads auftreten und auch stark von der verwendeten Hardware abhängen sagt kaum einer.

Normalanwender kompilieren auch nicht sonderlich viel ... da hast du nicht auf die Bremse treten wollen.

Wäre es möglich das Thema zu splitten?
1) Nur relevante technische Infos und Diskussion (Wer ist betroffen und Wie? Patches, Performance... Links etc.)
2) PR, Haftung... das restliche Gelaber um den Markt

Ich denke mal darüber nach und splitte dann ggf. heute Abend, aber von mir aus kannst du im Benchmark-Unterforum einen reinen Benchmark-Thread dazu auf machen.

Normalanwender kompilieren auch nicht sonderlich viel ... da hast du nicht auf die Bremse treten wollen.

Vollkommen andere Thematik. Lasst mich bitte mit euren Intel vs AMD Flamewars in Ruhe. :ugly: Bei AMD ging es mir darum, dass Leute eine heile CPU bekommen, hier geht es mir darum, dass Leute die Updates einspielen.

der Linux-Meltdown/PTI-Fix wird für AMD nicht angewendet

https://twitter.com/phoronix/status/948725135971897345

Ohne jetzt den Verschwörungs-Theoretiker raushängen zu lassen und auch wenn ich die technischen Zusammenhänge nicht annähernd verstehe.

Ich glaube einfach nicht, dass Hochtechnologie-Unternehmen 22 Jahre einen Bug unbemerkt mitschleppen. Das ganze lief ja über Generationen von CPUs und ebenso über Generationen von Betriebssystemen.
Da dieser "Bug" 22 Jahre für die IT-Welt keine Rolle gespielt hat, drangt sich mir der Verdacht auf, dass hier eine gewollte Hintertür gefunden wurde.

Nach meinem laienhaften Verständnis kann man sowohl mit Meltdown wie auch mit Spectre massiven Schaden auf angegriffenen Systemen herbeiführen.
Bei Meltdown betrifft nur Intel, kann man Speicherbereiche lesen und manipulieren und bei Spectre "nur" lesen, richtig?
Das Betriebssystem spielt da in HW gegossen zuerst mal keinen Rolle.

Zum jetzigen Zeitpunkt kann man Meltdown per Patch aushebeln, Spectre aber nicht!?
Da Meltdown 22 Jahre und Spectre( ja wieviel Jahre dürfen wir und darüber eigentlich freuen?) zum jetzigen Zeitpunkt faktisch alle Systeme betreffen kann ich mir nicht vorstellen, dass dies zu einem früheren Zeitpunkt nicht bekannt gewesen sein sollte oder jemanden schon mal aufgefallen ist.

Also vielleicht findet der Overgau zur Zeit gar nicht in der Konsumer- und Business-Welt sondern in der Welt der Spionage und und Observation, durch wenn auch immer statt.

Vollkommen andere Thematik. Lasst mich bitte mit euren Intel vs AMD Flamewars in Ruhe. :ugly: Bei AMD ging es mir darum, dass Leute eine heile CPU bekommen, hier geht es mir darum, dass Leute die Updates einspielen.

Hier herrscht kein Flamewar, mit der Rhetorik kannst du den Leuten auf Reddit oder im CB Forum kommen, aber nicht mir.

Wenn du nur weiter gegen Intel hetzen willst, bitte, mach, mach ich nur nicht mit. Dass Sicherheitslücken lange vorher bekannt sind und geheim gehalten werden ist keine Neuheit. Das ist Standard. Das so ein großes Unternehmen bei einem Leak vom Ganzen nicht von jetzt auf gleich irgendwas schreiben kann ist auch klar. Es gibt teilweise Lücken die über mehrere Monate bis Jahre vorher bekannt waren. Es gab Lücken die mussten Hacker erst mal von der NSA klauen, die schon seit Jahrzehnten da sind. Das ist einfach nur normal was gerade passiert, kein fail oder sonst was xD

AMD hat ziemlich flott ein konkretes Statement rausgehauen. Das kann sich eventuell als falsch herausstellen, aber sie beziehen eine klare Position bezüglich der Situation ihrer Produkte.

Intel versucht nur die Sache herunter zu spielen, ich habe von Intel keine klare Aussage gesehen bisher, nur Schadensbegrenzung und "A-aber die Anderen habens auch!" was so nicht zu stimmen scheint.

Das ist keine Hetze gegen Intel, sondern eine legitime Feststellung das Intel sich nicht gerade mit Ruhm bekleckert bei der Handhabung der Sache.

Unser lokaler HPC Anbieter (Institution des Landes) ging gerade offline "until further notice"

Intel versucht nur die Sache herunter zu spielen, ich habe von Intel keine klare Aussage gesehen bisher, nur Schadensbegrenzung und "A-aber die Anderen habens auch!" was so nicht zu stimmen scheint.


Google (Project Zero) sagt was anderes.. Momentan ist die Situation absolut unklar und Misstrauen gegenüber jeder Aussage von Herstellern ist mehr alsangebracht

Ohne jetzt den Verschwörungs-Theoretiker raushängen zu lassen und auch wenn ich die technischen Zusammenhänge nicht annähernd verstehe.

Ich glaube einfach nicht, dass Hochtechnologie-Unternehmen 22 Jahre einen Bug unbemerkt mitschleppen. Das ganze lief ja über Generationen von CPUs und ebenso über Generationen von Betriebssystemen.
Da dieser "Bug" 22 Jahre für die IT-Welt keine Rolle gespielt hat, drangt sich mir der Verdacht auf, dass hier eine gewollte Hintertür gefunden wurde.

Nach meinem laienhaften Verständnis kann man sowohl mit Meltdown wie auch mit Spectre massiven Schaden auf angegriffenen Systemen herbeiführen.
Bei Meltdown betrifft nur Intel, kann man Speicherbereiche lesen und manipulieren und bei Spectre "nur" lesen, richtig?
Das Betriebssystem spielt da in HW gegossen zuerst mal keinen Rolle.

Zum jetzigen Zeitpunkt kann man Meltdown per Patch aushebeln, Spectre aber nicht!?
Da Meltdown 22 Jahre und Spectre( ja wieviel Jahre dürfen wir und darüber eigentlich freuen?) zum jetzigen Zeitpunkt faktisch alle Systeme betreffen kann ich mir nicht vorstellen, dass dies zu einem früheren Zeitpunkt nicht bekannt gewesen sein sollte oder jemanden schon mal aufgefallen ist.

Also vielleicht findet der Overgau zur Zeit gar nicht in der Konsumer- und Business-Welt sondern in der Welt der Spionage und und Observation, durch wenn auch immer statt. Da passt das wie die Faust aufs Auge https://t3n.de/news/intel-ceo-aktienverkauf-899337/

und das finde ich schon auch sehr schwach von Intel bzw. kann ich es mir eigentlich kaum vorstellen, daß man diesen Unsicherheitsfaktor, der _prinzipiell_ jedem, der sich nur etwas mit CPUs auskennt, sofort einleuchtet, über diesen ganzen Zeitraum nicht erkannt haben will
Natürlich, darum hat es seit 20 Jahren (bei Intel CPU's) auch keiner ausserhalb von Intel bemerkt, nicht zu vergessen dass dieser Unsicherheitsfaktor (zumindest ein Teil davon) ja auch von ALLEN andern Prozessorherstellern (AMD, ARM, IBM, etc.) im Laufe der Zeit eingebaut wurde.
:facepalm:

AMD hat ziemlich flott ein konkretes Statement rausgehauen. Das kann sich eventuell als falsch herausstellen, aber sie beziehen eine klare Position bezüglich der Situation ihrer Produkte.

Ja, sie sagen "Wir sind nicht von allen Problemen betroffen", daraus macht die AMD-Fanboy Gruppe "AMD ist nicht betroffen".

Intel versucht nur die Sache herunter zu spielen, ich habe von Intel keine klare Aussage gesehen bisher, nur Schadensbegrenzung und "A-aber die Anderen habens auch!" was so nicht zu stimmen scheint.

Klar wollen sie es herunterspielen. Aber die Aussage "Die anderen haben es auch" stimmt. ARM Cortex-A75 z.B.
Aber das AMD nicht betroffen ist sagt nur AMD. Sonst keiner. Die allgemeine Stellungname ist "wir konnten es bisher nicht nachvollziehen" oder "wir haben es noch nicht probiert".

Aber ich behaupte auch nicht, dass AMD von Meltdown betroffen ist. Linus vertraut hier auch voll und ganz AMD.

Das ist keine Hetze gegen Intel, sondern eine legitime Feststellung das Intel sich nicht gerade mit Ruhm bekleckert bei der Handhabung der Sache.

Von mir aus drescht alle auf Intel ein, mir egal. Aber bleibt dabei bei den Fakten und erzählt nicht irgend einen Blödsinn und zieht euch Zahlen aus dem Popo.

Es tauchen immer mal wieder Seitenkanalangriffe auf. Das ist in etwa so, wie wenn man hinter jeder Klasse von Sicherheitslücken eine mutwillige Sabotage vermutet. Es ist eben sehr schwierig fehlerfreie Software und CPUs zu bauen.

Soweit ich weiß, sind Seitenkanalangriffe schon eine sehr hohe Kunst und erst seit sie als praktikabel erachtet werden, hat man überhaupt erst angefangen die Problematik langsam zu verstehen und Konsequenzen zu ziehen. Das ist vermutlich nichts, was man mal eben bewusst als Lücke einbauen kann.

Nur mal so: AES-GCM, was wir hier als symmetrische Chiffre im Forum und der Großteil des Webs für TLS aktiv haben, ist in Software unglaublich schwierig zu implementieren, wodurch es bei der kleinsten fehlerhaften Implementierung automatisch für Seitenkanalangriffe anfällig wird. Ohne AES-NI ist das wohl ein enormer Aufwand es dagegen irgendwie abzusichern. Ist das jetzt eine mutwillige Sabotage, für die Köpfe rollen sollten, obwohl es die klügsten Köpfe weltweit nur mit Ach und Krach hinbekommen? Wahrscheinlich nicht, oder?

Man muss eben zukünftig Konsequenzen bei der Architektur der Prozessoren und Software ziehen, dass man solche Probleme möglichst schon im Vorfeld aus dem Weg räumt. Durch solche Probleme werden aber nicht alle Entwickler rückwirkend zu Handlangern der NSA.

Nach meinem laienhaften Verständnis kann man sowohl mit Meltdown wie auch mit Spectre massiven Schaden auf angegriffenen Systemen herbeiführen.
Bei Meltdown betrifft nur Intel, kann man Speicherbereiche lesen und manipulieren und bei Spectre "nur" lesen, richtig?
Das Betriebssystem spielt da in HW gegossen zuerst mal keinen Rolle.
Nein, beide erlauben "nur" das lesen von Daten (das hat Intel in deren Statement schon korrekt geschrieben :freak:) aber damit steht als Folge davon dann potenziell Tür und Tor offen um ein betroffenes System komplett zu übernehmen.

Ja, sie sagen "Wir sind nicht von allen Problemen betroffen", daraus macht die AMD-Fanboy Gruppe "AMD ist nicht betroffen".

Wenn du Fanboys ernst nimmst, ist das dein Problem. Habe Niemanden hier im Thread gesehen der diese Meinung vertritt. Und Was Reddit und CB denken ist für 3cb auch reichlich irrelevant, ich sehe 3cb Forenposts nicht als primäre Informationsquelle für Reddit und CB.


Klar wollen sie es herunterspielen. Aber die Aussage "Die anderen haben es auch" stimmt. ARM Cortex-A75 z.B.

Naja, "stimmen oder nicht", also ja oder nein, ist zu undifferenziert da es hier ja um 3 verschiedene Varianten geht.


Aber das AMD nicht betroffen ist sagt nur AMD. Sonst keiner.

Und? Bis das Gegenteil bewiesen wurde (wofür ich noch keine Anzeichen gesehen habe, oder hast du eine Quelle?) glaube ich das AMD. Die Konsequenzen für AMD sich da aus dem Fenster zu hängen sind auch nicht ohne.


Die allgemeine Stellungname ist "wir konnten es bisher nicht nachvollziehen" oder "wir haben es noch nicht probiert".

Nein, AMDs Stellungname ist deutlich konkreter: https://www.amd.com/en/corporate/speculative-execution

Da auch auf der linux kernel mailing liste von einem AMD Mitarbeiter ein entsprechender Patch vorgeschlagen und akzeptiert wurde, der AMD von den Änderungen die man für alle anderen (Intel) x86 CPUs einpflegt, gehe ich davon aus das AMD sich mit dem Thema beschäftigt hat.

Was daran "wir konnten es bisher nicht nachvollziehen" oder "wir haben es noch nicht probiert" ist entzieht sich meinem Verständnis.


Von mir aus drescht alle auf Intel ein, mir egal. Aber bleibt dabei bei den Fakten und erzählt nicht irgend einen Blödsinn und zieht euch Zahlen aus dem Popo.

Ich habe mir bisher rein gar nichts aus dem Popo gezogen, du so Einiges. Fakten hast du auch schlicht ignoriert.

Nur weil Journalismus ein sehr leidiges Thema ist und die Öffentlichkeit in der Regel dumm und panisch reagiert, musst du nicht so tun als ob jeder Einzelne hier im 3cb genauso reagiert.

Meine großzügige Ignoreliste vermittelt mir aber vielleicht ein anderes Gesamtbild ...

Es tauchen immer mal wieder Seitenkanalangriffe auf. Das ist in etwa so, wie wenn man hinter jeder Klasse von Sicherheitslücken eine mutwillige Sabotage vermutet. Es ist eben sehr schwierig fehlerfreie Software und CPUs zu bauen.

Soweit ich weiß, sind Seitenkanalangriffe schon eine sehr hohe Kunst und erst seit sie als praktikabel erachtet werden, hat man überhaupt erst angefangen die Problematik langsam zu verstehen und Konsequenzen zu ziehen. Das ist vermutlich nichts, was man mal eben bewusst als Lücke einbauen kann.
Dann ist es aber nach meinem Verständnis kein HW Bug sondern ein Problem des Betriebssystems wie sie mit den HW Funktionen umgehen. Mann sieht ja recht gut, dass nach dem Bekanntwerden von Meltdown sehr schnell Reaktionen folgten die das Problem im Griff haben. Das dann Performance verloren geht, sollte nicht das Problem von Intel sein.
Es würde mich in diesem Fall interessieren, ob AMD und Intel dann bei der Performance gleichauf sind wenn der Meltdown-Patch auf einem Intel System aktiv ist und auf einem AMD System nicht.

Mal eine Frage (möglicherweise wurde das schon beantwortet und ich habe es nicht gesehen).

Wie sieht es mit den alten und klassischen Atom-CPUs (In-Order) aus, die damals während dem Netbook-Boom verbaut wurde, z.B. N280.


Ich kenne nämlich noch den ein oder anderen, der damit nach meinem Kenntnisstand immer noch unter Windows XP (*FACEPALM*) unterwegs ist.

Ich kenne nämlich noch den ein oder anderen, der damit nach meinem Kenntnisstand immer noch unter Windows XP (*FACEPALM*) unterwegs ist.

Die haben ganz andere Sorgen

AMD hat ziemlich flott ein konkretes Statement rausgehauen. Das kann sich eventuell als falsch herausstellen, aber sie beziehen eine klare Position bezüglich der Situation ihrer Produkte.


Haben sie nicht, AMD hatte genausoviel Vorbereitungszeit für das Statement wie Intel. Also seit Juli bzw. November. Die Fixes von MS und im Linux Kernel standen seit November zur Verfügung. Das Problem dürfte AMD schon deutlich vorher mitgeteilt worden sein, vermutlich zeitlgleich mit Intel im Juli. Imo genug Zeit um mit den Ingenieuren eine in-Depth Analyse zu machen inwiefern man betroffen ist.


Ich glaube einfach nicht, dass Hochtechnologie-Unternehmen 22 Jahre einen Bug unbemerkt mitschleppen. Das ganze lief ja über Generationen von CPUs und ebenso über Generationen von Betriebssystemen.
Da dieser "Bug" 22 Jahre für die IT-Welt keine Rolle gespielt hat, drangt sich mir der Verdacht auf, dass hier eine gewollte Hintertür gefunden wurde.

Nach meinem laienhaften Verständ

Das darfst du schon glauben. Seitenkanalangriffe waren früher noch gar nicht erforscht. Die Simulation solcher elektromagnetischer Intereferenzen die bei etwas wie Rowhammer genutzt werden, ist erst seit einigen Jahren möglich, bei älteren Prozessfertigungen womöglich sogar gar kein Problem.
Wenn davon vor 22 Jahren schon jemand wusste hieß das die haben einen Technologie- und Forschungsvorsprung von 22Jahren vor der globalen Privatwirtschaft. Das ist praktisch unmöglich.

Ohne jetzt ein Zitatmassaker zu verüben: Wenn man sich die Talks vom 34c3 zu Intels Management Engine anschaut, da glaubt man durchaus das das schlicht Inkompetenz war, was mir glaubhaft erscheint. Weil da natürlich die gleichen Ideen aufkommen: Absichtlich für Geheimdienste eingebaut.

Wenn das zutrifft, dann sind die Geheimdienste verdammt kompetent, denn die haben sich überall unzählige als Sicherheitslücken getarnte Backdoors eingebaut.

Da Geheimdienste sonst eher relativ inkompetent agieren, würde ich nach Occam gehen und sagen es sind einfach nur Bugs.

Wenn man mal eine NSA Backdoor findet dann sicher etwas halbwegs Dämliches mit hartkodiertem "NSARULEZ" Passwort.

Naja, "stimmen oder nicht", also ja oder nein, ist zu undifferenziert da es hier ja um 3 verschiedene Varianten geht.

Ja, und ARM Cortex-A75 ist von allen 3 Varianten betroffen. Auch Meltdown. Also stimmt die Aussage von Intel. Fertig. Intel hat nie behauptet das ALLE anderen auch betroffen sind.

Ich habe mir bisher rein gar nichts aus dem Popo gezogen, du so Einiges. Fakten hast du auch schlicht ignoriert.

Darfst mir gerne Beispiele nennen, wo ich irgendwas "erfunden" habe ohne Beispiele. Ich warte immer noch auf die >30% Performance-Verlust Benchmarks. Bis auf etwa ~20% im VM-Umfeld und irgendwelche Microbenchmarks habe ich davon noch nichts gesehen. Nur "bla bla bla kann man nicht wissen bla bla kann viel schlimmer sein bla bla bla die jetzigen Benchmarks sagen gar nichts bla bla". Ansonsten steht weiterhin das im Raum was auch in der 3DC-News dazu steht... ~5%

Haben sie nicht, AMD hatte genausoviel Vorbereitungszeit für das Statement wie Intel. Also seit Juli bzw. November. Die Fixes von MS und im Linux Kernel standen seit November zur Verfügung. Das Problem dürfte AMD schon deutlich vorher mitgeteilt worden sein, vermutlich zeitlgleich mit Intel im Juli. Imo genug Zeit um mit den Ingenieuren eine in-Depth Analyse zu machen inwiefern man betroffen ist.

Ja und wie widerspricht das jetzt meiner Aussage? AMD hat das Problem vermutlich analysiert, ein Statement vorbereitet und in der Schublade gelassen bis Tag X. Weil man sich wohl untereinander (Microsoft, Linux, Apple, Intel, AMD, ARM, Google ...) darauf geeinigt hat das nicht rauszuschreien.

Wie sieht es mit den alten und klassischen Atom-CPUs (In-Order) aus, die damals während dem Netbook-Boom verbaut wurde, z.B. N280.

Stand in irgendeiner Meldung, dass die nicht betroffen sind.

Ich kenne nämlich noch den ein oder anderen, der damit nach meinem Kenntnisstand immer noch unter Windows XP (*FACEPALM*) unterwegs ist.

Die Netbooks aus der Ära funktionieren übrigens alle ziemlich gut mit GNU/Linux, wenn man nicht gerade einen Atom mit Poulsbo-GPU hat.

Ja, sie sagen "Wir sind nicht von allen Problemen betroffen", daraus macht die AMD-Fanboy Gruppe "AMD ist nicht betroffen".



Klar wollen sie es herunterspielen. Aber die Aussage "Die anderen haben es auch" stimmt. ARM Cortex-A75 z.B.
Aber das AMD nicht betroffen ist sagt nur AMD. Sonst keiner. Die allgemeine Stellungname ist "wir konnten es bisher nicht nachvollziehen" oder "wir haben es noch nicht probiert".

Aber ich behaupte auch nicht, dass AMD von Meltdown betroffen ist. Linus vertraut hier auch voll und ganz AMD.


Von mir aus drescht alle auf Intel ein, mir egal. Aber bleibt dabei bei den Fakten und erzählt nicht irgend einen Blödsinn und zieht euch Zahlen aus dem Popo.

Das Meltdown Paper sagt ganz Klar:

6.4 Limitations on ARM and AMD
We also tried to reproduce the Meltdown bug on several
ARM and AMD CPUs. However, we did not manage
to successfully leak kernel memory with the attack described
in Section 5, neither on ARM nor on AMD.


A75 konnten sie natürlich nicht testen, da dieser noch nicht frei verfügbar ist. Dazu das Statement von AMD, dass sie architekturbedingt nicht betroffen sein können kann man schon von ausgehen, dass dies auch stimmt. Sonst hätten sie auch große Probleme, falls sie heraustellen sollte, dass dies doch nicht so ist.

Stand in irgendeiner Meldung, dass die nicht betroffen sind.
OK. Danke. Falls noch jemand etwas genauerers weiss, bitte posten.

Ich selber hatte nie etwas von den Geräten gehalten. Aber die sind halt dennoch verbreitet (über den Preis).



Die Netbooks aus der Ära funktionieren übrigens alle ziemlich gut mit GNU/Linux, wenn man nicht gerade einen Atom mit Poulsbo-GPU hat.
Das glaube ich gerne. Ich hatte auch mehrfach angeboten ein Linux aufzuspielen. Ist ignoriert worden bzw. einmal bin ich fast ausgelacht worden bzw. meine Anmekrungen sind ins Lächerliche gezogen worden, als ich das Thema Windows XP noch mal angesprochen hatte, so nach dem Motto der Alu-Hutträger wieder :rolleyes: :mad:

Dann ist es aber nach meinem Verständnis kein HW Bug sondern ein Problem des Betriebssystems wie sie mit den HW Funktionen umgehen. Mann sieht ja recht gut, dass nach dem Bekanntwerden von Meltdown sehr schnell Reaktionen folgten die das Problem im Griff haben. Das dann Performance verloren geht, sollte nicht das Problem von Intel sein.
Es würde mich in diesem Fall interessieren, ob AMD und Intel dann bei der Performance gleichauf sind wenn der Meltdown-Patch auf einem Intel System aktiv ist und auf einem AMD System nicht.
Ja, das wird einige neue Tests nach sich ziehen. Allerdings scheint nach den bisherigen Tests es zumindest für Spiele keinerlei Performance-Einbußen zu geben. Eher theoretische Tests sind betroffen bzw. Datenbanken etc könnten starke Einbußen haben.
Das wiederum könnte dazu führen das relativ viele Cloud-Systeme plötzlich langsamer sind als sie es zuvor waren.

Kompatibilität von Kaspersky Lab Programmen mit dem Sicherheitsupdate für Microsoft Windows vom 9. Januar 2018

https://support.kaspersky.com/de/14042

H


Das darfst du schon glauben. Seitenkanalangriffe waren früher noch gar nicht erforscht.
Danke für die Info, es könnte also wie so oft sein, was sich über Jahre oder gar Dekaden bewährt hat wird von den technischen Möglichkeiten bei Manipulation eingeholt.

Ja, und ARM Cortex-A75 ist von allen 3 Varianten betroffen. Auch Meltdown. Also stimmt die Aussage von Intel. Fertig.

Ist schön für Intel, aber wie hilft das Irgendjemandem weiter? Ich hätte mir von Intel Details gewünscht, wie AMD sie präsentiert, was konkret passiert und passieren muss um das Problem abzustellen. Bei AMD weiß ich jetzt: Aha, OS Update, fertig. "Minor performance impact". Selbst wenn das gelogen ist, scheint dir das ja lieber als Panikmache weil ZOMG 30%.

Intel ist offensichtlich zu besorgt um sein Image um da konkreter zu werden.


Intel hat nie behauptet das ALLE anderen auch betroffen sind.

Schon so ein bisschen Korinthenkacken jetzt? Mein Kernpunkt war das Intel nur eine PR Blase rauskotzt, worüber sich Torvalds ja auch sofort zurecht aufregt. Null zur Diskussion beigetragen, null informiert, nur abgewiegelt.

Da ich kein Intel Aktionär bin der sich hauptsächlich um den Intel Aktienkurs sorgt (das ist keine versteckte Anschuldigung) wäre es mir lieber der Intel CEO würde mehr Klartext rauslassen.


Darfst mir gerne Beispiele nennen, wo ich irgendwas "erfunden" habe ohne Beispiele.

Bezüglich AMD's Statement? Eine Zeile weiter oben? :rolleyes:


Ich warte immer noch auf die >30% Performance-Verlust Benchmarks. Bis auf etwa ~20% im VM-Umfeld und irgendwelche Microbenchmarks habe ich davon noch nichts gesehen. Nur "bla bla bla kann man nicht wissen bla bla kann viel schlimmer sein bla bla bla die jetzigen Benchmarks sagen gar nichts bla bla". Ansonsten steht weiterhin das im Raum was auch in der 3DC-News dazu steht... ~5%

In der LKML wurden Syscalls gebencht, weil das das ist, was die kernel devs interessiert. Und je mehr syscalls du brauchst, desto langsamer.
Wahrscheinlich hat jemand gedacht das 30% langsamere syscalls = 30% langsameres Programm X bedeuten.

Soweit ich mich erinnere war der Einfluss teilweise sogar noch größer, bis zu 50% mehr cycles. Natürlich sind kurze Benchmarks die ein Entwickler für einen schnell gezimmerten Patch mal aus der Hüfte schießt, aber für das Stück Code ist es natürlich trotzdem zutreffend. Wenn der Syscall aber nur ab und zu mal aufgerufen wird in Anwendung X, gibt das trotzdem keinen messbaren Unterschied.

Ich habe keine Benchmarks für dich, aber ich habe ja auch keine Behauptungen aufgestellt. :D

Ich bin mir allerdings schon sicher, das man irgendein Workload findet, in dem es sich nennenswert auswirkt. Ist ja immer so. Ich finde jede Prozentangabe, ob 5% oder 30%, völlig unangebracht. Die einzige seriöse Aussage wäre: UNBEKANNT.

A75 konnten sie natürlich nicht testen, da dieser noch nicht frei verfügbar ist. Dazu das Statement von AMD, dass sie architekturbedingt nicht betroffen sein können kann man schon von ausgehen, dass dies auch stimmt. Sonst hätten sie auch große Probleme, falls sie heraustellen sollte, dass dies doch nicht so ist.

Ja wie ich ja geschrieben habe. Aber nur, dass ein beschriebener Angriff nicht funktioniert hat, heißt für einen Forscher erst mal nicht, dass es nicht auch anders geht. Wie gesagt, wenn AMD sagt, dass AMD nicht betroffen ist, dann muss man ihnen glauben. Aber auch Intel erzählt sie glauben sie haben die sichersten CPUs. Von daher glaube ich zwar prinzipiell erst mal AMD, aber so ein bisschen Misstrauen bleibt immer.

Ohne jetzt den Verschwörungs-Theoretiker raushängen zu lassen und auch wenn ich die technischen Zusammenhänge nicht annähernd verstehe.

Ich glaube einfach nicht, dass Hochtechnologie-Unternehmen 22 Jahre einen Bug unbemerkt mitschleppen. Das ganze lief ja über Generationen von CPUs und ebenso über Generationen von Betriebssystemen.
Da dieser "Bug" 22 Jahre für die IT-Welt keine Rolle gespielt hat, drangt sich mir der Verdacht auf, dass hier eine gewollte Hintertür gefunden wurde.

Nach meinem laienhaften Verständnis kann man sowohl mit Meltdown wie auch mit Spectre massiven Schaden auf angegriffenen Systemen herbeiführen.
Bei Meltdown betrifft nur Intel, kann man Speicherbereiche lesen und manipulieren und bei Spectre "nur" lesen, richtig?
Das Betriebssystem spielt da in HW gegossen zuerst mal keinen Rolle.

Zum jetzigen Zeitpunkt kann man Meltdown per Patch aushebeln, Spectre aber nicht!?
Da Meltdown 22 Jahre und Spectre( ja wieviel Jahre dürfen wir und darüber eigentlich freuen?) zum jetzigen Zeitpunkt faktisch alle Systeme betreffen kann ich mir nicht vorstellen, dass dies zu einem früheren Zeitpunkt nicht bekannt gewesen sein sollte oder jemanden schon mal aufgefallen ist.

Also vielleicht findet der Overgau zur Zeit gar nicht in der Konsumer- und Business-Welt sondern in der Welt der Spionage und und Observation, durch wenn auch immer statt.

Machen wir doch ein Gedankenspiel:
Der letzte große Entwicklsungssprung bei Intel war der Übergang von Nehalem auf Sandy Bridge. Und dann bei der Optimierung zu Haswell fiel einem Ingenieur auf, dass das langjährige CPU-Design als Sicherheitslücke missbraucht werden kann. Er leitet das an seine Vorgesetzten, stellen dann die Kostenrechnung auf, was es kosten würde, das Design zu ändern, um diese vermeintliche Lücke zu schließen, ob es Alternativen gibt und wie das Ganze rechtlich zu bewerten ist.

Wenn die Entscheidungsträger bei Intel zum Schluss kommen, dass eine Änderung auf der HW-Basis neben der Entwicklung der eigentlichen Produkte zusätzliche Milliarden kostet und neue Produkte um Jahre verzögert, der mögliche Schaden und die Wahrscheinlichkeit des Schadeneintritts selbst niedriger sind und vieles durch Softwarepatches behoben werden kann, dann macht man weiter wie bisher.

Was auf Intel zukommen kann, sind Schadenersatzklagen, wenn durch die Patches tatsächlich Schaden entsteht. Hinzu können Ermittlungen der Börsenaufsicht kommen.

Was ist mit den ganzen MIPS bzw. MIPS64 CPUs, welche z.B. in Routern verbaut sind?

Das war Google und nicht Intel, und sollte sich das bewahrheiten dann könnte man Lisa Su strafrechtlich belangen.

Er bezieht sich auf Intels PR:

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

Ja, sie sagen "Wir sind nicht von allen Problemen betroffen", daraus macht die AMD-Fanboy Gruppe "AMD ist nicht betroffen".

Klar wollen sie es herunterspielen. Aber die Aussage "Die anderen haben es auch" stimmt. ARM Cortex-A75 z.B.
Aber das AMD nicht betroffen ist sagt nur AMD. Sonst keiner. Die allgemeine Stellungname ist "wir konnten es bisher nicht nachvollziehen" oder "wir haben es noch nicht probiert".

Aber ich behaupte auch nicht, dass AMD von Meltdown betroffen ist. Linus vertraut hier auch voll und ganz AMD.

Von mir aus drescht alle auf Intel ein, mir egal. Aber bleibt dabei bei den Fakten und erzählt nicht irgend einen Blödsinn und zieht euch Zahlen aus dem Popo.

AMD hat ziemlich klar gesagt, wie sie es sehen. Insbesondere auch nach dem ursprünglichen Statement, auf das Du Dich zu beziehen scheinst:

https://www.amd.com/en/corporate/speculative-execution

Sieh Dir mal die Tabelle an.

Abgesehen davon, dass du völlig unwichtiges thematisierst, warum auch immer, ist dir offensichtlich entgangen, dass ich auch über zwei verschiedene Dinge schrieb. Das eine ist die Verantwortlichkeit bei einer möglichen Ausnutzung einer Sicherheitslücke und das andere ist ein Gewährleistungsanspruch beim Kauf von Hardware. Während das eine durchaus strafrechtlich relevante Bezüge hat und das andere nicht, hast du das noch nicht einmal verarbeitet worüber ich schrieb. Mach dir nicht noch einmal so viel Mühe, das wäre wirklich vergeblich und lesen will das auch keiner hier da es nur eine Nebensächlichkeit war zu Intels offiziellem Statement. Und ich gehe grundsätzlich auf das ein was ich für relevant halte, das machst du ja auch nicht anders.

Ich habe anfangs nur (zugegebenermaßen provokant) auf einen Fehler hingewiesen. Du wolltest dann mehr Erklärung von mir. Wenn es Dich nicht mehr interessiert: Ok. Aber Falschaussagen sollten dennoch korrigiert werden. Aber wie auch immer: Begraben wir das hier. Wenn Du es wirklich inhaltlich besprechen willst: PM.

Haben sie nicht, AMD hatte genausoviel Vorbereitungszeit für das Statement wie Intel....
Haben Sie doch, nachdem Intel ein unkonkretes, richtiggehendes A..loch-/PR-Bullshitstatement rausgehauen hat.

Ich selber hatte nie etwas von den Geräten gehalten. Aber die sind halt dennoch verbreitet (über den Preis).

Ich benutze auch noch eins exklusiv für Musik auf Partys. Ist praktisch unbenutzbar, weil es einfach so unglaublich langsam ist. Kann man jetzt natürlich als super-sicheres Gerät verkaufen. ;)

Natürlich nur ein Scherz, 32-Bit-only fehlen heute AFAIK sehr viele Sicherheitsfeatures

Das glaube ich gerne. Ich hatte auch mehrfach angeboten ein Linux aufzuspielen. Ist ignoriert worden bzw. einmal bin ich fast ausgelacht worden bzw. meine Anmekrungen sind ins Lächerliche gezogen worden, als ich das Thema Windows XP noch mal angesprochen hatte, so nach dem Motto der Alu-Hutträger wieder :rolleyes: :mad:

Erinnert mich hier an den Thread im 3dc. Manche Leute wollen eben glauben, dass man mit genug Grips gegen alle Sicherheitslücken der Welt immun wird (und man mit einem veralteten Betriebssystem es den großen Konzernen richtig heftig zeigt!). Genau wie viele eben insgeheim glauben, dass nur schwächliche Leute vom Rauchen Krebs bekommen. Muss man nicht verstehen. Viele Leute halten insgeheim ganz seltsame Ansichten und kommen dann zu praktisch unerklärlichen Schlüssen.

Software, Hardware und ihre Limitierungen sind eben ganz schwierig der breiteren Bevölkerung zu erklären, weil die passendsten Analogien dafür nicht gerade naheliegend sind. Für den Durchschnittsnutzer passen solche Lücken nicht in ihr mentales Modell über Computer, weil die einzige Analogie, die sie kennen, eine Art Krankheitserreger ist.

Das ist jetzt natürlich nicht nur auf Meltdown und Spectre bezogen, aber so ganz allgemein sind solche Lücken für den Durchschnittsnutzer nicht so wirklich greifbar.

Ich höre schon die ersten, imaginären Kommentare: „Ein Virus? In meinem Prozessor!?“

AMD hat ziemlich klar gesagt, wie sie es sehen. Insbesondere auch nach dem ursprünglichen Statement, auf das Du Dich zu beziehen scheinst:

https://www.amd.com/en/corporate/speculative-execution

Sieh Dir mal die Tabelle an.


Wie gesagt, momentan misstraue ich jeglicher Aussage seitens eines Herstellers.

Der "Fehler" leuchtet jedem ein, darum hat man das Problem erst 2017 erkannt? Und das woh vonl von Google Project Zero (https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html). Nach deiner Argumentation sind alle an dieser Sicherheitslücke beteiligt, die Ahnung von CPUs haben: Microsoft, Apple, Google, IBM, HP, Oracle/Sun, Amazon... Sie hätten den Fehler vor Jahren sehen müssen und ihre Betriebssysteme/Produkte abdichten.
Nein, das _Prinzip_ leuchtet jedem ein - beurteilen konnten das nur Intel-Ings, die genau wissen, wie weit die Spekulation/Vorwegnahme ihrer CPUs geht. Und da sie das genau wissen, kann ich mir kaum vorstellen, wie man als damit betraute Koryphäe nicht auf den Gedanken kommen kann, daß das ein Sicherheitsproblem sein könnte.

_qZksorJAuY

Was ist mit den ganzen MIPS bzw. MIPS64 CPUs, welche z.B. in Routern verbaut sind?

Sind afaik meist In-Order-Architekturen die nicht Spekulativ ausführen (so wie die ersten Atoms) und somit allgemein nicht betroffen sind. Aber generell kann jede Out-of-Order CPU betroffen sein.

Ist schön für Intel, aber wie hilft das Irgendjemandem weiter? Ich hätte mir von Intel Details gewünscht, wie AMD sie präsentiert, was konkret passiert und passieren muss um das Problem abzustellen.

Du weißt schon, dass das Ganze gerade mehr oder weniger zu früh geleakt wurde und eigentlich noch unter Embargo stand?

Schon so ein bisschen Korinthenkacken jetzt?

Hier stehen genug Beiträge die sagen "nur Intel ist betroffen" und etwa "Intel lügt mit der Aussage, dass auch andere betroffen sind". Die sind jetzt richtig oder was?


Bezüglich AMD's Statement? Eine Zeile weiter oben? :rolleyes:

Hu? Was genau? AMDs Statement ist mir schon klar. Ich weiß trotzdem nicht was du meinst.

Ich habe keine Benchmarks für dich, aber ich habe ja auch keine Behauptungen aufgestellt. :D

Aber andere hier und überall sonst. Und davon rede ich.

Ja wie ich ja geschrieben habe. Aber nur, dass ein beschriebener Angriff nicht funktioniert hat, heißt für einen Forscher erst mal nicht, dass es nicht auch anders geht. Wie gesagt, wenn AMD sagt, dass AMD nicht betroffen ist, dann muss man ihnen glauben. Aber auch Intel erzählt sie glauben sie haben die sichersten CPUs. Von daher glaube ich zwar prinzipiell erst mal AMD, aber so ein bisschen Misstrauen bleibt immer.
In dieser Zeit zu sagen, dass man die sichersten CPUs baut ist eigentlich schon sehr dreist, zumal Meltdown und Spectre (zumindest z.Z.) hauptsächlich Intel CPUs betreffen. Mit solchen Statements macht man sich nicht gerade glaub-/vertrauenswürdiger.

Misstrauen ist ok, aber in diesem Fall macht AMD auch bei der Kommunikation erstmal den besseren Eindruck. Vielleicht hat man ja aus der Vergangenheit gelernt.

Machen wir doch ein Gedankenspiel:
Der letzte große Entwicklsungssprung
Gleich 2 mal nein.

Es gab in dieser Zeit viel zu viel Leerlauf, da AMD zu schwach war. Intel hätte wenn sie den Bug gefunden hätten jederzeit den Perfomance-Hit wegstecken können. Ich bleibe dabei entweder Absicht oder einfach über Jahre übersehen bzw. die technischen Möglichkeiten der Manipulation unterschätzt, was ich durchaus für sehr wahrscheinlich halte.

Da wird bezüglich der Börsenaufsicht wohl nichts passieren, da er nur einen persönlichen Schaden abgewendet hat und das nicht als Bereicherung gesehen wird. Es wird in diesem Zusammenhang wohl schon reichen ein begründetes Interesse oder Mittel-Bedarf aufzuzeigen. Würde er nach einer Abwertung der Aktie wieder mit der gleichen Summe einsteigen und damit seine Stücke erhöhen würde man dies sicherlich auch kritisch bewerten.
So ist er meiner Meinung nach zuerst mal auf der sicheren Seite.

Nur um das einmal klarzustellen: Intel ist das Unternehmen, das McAfee für mehrere Milliarden gekauft hat, weil sie geglaubt haben, dass Antiviren-Kram in Hardware die Zukunft sein würde. Dass da einige Verantwortliche nicht so ganz den Überblick über den Markt und die Technik haben, ist wahrscheinlich nicht ganz so weit hergeholt.

Ja wie ich ja geschrieben habe. Aber nur, dass ein beschriebener Angriff nicht funktioniert hat, heißt für einen Forscher erst mal nicht, dass es nicht auch anders geht. Wie gesagt, wenn AMD sagt, dass AMD nicht betroffen ist, dann muss man ihnen glauben. Aber auch Intel erzählt sie glauben sie haben die sichersten CPUs. Von daher glaube ich zwar prinzipiell erst mal AMD, aber so ein bisschen Misstrauen bleibt immer.

Sorry, aber das klingt jetzt echt ein bisschen nach: "Wenn man genug Dreck wirft wird schon was hängen bleiben."
Fakt ist, dass sie keine Möglichkeit gefunden haben Meltdown mit AMD auszunutzen.
Wenn Du jetzt für alles den Beweis der Nictexistenz führen willst: Viel Spaß. Dann beweise doch mal, dass es nirgends 30% Performanceverlust sind... SCNR.

btw. (Link aus dem Computerbase-Forum) ein Vortrag aus 2015(!) über "unerwünschte" VM zu VM Kommunikation auf x86

7X772EBdvnM

Du weißt schon, dass das Ganze gerade mehr oder weniger zu früh geleakt wurde und eigentlich noch unter Embargo stand?


Ja, das weiß ich. Ich würde aber stark vermuten das milliardenschwere Börsennotierte Unternehmen den Fall in Betracht ziehen das trotz Embargo ein Leak entsteht und sich entsprechend vorbereiten.

Auch würde ich vermuten das Intel auch in kurzer Zeit ein besseres Statement (besser im Sinne von informativer für uns) hinbekommen hätte, sofern das ihr Anliegen gewesen wäre.


Hier stehen genug Beiträge die sagen "nur Intel ist betroffen" und etwa "Intel lügt mit der Aussage, dass auch andere betroffen sind". Die sind jetzt richtig oder was?

Intel hat das Statement absichtlich so unangreifbar wie möglich gemacht. Natürlich lügen sie nicht direkt. Aber sie schwadronieren um den heißen Brei herum.


Hu? Was genau? AMDs Statement ist mir schon klar. Ich weiß trotzdem nicht was du meinst.


Scheinbar ja nicht, sonst hättest du nicht vor ein paar Minuten noch behauptet AMD hätte keine Ahnung was los ist und hätte das auch so kommuniziert.

Machen wir doch ein Gedankenspiel:
Der letzte große Entwicklsungssprung bei Intel war der Übergang von Nehalem auf Sandy Bridge. Und dann bei der Optimierung zu Haswell fiel einem Ingenieur auf, dass das langjährige CPU-Design als Sicherheitslücke missbraucht werden kann. Er leitet das an seine Vorgesetzten, stellen dann die Kostenrechnung auf, was es kosten würde, das Design zu ändern, um diese vermeintliche Lücke zu schließen, ob es Alternativen gibt und wie das Ganze rechtlich zu bewerten ist.

Wenn die Entscheidungsträger bei Intel zum Schluss kommen, dass eine Änderung auf der HW-Basis neben der Entwicklung der eigentlichen Produkte zusätzliche Milliarden kostet und neue Produkte um Jahre verzögert, der mögliche Schaden und die Wahrscheinlichkeit des Schadeneintritts selbst niedriger sind und vieles durch Softwarepatches behoben werden kann, dann macht man weiter wie bisher.

Was auf Intel zukommen kann, sind Schadenersatzklagen, wenn durch die Patches tatsächlich Schaden entsteht. Hinzu können Ermittlungen der Börsenaufsicht kommen.

Eher unrealistisch. Hätte man davon Intel-intern gewusst und das als wichtiges Thema erachtet, dann hätte man das irgendwann mal in der Vergangenheit still und heimlich ausgebügelt, bei neueren CPUs, und gehofft das genug Gras über die Sache wächst, damit es Niemanden mehr bei den alten CPUs interessiert.

Das das Milliarden kosten würde, denke ich nicht.

AMD scheint ja eine Hardwareimplementation zu haben, die weniger anfällig, weil restriktiver ist.

AMD hat doch eine HW-Speicherverschlüsselung in der Virtualisierung. Das spielt aber keine Rolle, weil für das Ausführen der speculative execution bereits entschlüsselt wird (werden muss)?

https://github.com/torvalds/linux/commit/00a5ae218d57741088068799b810416ac249a9ce

- Exclude AMD from the PTI enforcement. Not necessarily a fix, but if
AMD is so confident that they are not affected, then we should not
burden users with the overhead"

Was ich mich frage:
Das Update für Windows 10 wird schon verteilt. Aber wie ist das, wenn eine AMD CPU im Rechner steckt?

Wie stark sind die Einbußen? Ich arbeite viel mit VirtualBox (3-4 Linux VMs), Windows mit Adobe CC und zocke gern mal mit Streaming.

Welchen Hersteller kaufen?

Bei der Nutzung würde man mit Ryzen wohl absolut nichts falsch machen, auch komplett unabhängig von Meltdown und Spectre. Für Software-Encoding beim Streamen nimmt man ein paar Kerne und mehr Multicore-Leistung gerne mit.

Was ich mich frage:
Das Update für Windows 10 wird schon verteilt. Aber wie ist das, wenn eine AMD CPU im Rechner steckt?
Wird genauso verteilt, warum auch nicht?

Wird genauso verteilt, warum auch nicht?
Weil Meltdown nur auf Intels ein Problem ist. Bisher hat keiner auf Ryzen das ausführen können. Es ist auch die hässlichste Lücke mMn. weil jede Website deinen Kernel auslesen könnte per Javascript.

Wird genauso verteilt, warum auch nicht?
Lies doch, was Linus schreibt.

Wenn der Patch zwar installiert, aber nicht aktiv ist, wenn im PC eine CPU steckt, die nicht betroffen ist, ist das natürlich unproblematisch. Bei Linux-Systemen scheinen alle CPUs als unsicher eingestuft worden, so dass auch am AMD-Rechnern der Patch aktiv wurde (und die Leistung einbremste). Dieses Verhalten wurde anscheinend korrigiert.

Bei der Nutzung würde man mit Ryzen wohl absolut nichts falsch machen, auch komplett unabhängig von Meltdown und Spectre. Für Software-Encoding beim Streamen nimmt man ein paar Kerne und mehr Multicore-Leistung gerne mit.

nach dem jetzigen Kenntnisstand stimmt das so nicht, Spectre betrifft auch AMD, oder?

Unabhängig von den technischen Details. Ein PR Supergau ist es jetzt schon für Intel:

http://www.spiegel.de/netzwelt/web/intel-ceo-brian-krzanich-verkaufte-aktien-vor-aufdeckung-von-sicherheitsluecken-a-1186163.html

nach dem jetzigen Kenntnisstand stimmt das so nicht, Spectre betrifft auch AMD, oder?
Ich glaube Lumines meint, dass man, unabhängig von der aktuellen Problematik, bei dem Anwendungsprofil eher auf AMD Ryzen als auf Intel setzen sollte.

Natürlich muss das intern untersucht werden. Aber hier wurde quasi verlangt die verantwortliche Person / Personen an den Pranger zu stellen. Je nach schwere der Lücke können Personen auch ihren Job verlieren, aber das ist noch was anderes als wenn man sie öffentlich zur Schau stellt.

Es gibt genug bescheuerte Menschen auf der Welt und es gab auch schon Fälle wo Leute aufgrund von "Twitter Lynch Mobs" sich das Leben genommen haben. Name-Calling ist kein Spaß, das kann ganz böse ins Auge gehen.

wo hab ich jemals etwas von anprangern geschrieben.Hallo? Es geht um Erlangen vlt. Wichtiger Informationen und Transparenz. Was stimmt nicht mit Dir? wenn ich das alles hier so lese fällst Du oft in einen Modus, wo Du plötzlich aus dem Kontent gerissen eigene und abwegige Interpretationen einstreust. Bleib mal auf dem Teppich!

Ich glaube Lumines meint, dass man, unabhängig von der aktuellen Problematik, bei dem Anwendungsprofil eher auf AMD Ryzen als auf Intel setzen sollte.

Ja, genau das meinte ich.

Ich glaube Lumines meint, dass man, unabhängig von der aktuellen Problematik, bei dem Anwendungsprofil eher auf AMD Ryzen als auf Intel setzen sollte.
So verstehe ich das auch.

Ist eigentlich Windows 10 S von Meldtown und Spectre betroffen? Bzw. kann dieses betroffen werden? Über präparierte Office-Dateien wäre das denkbar (über den Store eigentlich auch).

Läuft Chrome und Firefox nicht auf Windows S?

Läuft Chrome und Firefox nicht auf Windows S?
Nein, Google hat zwar versucht, einen Chrome-Installer in den Store zu bringen, hat aber nicht funktioniert.

Edit: Schadsoftware kann auch über andere Wege eingeschleust werden (zum Beispiel kompromittierte USB-Sticks o. ä.).

Wobei bei Windows 10 S ARM bin ich mir nicht sicher, ob wirklich der Store die einzige Quelle ist, hier gibt es unklare Aussagen.

So verstehe ich das auch.

Ist eigentlich Windows 10 S von Meldtown und Spectre betroffen? Bzw. kann dieses betroffen werden? Über präparierte Office-Dateien wäre das denkbar (über den Store eigentlich auch).

Bei Spectre eigentlich über beliebiges JavaScript im Browser. Bisher hat man aber nur von Mozilla und Google über Abmilderungen des Problems gelesen:

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
https://support.google.com/chrome/answer/7623121?hl=en-GB

Läuft Chrome und Firefox nicht auf Windows S?

Nur Windows Store Apps.

Wie gesagt, momentan misstraue ich jeglicher Aussage seitens eines Herstellers.
aussagen von Herstellern sind rechtlich bindend.
Wenn sich die Aussage von AMD als falsch rausstellen sollte, könnte man sie ggF. dafür Haftbar machen.

Lt. Dr. Windows bekommen nicht alle ein Patch von Microsoft. Alle mit AntiViren dritt Software stehen in regen. https://www.drwindows.de/news/cpu-luecke-microsoft-patcht-google-erklaert-amd-dementiert

Auszug
Wichtig: Das Update wird nicht auf allen Systemen angezeigt. Wenn das so ist, hat das gute Gründe, versucht also keine manuelle Installation und spielt nicht im System herum. Unter anderem kann das Update wegen der Änderungen im Kernel die Funktion von Antivirus-Software beeinträchtigen, daher wird das Update zum Beispiel nicht angeboten, wenn man ein Antiviren-Programm eines Drittherstellers verwendet. Es ist eben alles mit heißer Nadel gestrickt. Wer den Patch manuell ins System prügelt, kann Glück haben, riskiert aber die Stabilität des Systems und der installierten Software.

Lt. Dr. Windows bekommen nicht alle ein Patch von Microsoft. Alle mit AntiViren dritt Software stehen in regen. https://www.drwindows.de/news/cpu-luecke-microsoft-patcht-google-erklaert-amd-dementiert

Auszug
Wichtig: Das Update wird nicht auf allen Systemen angezeigt. Wenn das so ist, hat das gute Gründe, versucht also keine manuelle Installation und spielt nicht im System herum. Unter anderem kann das Update wegen der Änderungen im Kernel die Funktion von Antivirus-Software beeinträchtigen, daher wird das Update zum Beispiel nicht angeboten, wenn man ein Antiviren-Programm eines Drittherstellers verwendet. Es ist eben alles mit heißer Nadel gestrickt. Wer den Patch manuell ins System prügelt, kann Glück haben, riskiert aber die Stabilität des Systems und der installierten Software.
Stimmt nicht für jeden Hersteller man kann das Update jetzt installieren Kaspersky hat ihre Programme z.b schon gepatcht.

https://support.kaspersky.com/de/14042

https://github.com/torvalds/linux/commit/00a5ae218d57741088068799b810416ac249a9ce

Was ich mich frage:
Das Update für Windows 10 wird schon verteilt. Aber wie ist das, wenn eine AMD CPU im Rechner steckt?
Wenn nix schief läuft, könnte ich dir das morgen um diese Zeit vielleicht sagen, wenn du mir sagst, wie ich das testen könnte.

Aber andere Ryzen User wirds wohl auch geben, die das erledigen könnten...


Hallo!

Bzgl. Intel oder AMD - ich sehe für mich (meine Anforderungen) Intel vorne
Scheinst dich ja ziemlich auf Intel festgelegt zu haben, wie es scheint...
Und scheinst dich auch von diesem Zustand nicht zu was anderem überzeugen zu lassen.
Warum fragst du dann überhaupt, wenn du dir eh den Intel kaufen wirst/willst?!



Und das ist so das Fazit für mich persönlich aus den ganzen Tests der relevanten CPUs (i7-8700K/i7 -7280X bzw. TR 1900X).
Die Frage ist halt ob dieser Bug den Vorteil wegnimmt.
Und was ist mit dem nächsten großen Bug, der gefunden wird?!

Das mit der Intel Managment Engine Angreifbarkeit hast du mitbekommen??

Sorry, aber das klingt jetzt echt ein bisschen nach: "Wenn man genug Dreck wirft wird schon was hängen bleiben."
Fakt ist, dass sie keine Möglichkeit gefunden haben Meltdown mit AMD auszunutzen.
Wenn Du jetzt für alles den Beweis der Nictexistenz führen willst: Viel Spaß. Dann beweise doch mal, dass es nirgends 30% Performanceverlust sind... SCNR.

Also nochmal: AMD ist von Meltdown nicht betroffen, weil die Forscher es nicht hinbekommen habe. Fertig. Keine Probleme hier.

Die Aussage "AMD kann gar nicht betroffen sein, weil..." kommt von AMD. Und hier mein Misstrauen allgemein. Das liegt nicht daran, dass ich nur AMD nicht glaube, sondern, dass ich Herstelleransagen allgemein nicht glaube ohne Beweise. AMD hat beim Ryzen Bug auch gelogen ohne Ende und das ganze mehr oder weniger unter den Teppich gekehrt... darum mein Gedanke auch hier: Sie haben damals gelogen, warum soll also genau diese Aussage die 100%ige Wahrheit sein. Das hat natürlich nichts mit der aktuellen Meltdown-Problematik direkt zu tun. Aber ich hab ja auch geschrieben, dass AMD nicht von Meltdown betroffen ist, nech?

Es geht um Erlangen vlt. Wichtiger Informationen und Transparenz.

Und du meinst Einzel-Personen dürfen einfach Firmengeheimnisse ausplaudern?

Stimmt nicht für jeden Hersteller man kann das Update jetzt installieren Kaspersky hat ihre Programme z.b schon gepatcht.

https://support.kaspersky.com/de/14042
Norton hält es nicht mal für Nötig eine Stellungnahme raus zubringen.

Norton hält es nicht mal für Nötig eine Stellungnahme raus zubringen.
Kein Wunder der Patch sollte erst am 9.1 kommen,das ganze wurde vorgezogen weil die Lücke vorher bekannt wurde.

Hallo!

Bzgl. Intel oder AMD - ich sehe für mich (meine Anforderungen) Intel vorne:

http://www.pcgameshardware.de/Ryzen-Threadripper-1920X-CPU-266541/Tests/Benchmark-Review-NDA-Preis-1235430/

Ich darf von
https://www.computerbase.de/2017-09/ryzen-threadripper-1900x-core-i7-7820x-cpu-test/5/
zitieren:



Und das ist so das Fazit für mich persönlich aus den ganzen Tests der relevanten CPUs (i7-8700K/i7 -7280X bzw. TR 1900X).
Die Frage ist halt ob dieser Bug den Vorteil wegnimmt.

Der 8 Core Threadripper hat noch nie Sinn gemacht,daher hat AMD ihn auch nie gesampelt.
Sinnvoll sind 1700X + Z370 oder X399 mit 12 bzw 16 Core.

Kein Wunder der Patch sollte erst am 9.1 kommen,das ganze wurde vorgezogen weil die Lücke vorher bekannt wurde.
In Mitgasmagazin der ARD wurde gesagt, das dieser Bug seit Juli 2017 bekannt ist. Da bekommt der Aktion Verkauf des Intel CEO auf einmal einen ganz anderen Geschmack. Das nur mal nebenbei.

Es war dem Engeren Hardware/OS Kreis bekannt,wenn es z.b an Antiviren Herstellern bekannt gewesen wäre es vermutlich schon deutlich vorher allgemein bekannt geworden.

Bei Spectre eigentlich über beliebiges JavaScript im Browser. Bisher hat man aber nur von Mozilla und Google über Abmilderungen des Problems gelesen:

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
https://support.google.com/chrome/answer/7623121?hl=en-GB
.

Man kann JavaScript in Edge nicht einmal abschalten. Vielleicht enthält das kumulative Update entsprechende Abdichtungen. Dann gibt es noch den SmartScreen. :ulol:

Also nochmal: AMD ist von Meltdown nicht betroffen, weil die Forscher es nicht hinbekommen habe. Fertig. Keine Probleme hier.

Die Aussage "AMD kann gar nicht betroffen sein, weil..." kommt von AMD. Und hier mein Misstrauen allgemein. Das liegt nicht daran, dass ich nur AMD nicht glaube, sondern, dass ich Herstelleransagen allgemein nicht glaube ohne Beweise. AMD hat beim Ryzen Bug auch gelogen ohne Ende und das ganze mehr oder weniger unter den Teppich gekehrt... darum mein Gedanke auch hier: Sie haben damals gelogen, warum soll also genau diese Aussage die 100%ige Wahrheit sein. Das hat natürlich nichts mit der aktuellen Meltdown-Problematik direkt zu tun. Aber ich hab ja auch geschrieben, dass AMD nicht von Meltdown betroffen ist, nech?


Es gibt kein Indiz, dass AMD auch von Meltdown betroffen wäre, aber du hast Zweifel ob nicht doch? Es ist ja nicht nur AMD, auch Google hat es nicht geschafft Meltdown auf AMD CPUs zum laufen zu bringen. Von daher ist es ja nicht so, als würde AMD irgendwelchen neutralen Aussagen widersprechen.

Und wo genau hat AMD hinsichtlich der Compilerproblematik gelogen? Und dann auch noch ohne Ende (ich kenne den Austausch-Thread).

Spielt am Desktop kaum eine Rolle.

_qZksorJAuY

Es gibt kein Indiz, dass AMD auch von Meltdown betroffen wäre, aber du hast Zweifel ob nicht doch? Es ist ja nicht nur AMD, auch Google hat es nicht geschafft Meltdown auf AMD CPUs zum laufen zu bringen. Von daher ist es ja nicht so, als würde AMD irgendwelchen neutralen Aussagen widersprechen.

Der Grund "warum es nicht sein kann" ist das Problem "für mich". Im Großen und Ganzen verspricht AMD, dass ihre Hardware korrekt arbeitet, wenn man so will. Und wie ich sagte, das hat jetzt nichts mit Meltdown direkt zu tun.

Und wo genau hat AMD hinsichtlich der Compilerproblematik gelogen? Und dann auch noch ohne Ende (ich kenne den Austausch-Thread).

Naja, was ist die Compiler-Problematik:
- scheinbar sind so ziemlich alle CPUs vor KW25 betroffen (AMD sagt ja nichts)
- das Problem tritt nachweisbar auf allen Betriebssystemen auf
- ein BIOS-Update kann das Problem wohl nicht fixen, da es noch keines dafür gibt

AMDs Statement dazu:
Es ist eine "Performance-Abweichung" unter Linux auf einigen AMD-CPUs und der Kunde soll sich bei AMD melden.

Korrekt wäre:
Es ist ein Produktionsfehler in der CPU, der systemunabhänigige Abstürze verursachen kann bei einer ganzen Serie von produzierten CPUs.

edit: AMD handelt da wie auch hier Intel massiv intransparent und beschwichtigend, komplett am Problem vorbei. Sorry, aber Intel und AMD verhalten sich in solchen Problemfällen ähnlich schlecht. Für mich darum beide unglaubwürdig.

auch Google hat es nicht geschafft Meltdown auf AMD CPUs zum laufen zu bringen
Sie haben es auch nicht besonders versucht.
Our research was relatively Haswell-centric so far.

Und wieder ein Thread der durch OT (Kaufberatung, Compiler bug ...) zerstört wird. Was soll das?

Sie haben es auch nicht besonders versucht.

Hat aber gereicht, um für alle anderen Intel CPUs abseits von Haswell sicher genug zu sein.

Sie haben es auch nicht besonders versucht.
Beziehst du dich auf diesen Beitrag?
https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

Tested Processors

Intel(R) Xeon(R) CPU E5-1650 v3 @ 3.50GHz (called "Intel Haswell Xeon CPU" in the rest of this document)
AMD FX(tm)-8320 Eight-Core Processor (called "AMD FX CPU" in the rest of this document)
AMD PRO A8-9600 R7, 10 COMPUTE CORES 4C+6G (called "AMD PRO CPU" in the rest of this document)
An ARM Cortex A57 core of a Google Nexus 5x phone [6] (called "ARM Cortex A57" in the rest of this document)

In meinem Laptop ist ein A10-9600P (also ein mobiler Ableger).

Und wieder ein Thread der durch OT (Kaufberatung, Compiler bug ...) zerstört wird. Was soll das?

Kaufberatung verschoben nach https://www.forum-3dcenter.org/vbulletin/showthread.php?p=11594315 bitte dort über Kaufberatungsthemen weiterreden

Heute soll das Patch kommen, weiß jemand wann? Und Dr. Windows sagt das nicht alle das Patch überhaupt bekommen, auch wenn sie betroffen sind.
Da das Patch mit der heizen Nadel beschrieben würde. Und Probleme macht bei der Installation.

https://www.drwindows.de/news/cpu-luecke-microsoft-patcht-google-erklaert-amd-dementiert


danke für die info

btw. wer chrome einsetzt sollte chrome://flags/#enable-site-per-process auf enabled setzen

Es gibt kein Indiz, dass AMD auch von Meltdown betroffen wäre, aber du hast Zweifel ob nicht doch? [...]

Der Grund "warum es nicht sein kann" ist das Problem "für mich". [...]
Könnt ihr euren Kleinkrieg hier nicht mal beilegen und euch darauf einigen, dass ihr euch nicht einigen werdet?
Ihr schreibt seit mehreren 10 Beiträgen immer wieder das selbe und es kommt absolut nichts dabei rum, das mit dem Thema zu tun hätte.

Also nochmal: AMD ist von Meltdown nicht betroffen, weil die Forscher es nicht hinbekommen habe. Fertig. Keine Probleme hier.

Die Aussage "AMD kann gar nicht betroffen sein, weil..." kommt von AMD. Und hier mein Misstrauen allgemein. Das liegt nicht daran, dass ich nur AMD nicht glaube, sondern, dass ich Herstelleransagen allgemein nicht glaube ohne Beweise. AMD hat beim Ryzen Bug auch gelogen ohne Ende und das ganze mehr oder weniger unter den Teppich gekehrt... darum mein Gedanke auch hier: Sie haben damals gelogen, warum soll also genau diese Aussage die 100%ige Wahrheit sein. Das hat natürlich nichts mit der aktuellen Meltdown-Problematik direkt zu tun. Aber ich hab ja auch geschrieben, dass AMD nicht von Meltdown betroffen ist, nech?



Und du meinst Einzel-Personen dürfen einfach Firmengeheimnisse ausplaudern?
Deine Argumentation ist hochgradig unseriös.
Denn so wie du argumentierst sind selbst die Intel CPUs, die 2018 neu reauskommen sollen und aufgrund von organisatorischen und strukturellen Änderungen "Meltdown frei" sein sollen immer noch davon betroffen nur bekommen Forscher es nicht hin.
Hmmm, ich glaube ich kaufe nie mehr Intel. ;)

Ich glaube einfach nicht, dass Hochtechnologie-Unternehmen 22 Jahre einen Bug unbemerkt mitschleppen. Das ganze lief ja über Generationen von CPUs und ebenso über Generationen von Betriebssystemen.
Da dieser "Bug" 22 Jahre für die IT-Welt keine Rolle gespielt hat, drangt sich mir der Verdacht auf, dass hier eine gewollte Hintertür gefunden wurde.


NSA lässt grüßen? Die Passwort-Exploits schauen für mich zumindest so aus.

Lies doch, was Linus schreibt.

Lies doch einfach was ich antworte. :confused: Du hast gefragt ob der Patch bei einem System mit AMD CPU eingespielt wird. Ich habe dir geantwortet.

Der Patch wird auf jedenfall eingespielt, egal was für eine Architektur man hat.
Die eigentliche Frage müsste lauten, ist bei diesem Patch für nicht betroffene Prozessoren (AMD) das KPTI deaktiviert, oder hat es Microsoft generell für alle und alles eingeschaltet.

Benchmarks mit Ryzen Systemen könnten ein Indiz* dazu liefern, ich habe aber noch keine gesehen.

*Ich habe hier bewusst mal das Wort Indiz verwendet, weil eine mögliche Performance-Regression nicht zwingend auf KPTI zurückzuführen ist, sondern auch von möglichen anderen Änderungen ausgelöst werden könnte, welche allenfalls ins gleiche Update eingeflossen sind.

Der Patch wird auf jedenfall eingespielt, egal was für eine Architektur man hat.
Die eigentliche Frage müsste lauten, ist bei diesem Patch für nicht betroffene Prozessoren (AMD) das KPTI deaktiviert, oder hat es Microsoft generell für alle und alles eingeschaltet.

Benchmarks mit Ryzen Systemen könnten ein Indiz* dazu liefern, ich habe aber noch keine gesehen.

*Ich habe hier bewusst mal das Wort Indiz verwendet, weil eine mögliche Performance-Regression nicht zwingend auf KPTI zurückzuführen ist, sondern auch von möglichen anderen Änderungen ausgelöst werden könnte, welche allenfalls ins gleiche Update eingeflossen sind.

Nein es ist auf AMD Prozessoren scheinbar nicht aktiv siehe hier:

https://www.reddit.com/r/Amd/comments/7o22dn/microsoft_powershell_script_to_detect_whether/

Richtig, weil die Linux-Kernel-Entwicklung eben so funktioniert. Erstmal alle Vendors blacklistet und dann dürfen sich die Vendors selber mit Patches whitelisten. Also wo ist das Problem bei diesem Vorgehen?

Übrigens ist Meltdown nicht Intel-Only. ARM Cortex-A75 CPUs sind auch betroffen. Ändert natürlich nichts daran, dass Intel-CPUs kaputt sind.

https://developer.arm.com/support/security-update

Es wäre toll, wenn hier ausnahmweise in solvhen Fällen aus den verlinkten O-Quellen zitiert werden würde. So ein hingerotzter Link bringt nämlich nichts, wenn die Seite unter der Anfragelast zusammenbricht...

Es wäre toll, wenn hier ausnahmweise in solvhen Fällen aus den verlinkten O-Quellen zitiert werden würde. So ein hingerotzter Link bringt nämlich nichts, wenn die Seite unter der Anfragelast zusammenbricht...

Ist ein bisschen schwierig, weil das als große Tabelle dargestellt wurde, welche CPU-Generation von welcher Version der Lücken betroffen war. Kriegt man hier schlecht rein bzw. einfach zitiert. Einfach etwas warten. ARM hat hier auf Out-of-Tree Kernel Patches verlinkt, die man einspielen soll. (vermutlich ebenfalls PTI).

Nein es ist auf AMD Prozessoren scheinbar nicht aktiv siehe hier:

https://www.reddit.com/r/Amd/comments/7o22dn/microsoft_powershell_script_to_detect_whether/
Richtig, weil die Linux-Kernel-Entwicklung eben so funktioniert. Erstmal alle Vendors blacklistet und dann dürfen sich die Vendors selber mit Patches whitelisten. Also wo ist das Problem bei diesem Vorgehen?

https://lkml.org/lkml/2017/12/27/2

From Tom Lendacky <>
Subject [PATCH] x86/cpu, x86/pti: Do not enable PTI on AMD processors
Date Tue, 26 Dec 2017 23:43:54 -0600

AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against. The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.

Disable page table isolation by default on AMD processors by not setting
the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI
is set.

Signed-off-by: Tom Lendacky
---
...

Am zweiten Januar war der Patch auf AMD-Systemen aktiv, weil die CPU als insecure galt, am dritten Januar wurde dies korrigiert.

-------------------------------------------------------

All unsere moderne Technik ist kaputt (https://www.golem.de/news/spectre-und-meltdown-all-unsere-moderne-technik-ist-kaputt-1801-131961.html)

Meltdown und Spectre sind jedoch anders. Sie brechen mit dem, worauf man sich bei der Entwicklung jeder Security einfach verlassen musste, nämlich darauf, dass einzig und allein das Betriebssystem und andere im Ring 0 einer CPU laufende Software Zugriff auf unverschlüsselte und sensible Daten haben dürfen. Wenn etwa ein Passwort oder ein Krypto-Key abhandenkam, musste man den Fehler an anderer Stelle suchen. Dass innerhalb des Systems Prozessor+Betriebssystem+Treiber etwas schieflief, war eher die Ausnahme. Und dann waren umfangreiche Reparaturarbeiten gefragt. Der Anfang jeder Vertrauenskette war stets: Die CPU und das OS machen per se nichts unsicher.

Nein es ist auf AMD Prozessoren scheinbar nicht aktiv siehe hier:

https://www.reddit.com/r/Amd/comments/7o22dn/microsoft_powershell_script_to_detect_whether/
OK, sieht sogar so aus als ob man dieses Feature via GroupPolicy steuern kann, d.h. damit ist man quasi auf dem gleichen Stand wie Linux mit dem AMD Kernel Patch und der PTI boot Option.

gibt es schon eine übersicht die zeigt, was alles mit welchen versionen softwareseitig gepatcht wurde?

danke:)

In dem ganzen Zusammenhang noch eine spannende Frage....können die grossen CPU Hersteller den Launch neuer Modellen/Architekturen (z.B. ZEN2) wie zeitlich geplant durchziehen, oder ist ein grosser Zurückrudern und Redesign angesagt, um gegen Spectre gewappnet zu sein?

Aka, akzeptieren die Kunden noch "unsichere" CPU Architekturen für zukünftige Produkte, natürlich auch in Anbetracht dessen was allenfalls noch für Möglichkeiten der Mitigation auf Softwarebene/Microcode gefunden werden.

Das das Problem ziemlich groß ist, könnte sich das auf Zukünftige Produkte bei Intel auswirken. Da AMD aber davon nicht betroffen ist, wird Zen+ bestimmt pünktlich kommen.

In dem ganzen Zusammenhang noch eine spannende Frage....können die grossen CPU Hersteller den Launch neuer Modellen/Architekturen (z.B. ZEN2) wie zeitlich geplant durchziehen, oder ist ein grosser Zurückrudern und Redesign angesagt, um gegen Spectre gewappnet zu sein?

Aka, akzeptieren die Kunden noch "unsichere" CPU Architekturen für zukünftige Produkte, natürlich auch in Anbetracht dessen was allenfalls noch für Möglichkeiten der Mitigation auf Softwarebene/Microcode gefunden werden.

oder akzeptieren die Kunden die "angeblichen Geschwindigkeitseinbußen" !?! :/

:)

In dem ganzen Zusammenhang noch eine spannende Frage....können die grossen CPU Hersteller den Launch neuer Modellen/Architekturen (z.B. ZEN2) wie zeitlich geplant durchziehen, oder ist ein grosser Zurückrudern und Redesign angesagt, um gegen Spectre gewappnet zu sein?

Aka, akzeptieren die Kunden noch "unsichere" CPU Architekturen für zukünftige Produkte, natürlich auch in Anbetracht dessen was allenfalls noch für Möglichkeiten der Mitigation auf Softwarebene/Microcode gefunden werden.
Da sich das Problem softwareseitig fixen lässt glaube ich nicht, dass da großartig was an CPU-Fixes kommt.

Intel CPU Sicherheitslücke mit PowerShell überprüfen, ob die Schutzfunktion aktiviert ist

https://www.deskmodder.de/blog/2018/01/04/intel-cpu-sicherheitsluecke-mit-powershell-ueberpruefen-ob-die-schutzfunktion-aktiviert-ist/

:)

Habe den Patch jetzt auch auf meine LTSB installiert, leider ist mein Haswell i7 @ 4,2 nicht mehr der schnellste, sodass eine 5-30%? Reduktion der Leistung schon schmerzhaft ist. :(

Das das Problem ziemlich groß ist, könnte sich das auf Zukünftige Produkte bei Intel auswirken. Da AMD aber davon nicht betroffen ist, wird Zen+ bestimmt pünktlich kommen.
Nur Meltdown, Spectre betrifft alle.
Intel wird es aber auf jedenfall härter treffen, denn eine Meltdown Verwundbarkeit wird in Zukunft wohl keiner mehr dulden, gerade weil die Konkurenz dasselbe ja nicht auweist. (ausser allenfalls sie steigern die IPC allgemein um 30% und verkaufen es zum gleichen Preis, was aber zu unwarscheinlich ist :freak:)

oder akzeptieren die Kunden die "angeblichen Geschwindigkeitseinbußen" !?! :/
:)
Gibt ja per se keine weiteren Geschwindigkeitseinbußen welche es mit aktuellen CPU's durch die ganze Software-Mitigation nicht auch gibt.
Es kann aber natürlich sein dass die Kunden mit einer neuen CPU Generation gerne wieder die Performance der Pre-SuperGAU Ära wiederhaben möchten ;)

Habe den Patch jetzt auch auf meine LTSB installiert, leider ist mein Haswell i7 @ 4,2 nicht mehr der schnellste, sodass eine 5-30%? Reduktion der Leistung schon schmerzhaft ist. :(
Merkst du denn was davon? Du wirst doch eher nicht in dem Bereich unterwegs sein, in dem es die größeren Geschwindigkeitsabschläge gibt, oder?

Merkst du denn was davon? Du wirst doch eher nicht in dem Bereich unterwegs sein, in dem es die größeren Geschwindigkeitsabschläge gibt, oder?

Ne glaube nicht, bin nur Gamer am Privat PC. :redface:

Aber trotzdem irgendwie ärgerlich, in Assasins Creed Origins ist die CPU schon so am ende, in BF1 64 Players auch, also nochmal weniger Leistung ist, ist einfach unschön. Mag könnte sagen, die CPU bringt ab Heute die Leistung @ 3,9, was davor @ 4,2 war. Wenn man das versteht, was ich meine. ^^

Ne glaube nicht, bin nur Gamer am Privat PC. :redface:

Aber trotzdem irgendwie ärgerlich, in Assasins Creed Origins ist die CPU schon so am ende, in BF1 64 Players auch, also nochmal weniger Leistung ist, ist einfach unschön. Mag könnte sagen, die CPU bringt ab Heute die Leistung @ 3,9, was davor @ 4,2 war. Wenn man das versteht, was ich meine. ^^

Hast du denn mal nachgemessen? :freak:

gibt es schon eine übersicht die zeigt, was alles mit welchen versionen softwareseitig gepatcht wurde?

Auf der Hauptseite gibt es ganz unten eine Sammlung an Links: https://spectreattack.com/

Hast du denn mal nachgemessen? :freak:

Ja im CPU Limit @ 720p, habe ich jetzt 10% weniger Leistung. (BF1, AC Origins)

4770k @ 4,2 Ring @ 4,0
GTX 1070 @ 1987/4500
16GB DDR3 @ 2400

Ne glaube nicht, bin nur Gamer am Privat PC. :redface:

Aber trotzdem irgendwie ärgerlich, in Assasins Creed Origins ist die CPU schon so am ende, in BF1 64 Players auch, also nochmal weniger Leistung ist, ist einfach unschön. Mag könnte sagen, die CPU bringt ab Heute die Leistung @ 3,9, was davor @ 4,2 war. Wenn man das versteht, was ich meine. ^^
Sind dann bloß -7%, nichts dramatisches. Ein kleiner Seitenhieb... low level kann das zigfach auffangen. ;)

Sind dann bloß -7%, nichts dramatisches. Ein kleiner Seitenhieb... low level kann das zigfach auffangen. ;)

;) Ja nur wann setzt sich das mal durch, mit DX11 werden auch die nächsten Jahren noch viele AAA Titel kommen, ich fühle mich grade ein wenig verarscht von Intel. Aber naja muss man wohl durch. Oder einen 9700k oder ähnliches Kaufen, auch eine Art den Kunden zum "aufrüsten" zu bewegen. :biggrin:

Intel CPU Sicherheitslücke mit PowerShell überprüfen, ob die Schutzfunktion aktiviert ist

https://www.deskmodder.de/blog/2018/01/04/intel-cpu-sicherheitsluecke-mit-powershell-ueberpruefen-ob-die-schutzfunktion-aktiviert-ist/

:)

Ergebnis meiner beiden Rechner:

AMD 1600X, Win10 x64 Pro 1703 und KB4056891 (https://support.microsoft.com/en-hk/help/4056891/windows-10-update-kb4056891):

https://www.forum-3dcenter.org/vbulletin/attachment.php?attachmentid=62248&stc=1&d=1515084375

Intel i3-4130T, Win10 x64 Pro 1709:

https://www.forum-3dcenter.org/vbulletin/attachment.php?attachmentid=62249&stc=1&d=1515084377

KB4056892 (https://support.microsoft.com/en-hk/help/4056892/windows-10-update-kb4056892) wurde nicht installiert, bzw. die Installation, welche durch Windows-Update selbst initiiert wurde, ist 2 mal fehlgeschlagen; Error 0x800f0845.

Wie kann ich denn jetzt die Aussagen interpretieren? Danke!

Auf meinem Windows 10 Pro System (siehe Systeminfo) gibt er mir das Update auch nicht. mein Surface Pro hat es eingespielt.
Ich überlege schon es von Hand zu patchen, aber es wundert mich, warum es nicht angeboten wird (am Virenscanner kann es nicht liegen).

G4560, Win 10 Pro (1709) und KB4056892 wurde gerade eingespielt.

Hier gibt es übrigens eine Liste, durch welche Third-Party-Antivirenhersteller das Update noch verzögert wird: https://twitter.com/GossiTheDog/status/948936706480312320

Ja im CPU Limit @ 720p, habe ich jetzt 10% weniger Leistung. (BF1, AC Origins)

4770k @ 4,2 Ring @ 4,0
GTX 1070 @ 1987/4500
16GB DDR3 @ 2400
sicher, daß es nur an dem Fix liegt? Das wäre recht viel/zu viel.

AMD hat beim Ryzen Bug auch gelogen ohne Ende

Sicherlich hast du dafür ein handfestes, konkretes Beispiel wenn AMD da so ausführlich gelogen hat?

Im Großen und Ganzen verspricht AMD, dass ihre Hardware korrekt arbeitet, wenn man so will. Und wie ich sagte, das hat jetzt nichts mit Meltdown direkt zu tun.

Das Statement von AMD bezüglich Meltdown hat mit Meltdown nichts zu tun?:confused: Ich hab doch erst ein halbes Bier ...


Naja, was ist die Compiler-Problematik:
- scheinbar sind so ziemlich alle CPUs vor KW25 betroffen (AMD sagt ja nichts)

Also halten wir fest: Du? vermutest das "so ziemlich alle" betroffen sind, hast dafür aber keinen Beweiß.


- das Problem tritt nachweisbar auf allen Betriebssystemen auf

Behauptet AMD das Gegenteil? Also, sagt AMD ausdrücklich das das auf Windows, OSX, ... NICHT der Fall ist?


AMDs Statement dazu:
Es ist eine "Performance-Abweichung" unter Linux auf einigen AMD-CPUs und der Kunde soll sich bei AMD melden.

Korrekt wäre:
Es ist ein Produktionsfehler in der CPU, der systemunabhänigige Abstürze verursachen kann bei einer ganzen Serie von produzierten CPUs.

Genau da haben wir jetzt das Problem. Es gibt keine klaren Indizien dafür, das wirklich alle Ryzen, und sei es nur alle Ryzen vor KW25 betroffen sind. Das mag daran liegen das die Leute zu wenig kompilieren, und schließt nicht aus das die CPUs tatsächlich defekt sind, aber es gibt keine Beweiße dafür. Es ist und bleibt eine Behauptung deinerseits die ich nicht sonderlich solide untermauert finde.

Bisschen einseitig die Sachlichkeit? Der Ryzen Kompiler Bug Thread war jetzt monatelang der erste Thread, prominent schon auf der Hauptseite des Forums zu sehen - und im Endeffekt kräht kein Hahn mehr danach. Nicht mal mehr bei Reddit, wo du ja so besorgt bist das man die 30% bereits in Memes gießt und in Stein meißelt.


edit: AMD handelt da wie auch hier Intel massiv intransparent und beschwichtigend, komplett am Problem vorbei. Sorry, aber Intel und AMD verhalten sich in solchen Problemfällen ähnlich schlecht. Für mich darum beide unglaubwürdig.

Na endlich räumst du das mal ein (in Bezug auf Intel) :D ist natürlich allgemein korrekt.

G4560, Win 10 Pro (1709) und KB4056892 wurde gerade eingespielt.

Hier gibt es übrigens eine Liste, durch welche Third-Party-Antivirenhersteller das Update noch verzögert wird: https://twitter.com/GossiTheDog/status/948936706480312320

Das wundert mich ja, ich bekomme es nicht im Update. Und es kann nicht an einem externen Virenscanner liegen.

Die Updates werden doch sowieso immer in Chargen ausgerollt oder ist das diesmal anders?

Habe das Update auch noch nicht erhalten.

Auf der Hauptseite gibt es ganz unten eine Sammlung an Links: https://spectreattack.com/

danke :)

Ich hoffe die eine oder andere Seite bereitet umfassenden Benchmarks vor. :)

Also halten wir fest: Du? vermutest das "so ziemlich alle" betroffen sind, hast dafür aber keinen Beweiß.
Behauptet AMD das Gegenteil? Also, sagt AMD ausdrücklich das das auf Windows, OSX, ... NICHT der Fall ist?

AMD sagt ja nichts mehr dazu und kehrt es unter den Teppich ;) Und AMD sagt es ist Linux-Only... also ja, sie sagen explizit, dass es nicht unter Windows auftritt. Unter OSX gibt es kein AMD. Aber es tritt auch auf allen BSD Varianten auf. Es wurde sogar unter einem BSD mehr oder weniger entdeckt.

Genau da haben wir jetzt das Problem. Es gibt keine klaren Indizien dafür, das wirklich alle Ryzen, und sei es nur alle Ryzen vor KW25 betroffen sind.

Also halten wir fest: Bei Intel reicht auch nur die kleinste Spekulation, bei AMD braucht es erst handfeste (ohne AMD nie vorbringbare) Beweise ;) Natürlich gibt es klare Indizien dafür, da aus dem Zeitraum mal einfach jeder betroffen ist, der es testet.
Aber wir hatten die Diskussion bereits im Ryzen-Bug Thread. Hier werden wir uns nicht einig und ist auch OT. Die Ryzen-Bug Sache ist für mich auch ziemlich klar, für AMD-Fans nicht. Da wird es auch nach Stunden Diskussion keine Bewegung geben

AMD sagt ja nichts mehr dazu und kehrt es unter den Teppich ;) Und AMD sagt es ist Linux-Only... also ja, sie sagen explizit, dass es nicht unter Windows auftritt. Unter OSX gibt es kein AMD. Aber es tritt auch auf allen BSD Varianten auf. Es wurde sogar unter einem BSD mehr oder weniger entdeckt.



Also halten wir fest: Bei Intel reicht auch nur die kleinste Spekulation, bei AMD braucht es erst handfeste (ohne AMD nie vorbringbare) Beweise ;) Natürlich gibt es klare Indizien dafür, da aus dem Zeitraum mal einfach jeder betroffen ist, der es testet.
Aber wir hatten die Diskussion bereits im Ryzen-Bug Thread. Hier werden wir uns nicht einig und ist auch OT. Die Ryzen-Bug Sache ist für mich auch ziemlich klar, für AMD-Fans nicht. Da wird es auch nach Stunden Diskussion keine Bewegung geben
Meltdown wurde auch ohne Hilfe von Intel zutage gefördert. Also das ist ja nun ein wenig lächerlich.

Intel hat anstatt den Fehler zuzugeben und zu sagen, Meltdown ist nur auf unserer Seite nachgewiesen, aber wir fixen das mit den anderen Vendors direkt alle anderen in den Schmutz gezogen. Bei der Historie von Intel ist das doch einfach nur eine Frechheit.

Der fucking CEO hat 50% seiner Anteile veräußert, obwohl kurz vorher aus seinem Mund kam Intel wird einen viel geileren Aktienkurs 2020 haben als jetzt (fast 50% plus). Was muss denn noch passieren, damit man sagt hier ist aus?

Edit: In den papers wird das übrigens explizit ausgesprochen und die getesteten CPUs werden alle aufgeführt ...

@ganon: Na die Quelle in der amd Das Ganze auf Linux beschränkt sieht, würde ich gern mal sehen.

Mal eine allgemeine Frage zur Ausnutzung von Spectre unter Linux zum Auslesen von Kernelspeicher:
Warum ist da eigentlich dieser BPF-JIT-Compiler im Kernel, mit dem man als User dem Kernel offiziell Code zum Ausführen im Kernel-Kontext überreichen kann? Schreit das nicht geradezu danach, mißbraucht zu werden? Bei intel-CPUs funktioniert Spectre Variante 1 (Umgehung von boundary checks bei spekulativer Ausführung) zum Auslesen von Kernel-Speicher zwar auch ohne (bei AMD hat man es aber bisher nicht hinbekommen, wenn der deaktiviert ist [was Standard ist]), aber nach den Beschreibungen der Proof-of-Concept-Codes erleichtert er die Arbeit und die Ausnutzbarkeit doch enorm. Und auch bei Spectre Variante 2 (Injektion von Zielen in den Branch Target Buffer der Sprungvorhersage) benutzt der Proof-of-Concept-Code (der bisher noch nicht auf AMD zum Funktionieren zu bekommen war) Fragmente des BPF-JIT-Compilers (die müssen in dem Fall nur vorhanden sein, ob aktiviert oder nicht ist da egal), weil die einfach da und offenbar gut bekannt sind.

Also halten wir fest: Bei Intel reicht auch nur die kleinste Spekulation, bei AMD braucht es erst handfeste (ohne AMD nie vorbringbare) Beweise ;)

Nein nein, ich möchte nicht mit zweierlei Maß messen.


Aber wir hatten die Diskussion bereits im Ryzen-Bug Thread. Hier werden wir uns nicht einig und ist auch OT. Die Ryzen-Bug Sache ist für mich auch ziemlich klar

Ich habe das ganze nur erwähnt, weil sich gewisse Parallelen ergeben, und deine Behandlung der Themen doch ganz andere Ansätze hat.

Beim Ryzen Compiler Bug reichen Indizien, und dir ist die Sache klar. Bei Spectre+Meltdown kommt ein klares Statement von AMD, und die Sache ist unklar.

Wobei natürlich das annehmen des Worst Case herstellerunabhängig eine gewisse Logik hat.

für AMD-Fans nicht.

Gibts da ne öffentlich einsehbare Liste? Mitgliedskarten? Jahresbeiträge?

Bei all dem Mist den Intel Zeit verzapft hat, fällt es mir doch sehr schwer Mitleid zu empfinden, wenn Intel mal sein Fett weg bekommt. Intels massive Marktmanipulation ist in den Medien ziemlich untergegangen. Wir sind sowieso momentan auf dem Weg einer Marktanteilverschiebung die dem Markt nur gut tun wird. Warum wieso und wann genau die jetzt passiert, ist mir relativ unwichtig. Als Kunde begrüße ich intakte Märkte mit Wettbewerb, keine Monopolisten. Wir haben ja schon Vorgeschmäcke bekommen, wie das aussieht.

Das hat mit "Fanboy" nichts zu tun.

AMD sagt ja nichts mehr dazu und kehrt es unter den Teppich ;) Und AMD sagt es ist Linux-Only... also ja, sie sagen explizit, dass es nicht unter Windows auftritt. Unter OSX gibt es kein AMD. Aber es tritt auch auf allen BSD Varianten auf. Es wurde sogar unter einem BSD mehr oder weniger entdeckt.



Also halten wir fest: Bei Intel reicht auch nur die kleinste Spekulation, bei AMD braucht es erst handfeste (ohne AMD nie vorbringbare) Beweise ;) Natürlich gibt es klare Indizien dafür, da aus dem Zeitraum mal einfach jeder betroffen ist, der es testet.
Aber wir hatten die Diskussion bereits im Ryzen-Bug Thread. Hier werden wir uns nicht einig und ist auch OT. Die Ryzen-Bug Sache ist für mich auch ziemlich klar, für AMD-Fans nicht. Da wird es auch nach Stunden Diskussion keine Bewegung geben

Sorry, aber du machst hier den ganzen Thread nichts anderes als den Intel-Strafverteidiger zu spielen (und das mit dem mit Abstand höchsten Post-Count in diesem Thread). Ich hoffe das fällt dir wenigstens auf. Ich sehe auch nicht, was der Ryzen-Compiler-Bug in diesem Thread zu suchen hat. Ja, man muss keiner Firma blind vertrauen und ja eine gesunde Skepsis ist immer angebracht; aber warum man ausgerechnet Intel verteidigen muss, eine Firma, die seit einer Ewigkeit ein Quasi-Monopol hat und sich in ihrer Vergangenheit mehr als genug Schweinereien erlaubt hat, sehe ich nicht. Faktum ist erstmal das was bis dato bekannt ist, und das sieht für Intel im Vergleich zu AMD nicht gut aus - alles andere ist Spekulation. Ganz davon abgesehen, dass damit wohl ein sehr grundlegender Eingriff in das ASIC-Design notwendig ist, wenn Intel dieses Verhalten seit einer halben Ewigkeit mitschleppt. Was mich noch interessieren würde wären mehr Benchmarks im CPU-Limit und das Problem auch quantifizieren zu können.

Mal eine allgemeine Frage zur Ausnutzung von Spectre unter Linux zum Auslesen von Kernelspeicher:
Warum ist da eigentlich dieser BPF-JIT-Compiler im Kernel, mit dem man als User dem Kernel offiziell Code zum Ausführen im Kernel-Kontext überreichen kann? Schreit das nicht geradezu danach, mißbraucht zu werden? Bei intel-CPUs funktioniert Spectre Variante 1 (Umgehung von boundary checks bei spekulativer Ausführung) zum Auslesen von Kernel-Speicher zwar auch ohne (bei AMD hat man es aber bisher nicht hinbekommen, wenn der deaktiviert ist [was Standard ist]), aber nach den Beschreibungen der Proof-of-Concept-Codes erleichtert er die Arbeit und die Ausnutzbarkeit doch enorm. Und auch bei Spectre Variante 2 (Injektion von Zielen in den Branch Target Buffer der Sprungvorhersage) benutzt der Proof-of-Concept-Code (der bisher noch nicht auf AMD zum Funktionieren zu bekommen war) Fragmente des BPF-JIT-Compilers (die müssen in dem Fall nur vorhanden sein, ob aktiviert oder nicht ist da egal), weil die einfach da und offenbar gut bekannt sind.

https://en.wikipedia.org/wiki/Berkeley_Packet_Filter#Extensions_and_optimizations

Some platforms, including FreeBSD, NetBSD, and WinPcap, use a just-in-time (JIT) compiler to convert BPF instructions into native code in order to improve performance. Linux includes a BPF JIT compiler which is disabled by default.

Verstehe ich das richtig: 491 ist für 1703, 492 ist für 1709?

Auf der einen Seite soll ich aufhören über AMDs Ryzen Bug zu reden, auf der anderen Seite soll ich hier weiter Fragen beantworten. Da das nicht geht, dürfen interessierte gerne im Ryzen Bug-Thread nachfragen/nachlesen. Da steht bereits alles. Der Hauptansatz war auch gar nicht der Bug, sondern schlicht die Begründung dafür, dass ich weder Intel noch AMD in ihren Aussagen traue. Und wer aus meinen Beiträgen Intel-Verteidigung raus liest, dem kann ich eh nicht helfen.

Warum ist da eigentlich dieser BPF-JIT-Compiler im Kernel, mit dem man als User dem Kernel offiziell Code zum Ausführen im Kernel-Kontext überreichen kann?

Das Ganze kam auch nicht mit wenig Diskussion rein. Im Prinzip ist das so ein "wir wollen es nicht, aber eigentlich brauchen wir es". Es ist halt im Standard aus. Grund dafür ist, dass komplexe und lange Filterregeln mit einem Interpreter halt viel zu langsam sind und somit in Bereichen mit hoher I/O hier einfach die Performance knallhart wegbricht.

Ich glaube einfach nicht, dass Hochtechnologie-Unternehmen 22 Jahre einen Bug unbemerkt mitschleppen. Das ganze lief ja über Generationen von CPUs und ebenso über Generationen von Betriebssystemen.
Da dieser "Bug" 22 Jahre für die IT-Welt keine Rolle gespielt hat, drangt sich mir der Verdacht auf, dass hier eine gewollte Hintertür gefunden wurde.


Wie kommst du darauf, dass das ein Bug ist? Speculativ Execution ist ein relativ grundlegendes Konzept um die IPC zu steigern, das mindestens seit dem P4 in aller Munde ist (der hat es allerdings auch ziemlich übertrieben und dadurch einiges an ungenutzter Verlustleistung erzeugt). Mich wundert es daher auch, dass AMD nicht betroffen ist. Aber das Verhalten ist natürlich gewünscht bzw. bewusst so herbei geführt und daher kein Bug im eigentlichen Sinne. Neu ist nur, dass jemand das ganze ausnützt um sich Zugriff zum Kernel zu verschaffen, damit hat man offenbar wirklich nicht gerechnet.

der selbsternannte Hersteller der weltweit sichersten Produkte veröffentlicht eine Liste seiner von "Meltdown" edit: "Spectre V. 2" (thx Gipsel) betroffenen CPUs

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Das ist flaw by Design. Ich würde das auch nen bug nennen.

der selbsternannte Hersteller der weltweit sichersten Produkte veröffentlicht eine Liste seiner von "Meltdown" betroffenen CPUs

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
Ein Hinweis auf die Konkurrenz muss natürlich auch rein:

Affected products:

For non-Intel based systems please contact your system manufacturer or microprocessor vendor (AMD, ARM, Qualcomm, etc.) for updates.
:D

Irgendwie habe ich das Gefühl das wie gerade den Hauptgrund sehen warum Coffee-Lake vorgezogen würde.
Die hatten wohl Angst das sie nix mehr verkaufen wenn das raus kommt.

Na Meltdown ist ein fixbarer Hardware Bug. Spectre ist ein generelles Problem wie CPUs arbeiten. Hier muss man schon unterscheiden. Vielleicht hilft es zum Verständnis mal das hier zu lesen: https://de.wikipedia.org/wiki/Seitenkanalattacke

Irgendwie habe ich das Gefühl das wie gerade den Hauptgrund sehen warum Coffee-Lake vorgezogen würde.
Die hatten wohl Angst das sie nix mehr verkaufen wenn das raus kommt.

Coffee-Lake ist nicht betroffen?

Laut der Liste ist Kaby-Lake auch nicht betroffen?

Coffee-Lake ist nicht betroffen?

Nein genau deswegen, wer hätte nen Coffee-Lake gekauft mit dem Fehler wen der Release und das rauskommen der Fehler auf den selben Zeitraum fallen

Edit:
Es sind alle betroffen

der selbsternannte Hersteller der weltweit sichersten Produkte veröffentlicht eine Liste seiner von "Meltdown" betroffenen CPUs

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Der Core Duo und Core 2 Duo ist nicht aufgelistet. Bedeutet das, dass das Thinkpad T60 nicht betroffen ist? Habs gerade wieder ausgegraben. Oder Interessier sich Intel generell nicht mehr für so alte Prozessoren?

Coffee-Lake ist nicht betroffen?

Laut der Liste ist Kaby-Lake auch nicht betroffen?

Gen 7 und 8 stehen doch drauf.

Laut der Liste ist Kaby-Lake auch nicht betroffen?
Die 7. Generation ist doch in der Liste enhalten? Coffee Lake als 8. Generation ebenfalls..

So, ich habe soeben einen kleinen Benchmarathon mit meinem System durchgeführt. Mit dabei waren: 3dmark Time Spy & Fire Strike (hier mit Augenmerk auf die Physik-Score), Superposition im CPU Limit 720p, Cinebench, Fritz, Diskmark, Assbench, enCore WOT, eigene Witcher 3 Benches, CPU-Z, y-cruncher und 7zip. Alles Sachen, von denen ich Werte von vor dem heutigen Patch habe und entsprechend vergleichen kann. Resultat: Nirgendwo Abweichungen, Schwankungen alle unterhalb von 1%.

7700K@4.8GHz (1.22V), NB@4.5GHz, 2*8GB RAM@3466MHz (dual-rank, 17-18-18-36, 1.30V), 1080Ti @ ~1950MHz/5800MHz

Die 7. Generation ist doch in der Liste enhalten? Coffee Lake als 8. Generation ebenfalls..

Sorry, die Auflistung ist verwirrend weil redundant

Hier wird das mal Punkt auf den Punkt gebracht.
https://windowsarea.de/2018/01/kommentar-intels-umgang-mit-prozessor-luecke-zeugt-von-groesster-arroganz/

Ich denke Coffee Lake wurde wegen Ryzen vorgezogen. Man wollte nicht die komplette Weihnachtszeit AMD überlassen.

So, ich habe soeben einen kleinen Benchmarathon mit meinem System durchgeführt. Mit dabei waren: 3dmark Time Spy & Fire Strike (hier mit Augenmerk auf die Physik-Score), Superposition im CPU Limit 720p, Cinebench, Fritz, Diskmark, Assbench, enCore WOT, eigene Witcher 3 Benches, CPU-Z, y-cruncher und 7zip. Alles Sachen, von denen ich Werte von vor dem heutigen Patch habe und entsprechend vergleichen kann. Resultat: Nirgendwo Abweichungen, Schwankungen alle unterhalb von 1%.

7700K@4.8GHz (1.22V), NB@4.5GHz, 2*8GB RAM@3466MHz (dual-rank, 17-18-18-36, 1.30V), 1080Ti @ ~1950MHz/5800MHz

https://www.techspot.com/article/1554-meltdown-flaw-cpu-performance-windows/

Bisher habe ich nur Benchmarks der aktuellen Generation gesehen wo der Workaround sehr überschaubare Performanceverluste ergibt. Gibt es da auch schon Werte für Sandy Bridge ?

Hier wird das mal Punkt auf den Punkt gebracht.
https://windowsarea.de/2018/01/kommentar-intels-umgang-mit-prozessor-luecke-zeugt-von-groesster-arroganz/
Diese Ausagen sind von der Kompetenz und dem Wahrheitsgehalt noch weiter weg als dieses Statement von Intel.....Repekt vor so einer Leistung :freak:

Bisher habe ich nur Benchmarks der aktuellen Generation gesehen wo der Workaround sehr überschaubare Performanceverluste ergibt. Gibt es da auch schon Werte für Sandy Bridge ?

Würde mich auch interessieren, da ja zuiemlich viele Sandys und Ivys, also 2nd und 3rd Gen, unetrwegs sind heutzutage.

der selbsternannte Hersteller der weltweit sichersten Produkte veröffentlicht eine Liste seiner von "Meltdown" betroffenen CPUs

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Interessant, dass da an erster Stelle Leute von der TU Graz genannt werden.

Diese Ausagen sind von der Kompetenz und dem Wahrheitsgehalt noch weiter weg als dieses Statement von Intel.....Repekt vor so einer Leistung :freak:
Was stimmt den nicht? Der Aktienverkauf ist überall nachzulesen. Das der Intel CEO vom Bug wusste, ist seit Juni 2017 amtlich. Das er danach seine Aktien verkaufte, ist nachweisbar. Das er davon ausgehen konnte, das das bei Bekanntwerden des Megabugs, Intels Wert abstürzt, dürfte selbst den Unbedarften klar sein. Das Intel versucht hat, AMD in diesen Bug, hineinzuziehen, kann man nachlesen. Es ist ja absichtlich Schwammig Formuliert worden. Das Intel die Geschichte versucht herunterzuspielen, kann man auch nachlesen. Aus Angst vor Schadensersatzklagen in den USA. VW müsste in den USA schließlich auch Bluten. Und der Intelbug ist der VW Skandal der Computerindustrie. Der Größte Gau der PC Geschichte in der Hardware, der seit 1995 besteht. Also was meinst du? Wo liegt der Kommentar in Link falsch?

Intel has developed and is rapidly issuing updates for all types of Intel-based computer systems — including personal computers and servers — that render those systems immune from both exploits (referred to as “Spectre” and “Meltdown”)... (https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/)
:upara:

Herrlich, wie sie immer wieder auf den Normalnutzer verweisen. Da gibt's ganz andere Kaliber, wo es (größere) Performanceeinbußen geben wird und die das nicht lustig finden werden.

Und der Intelbug ist der VW Skandal der Computerindustrie. Der Größte Gau der PC Geschichte in der Hardware der seit 1995 besteht. Also was meinst du?
Sorry aber das ist ja totaler stuss!
Du kannst doch nicht vorsatz (VW) mit "dummheit" (Intel) vergleichen.

hat jmd schon etwas von einem win 8.1 patch gehört?

Sorry aber das ist ja totaler stuss!
Du kannst doch nicht vorsatz (VW) mit "dummheit" (Intel) vergleichen.
Bei der Art wie das Problem gelöst werden soll, schon. Nämlich für das Unternehmen billig und Kundenunfreundlich.

hat jmd schon etwas von einem win 8.1 patch gehört?
https://www.drwindows.de/news/meltdown-und-spectre-updates-fuer-windows-7-und-8-1-sowie-pruefscript-veroeffentlicht


Nach KB4056898 suchen und Manuell laden, wenn das in der Regedit stimmt:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ QualityCompat
Schlüsselname“cadca5fe-87d3-4b96-b7fb-a231484277cc“
Typ=“REG_DWORD”
Wert=“0x00000000


Wenn nicht dann die Finger von Manuellen Download lassen.

Bei der Art wie das Problem gelöst werden soll, schon. Nämlich für das Unternehmen billig und Kundenunfreundlich.
Was wäre denn eine kundenfreundlichere Lösung?

Bisher habe ich nur Benchmarks der aktuellen Generation gesehen wo der Workaround sehr überschaubare Performanceverluste ergibt. Gibt es da auch schon Werte für Sandy Bridge ?

Hm, zieht er den Patch nach Lust und Laune? Habe nun mal gebencht mit dem 2600K, habe die Updates wieder erlaubt, neu gebootet und... bisher kein Patch geladen...

Interessant, dass da an erster Stelle Leute von der TU Graz genannt werden.

Warum nicht, haben ja KAISER entwickelt.
https://www.tugraz.at/tu-graz/services/news-stories/tu-graz-news/einzelansicht/article/schwere-sicherheitsluecke-tu-graz-forscher-zentral-beteiligt/

Was wäre denn eine kundenfreundlichere Lösung?
Hardware Ersatz oder Geld. Wie in den USA üblich in solchen Fällen.

Was stimmt den nicht?

Fängt schon damit an, dass es nicht eine einzige Lücke ist, sondern drei. Zwei davon sind als Spectre zusammengefasst und betreffen praktisch alle CPU-Hersteller. Meltdown dagegen betrifft speziell Intel.

Das muss man schon unterscheiden. Es gibt nicht "die" Lücke. Windows Area verbreitet da Fake News.

EDIT: In späteren Absätzen differenzieren sie doch. Trotzdem lol, dass sie einen Artikel veröffentlichen, der praktisch einfach nur 1:1 von The Register abgeschrieben ist. Ok, ich habe auch nichts anderes erwartet.

hat jmd schon etwas von einem win 8.1 patch gehört?

Auch für Windows 7 (KB4056897 und Windows 8(.1) (KB4056898) sind Updates zur manuellen Installation bereits verfügbar.
Quelle: https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Hardware Ersatz oder Geld. Wie in den USA üblich in solchen Fällen.
Und mit welcher Hardware willst du die Hardware denn ersetzen? Denkst du auch nur ein einziges Mal bevor du hier was schreibst?

sicher, daß es nur an dem Fix liegt? Das wäre recht viel/zu viel.

Eigentlich ziemlich sicher, bin nicht so der Noob, ich weiß schon wie man bencht. Bei mir sind es 8-10%, vlt. hat es auf ältere Architekturen einen höheren Performance Verlust als auf neueren, ich habe bisher nur Kaby-Lake oder Coffee Lake Benches gesehen.

Und mit welcher Hardware willst du die Hardware denn ersetzen? Denkst du auch nur ein einziges Mal bevor du hier was schreibst?
In den USA bekommen die ein neues Auto oder Geld beim VW Skandal. Denkst du auch mal?

Fängt schon damit an, dass es nicht eine einzige Lücke ist, sondern drei. Zwei davon sind als Spectre zusammengefasst und betreffen praktisch alle CPU-Hersteller. Meltdown dagegen betrifft speziell Intel.

Das muss man schon unterscheiden. Es gibt nicht "die" Lücke. Windows Area verbreitet da

Ja und ? Nur ist der Meltdown Bug, der Mega Bug. Die Auswirkungen von Spectre sind noch nicht mal richtig bekannt. Und Spectre kann man ohne Verlust wohl auch ganz einfach fixen. Sind also zwei ganz verschiedene Paar Schuhe, mein Lieber. Apfel und Birnen. Die mussten Linux so verbiegen, um überhaupt AMD mit Spectre in Verbindung zu bringen. Hallo!

Und mit welcher Hardware willst du die Hardware denn ersetzen? Denkst du auch nur ein einziges Mal bevor du hier was schreibst?

oder geld, kannst du nicht lesen?

In den USA bekommen die ein neues Auto oder Geld. Denkst du auch mal?
Auto ist keine CPU. Beantworte doch die Frage.

Zum Geld: Wer bekommt wieviel? wieviel bekommt der C2D-Besitzer? Wieviel der 8700K-Besitzer? Wieviel der Serverfarmbetreiber den das Problem tatsächlich spürbar trifft?

Wie gesagt, nur rumgelabert, keinen einzeigen realen Gedanken verschwendet...

Und das läßtt sich ohne Verlust wohl auch ganz einfach fixen.

Nein, Spectre Fixes müssen in jeder Software individuell erfolgen bzw. sie müssen neu kompiliert werden und es benötigt weitere Kernel-Anpassungen die ~2% Leistung kosten. Der Performance-Hit pro Anwendungsfall schwankt auch so zwischen 1% und 50% je nachdem und was man nun benchmarked (real-world vs micro), laut LLVM/Google/GCC. Spectre Fixes sind aktuell noch in Arbeit.

( https://spectreattack.com/ )"As it is not easy to fix, it will haunt us for quite some time."

Meltdown ist das "leicht" fixbare Problem, Spectre das schwierigere.

Auto ist keine CPU. Beantworte doch die Frage.

Zum Geld: Wer bekommt wieviel? wieviel bekommt der C2D-Besitzer? Wieviel der 8700K-Besitzer? Wieviel der Serverfarmbetreiber den das Problem tatsächlich spürbar trifft?

Wie gesagt, nur rumgelabert, keinen einzeigen realen Gedanken verschwendet...
Das wird man ja in den USA sehen, wer hier rumlabert. Hätte dann gerne ein Foto von deinen großen Augen, wenn die ersten Urteile erfolgen. VW hat das auch als Nichts abgetan und dürfte in den USA bluten. Leider sind die Deutschen Verbraucher die verarschten, dank der Verhinderung von Sammelklagen durch die CDU in der BRD.

Ich hab belastbare Zahlen und die sagen, dass bei KVM und OpenVZ zwischen 5 und 25 % Performance rausgelutscht wurden. Damit kann man nicht einfach so ein Update fahren, wenn Kundensetups die Nodes eh schon an die Leistunggrenze bringen. Für Cloud-Anbieter ist das überhaupt nicht lustig.

Hallo!

Habe soeben auf dem

Intel i7-6700K (Win 10 Prof / 64 / Windows Defender) Rechner, als auch auf dem

AMD A12-9720P (Win 10 Home / 64 / Windows Defender) Laptop

das "2018-01 Kumulatives Update für Windows 10 Version 1709 für x64-basierte Systeme (KB4056892)" bekommen.
Beide mit Windows Defender geschützt.

Das wird man ja in den USA sehen, wer hier rumlabert. Hätte dann gerne ein Foto von deinen großen Augen, wenn die ersten Urteile erfolgen. VW hat das auch als Nichts abgetan und dürfte in den USA bluten. Leider sind die Deutschen Verbraucher die verarschten, dank der Verhinderung von Sammelklagen durch die CDU in der BRD.
Aber VW hat erwiesenermaßen betrogen :facepalm:

Ich hab belastbare Zahlen und die sagen, dass bei KVM und OpenVZ zwischen 5 und 25 % Performance rausgelutscht wurden. Damit kann man nicht einfach so ein Update fahren, wenn Kundensetups die Nodes eh schon an die Leistunggrenze bringen. Für Cloud-Anbieter ist das überhaupt nicht lustig.
Wenn es Stimmt das 30 % der Internetserver auf Linux und Intel setzen, dürfte das wohl auch Auswirkungen für alle beim Surfen haben, oder?

Aber VW hat erwiesenermaßen betrogen :facepalm:
Der Intelbug besteht seit 1995. Lange Zeit und niemand hat es bemerkt bei Intel, 1A QM bei Intel. Mal sehen was da noch raus kommt. Wenn Intel beim Bug, wie der Intel CEO beim Aktiendeal gearbeitet haben, dann bin ich gespannt, was da noch ans Tageslicht kommt. Aktien Insiderhandel ist auch eine Straftat.

Hallo!

Habe soeben auf dem

Intel i7-6700K (Win 10 Prof / 64 / Windows Defender) Rechner, als auch auf dem

AMD A12-9720P (Win 10 Home / 64 / Windows Defender) Laptop

das "2018-01 Kumulatives Update für Windows 10 Version 1709 für x64-basierte Systeme (KB4056892)" bekommen.
Beide mit Windows Defender geschützt.

So muss das auch sein, ich habe alle drei Heim-PCs aktualisiert (über Windows Update, A10-9600P, Q6600 und x5-Z8350).

Der Intelbug besteht seit 1995.
Und weil es ihn seit 1995 gibt ist es Vorsatz? :facepalm:

So muss das auch sein, ich habe alle drei Heim-PCs aktualisiert (über Windows Update, A9600P, Q6600 und x5-Z8350).
Man muss uebrigens auch das BIOS updaten.

So muss das auch sein, ich habe alle drei Heim-PCs aktualisiert (über Windows Update, A9600P, Q6600 und x5-Z8350).

Und gleich allen Freunden auf FB und per WhatsApp das Update empfohlen ...

Und weil es ihn seit 1995 gibt ist es Vorsatz? :facepalm:
Habe ich das Gesagt? Ich sagte, das Intel einen 1A QM Bereich hat. Und das der Intel CEO rein zufällig, seine Aktien zu den Zeitpunkt verkauft hat, bevor die Bombe geplatzt ist Und das obwohl er von Bug seit Juni 2017 wusste. Zufälle gibt es. :rolleyes:

Man muss uebrigens auch das BIOS updaten.
Das steht wo?

Habe ich das Gesagt? Ich sagte das Intel einen 1A QM hat. Und das der Intel CEO rein zufällig, seine Aktien zu den Zeitpunkt verkauft hat, bevor die Bombe geplatzt ist Und das obwohl er von Bug seit Juni 2017 wusste. Zufälle gibt es. :rolleyes:

Ich sehe den Zusammenhang nicht.
Ist mir auch ehrlich gesagt egal, denn dies trägt jetzt zur akuten Problemlösung absolut nichts bei.

der selbsternannte Hersteller der weltweit sichersten Produkte veröffentlicht eine Liste seiner von "Meltdown" betroffenen CPUs

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
Nee, das ist die Liste für Spectre Variante 2 (Branch Target Injection, CVE-2017-5715). Meltdown wäre CVE-2017-5754. Dafür (und auch für Spectre Variante 1, CVE-2017-5753 (https://01.org/security/advisories/intel-oss-10002)) linkt intel nur auf ein Advisory für das Patchen von Betriebssystemen (https://01.org/security/advisories/intel-oss-10003). "Works as designed" schätze ich mal. :rolleyes:

Wenn es Stimmt das 30 % der Internetserver auf Linux und Intel setzen, dürfte das wohl auch Auswirkungen für alle beim Surfen haben, oder?

Nein, das wäre der Horror. Das wird natürlich auf Anbieterseite abgefangen. Kein Kunde der e-Business macht würde jetzt 30% langsamere Response Zeiten o.ä. akzeptieren. Welcher Gamer sagt, ah ja fetter Fehler, Pings sind jetzt 30 % höher? Noch besseres Beispiel wären DWH Cluster die ja genau auch in so einen Spezialfall von Bandbreite, Berechnungslasten etc fallen und die dauern jetzt 30 % länger. Bitte warten Sie, wir müssen unser Shop-DWH erst rechnen lassen, um sie ordentlich abzocken zu können. :)

Habe ich das Gesagt?
Betrug (dein Vergleich VW<->intel impliziert Betrug seitens intel) impliziert Vorsatz.

Und das der Intel CEO rein zufällig, seine Aktien zu den Zeitpunkt verkauft hat bevor die Bombe geplatzt ist. :rolleyes:
Das ist im Zweifelsfall ein Verstoß gegen Börsenrecht, ändert aber genau nichts an dem Bug, an dem Vorhandensein des Bugs, an den Auswirkungen des Bugs oder daran dass dieser vorsätzlich, also in betrügerischer Absicht, nicht gefixt wurde. Kurz: Du bist verwirrt und vergleichst Äpfel mit Birnen.

Man muss uebrigens auch das BIOS updaten.
Ist nicht dein Ernst, oder?

Wie soll man die Lücke dann abdichten? Ein BIOS-Update ist das schlimmste, was es gibt.

Ich sehe den Zusammenhang nicht.
Ist mir auch ehrlich gesagt egal, denn dies trägt jetzt zur akuten Problemlösung absolut nichts bei.
Bei VW waren es Manager, bei Intel steht Insiderhandel in raum. Wenn sich das bewahrheiten lässt, ist die Kriminelle Energie bewiesen. Denn der Intel CEO ist ja nicht irgendein Nachtwächter, sondern der Chef. Ob die vom Bug schon länger also vor Juli 2017 wussten, und das billigend in kauf nahmen, müsste dann noch zu klären sein. Beim VW Skandal dachte vorher auch niemand, das so was gemacht wird. 25 Jahre Buggeschichte sind schon extrem lang. Findest du nicht? Und niemand hat es bemerkt bis Juli 2017. Die ganze Geschichte könnte natürlich auch die Hintertür in die CPU Hardware für die NSA gewesen sein. Dann wäre es aber kein Bug, sondern bewusst so Hergestellt worden.

Ist nicht dein Ernst, oder?

Wie soll man die Lücke dann abdichten? Ein BIOS-Update ist das schlimmste, was es gibt.
Wo steht das denn mit den Bios Update.

Ist nicht dein Ernst, oder?

Wie soll man die Lücke dann abdichten? Ein BIOS-Update ist das schlimmste, was es gibt.
Das wäre krass, gerade bei älteren Geräten. Nach 10 Jahren schiebt doch kein Hersteller BIOS-Updates nach...

Ist nicht dein Ernst, oder?

Wie soll man die Lücke dann abdichten? Ein BIOS-Update ist das schlimmste, was es gibt.

Weder für Laptop noch Rechner Board gibt es ein Neues...

der selbsternannte Hersteller der weltweit sichersten Produkte veröffentlicht eine Liste seiner von "Meltdown" betroffenen CPUs

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

am besten ist Acknowledgements:
Intel would like to thank Jann Horn with Google Project Zero for his original report and for working with the industry on coordinated disclosure.

Intel would also like to thank the following researchers for working with us on coordinated disclosure.

Moritz Lipp, Michael Schwarz, Daniel Gruss, Stefan Mangard from Graz University of Technology
Paul Kocher, Daniel Genkin from University of Pennsylvania and University of Maryland, Mike Hamburg from Rambus, Cryptography Research Division and Yuval Yarom from University of Adelaide and Data61.
Thomas Prescher and Werner Haas from Cyberus Technology, Germa

klartext: we hate you, piss off XD

Verstehe ich das richtig: 491 ist für 1703, 492 ist für 1709?
Jop. Sind halt für die verschiedenen Builds.
Meine Workstation1703 hat die 491 bekommen, mein Server mit 1709 hat erfolglos versucht, die 492 für die 1709 zu installieren.

Und gleich allen Freunden auf FB und per WhatsApp das Update empfohlen ...

problem ist WELCHE win version fährst du?

bei mir 1709 -> nix update XD

Auch für Windows 7 (KB4056897 und Windows 8(.1) (KB4056898) sind Updates zur manuellen Installation bereits verfügbar.
Quelle: https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Jo, habe ich eben gemacht. habe dann auch auf meinem 4.2Ghz 2600K (also 2nd Gen) CrystalDiskMark (SATA SSD VON Samsung), Cinebench CPU, Fritzbench, y-crunch RAM, Superposition 720plow durchgeführt und Post- und pre-Patch gemessen.

Ergebnis: Abseits der kleinen Toleranzen ist alles beim Alten, außer beim Crystal Diskmark. hier sind die einzigen großen Ausschläge aber bei den beiden 4K r/w Benches zu verzeichnen (wie auch schon fast erwartet). beim ersten 4K 4KQ32 ist der read/write von 312/285 auf bemerkenswerte 257/230 gesunken. bei zweiten Seq. 4K von 33/81 auf 31/77.

Es hat also deutliche Auswirkungem, jedoch nur auf einen sehr begrenzten Bereich. Inwiefern dies nun relevant für den Alltagsbetrieb wie Videoschnitt im Semi-Profi und Amateurbereich hat bzw. sich auf Spiele auswirkt... keine Ahnung ehrlich gesagt.

es ist mir vorher auch nie aufgefallen, aber beim ersten 4K Test haut es einen der CPU Kerne komplett auf 100%. Bin mir nicht sicher, ob es vor dem Patch auch so war.

Weder für Laptop noch Rechner Board gibt es ein Neues...
Vorallen wo sollten Bios herkommen für 25 Jahre alte Computer? Asus stellt doch praktisch nach Verkauf schon die Updates für neue Bios Versionen schnell ein. Andere Bordhersteller auch. Ich denke er meint den ME Server Bug, der wurde tatsächlich per Bios Update gefixt. Betraf aber nur einige Workstation und Server.


Trotz allen finde ich in Internet keine Seiten, die ein Bios Update verifiziert in der Sache. Deshalb noch mal gefragt gibt es ein Link zu einer Seite die das genau bestätigt?

Die Auswirkungen von Spectre sind noch nicht mal richtig bekannt.
Die Auswirkungen sind genau bekannt und quasi identisch zu Meltdown

Und Spectre kann man ohne Verlust wohl auch ganz einfach fixen.
:facepalm: Ja genau, darum schreiben ja selbst die Sicherheitsforscher dass sie nicht wissen wie man dieses Problem fixen will und dass Spectre uns noch lange Zeit begleiten wird.
Ein "Quick" Fix würde wohl massiv Performance kosten, auf allen Architekturen.

Die mussten Linux so verbiegen, um überhaupt AMD mit Spectre in Verbindung zu bringen.
Ohne Worte......


Am besten hälst Du dich aus diesem Thread raus, deine falschen und dummen (Absicht, ja/nein?) Aussagen sind schon fast gefährlich...

Ist nicht dein Ernst, oder?

Wie soll man die Lücke dann abdichten? Ein BIOS-Update ist das schlimmste, was es gibt.

Denke nicht. Selbst mit Microcode Updates soll sich nichts ändern lassen. daher halte ich es für unsinnig darüber nachzudenken.

Das wäre krass, gerade bei älteren Geräten. Nach 10 Jahren schiebt doch kein Hersteller BIOS-Updates nach...
Pft, das geht doch schon nach 2-3 Jahre los....was denkst Du wie viele Intel Server ohne gepachte ME in Betrieb sind. (und hier nehme ich nicht nur Bezug auf die aktuellste Lücke in der Intel Management Engine)

Und selbst wenn es dann für das entsprechende System ein Bios/Firmware Upgrade gibt, das einspielen von diesem ist in vielen Fällen so aufwändig, dass es nicht sofort oder gar nie gemacht wird.

Man muss uebrigens auch das BIOS updaten.

Meinte Intel mit "Firmware" eigentlich Microcode oder wird da auch noch was im BIOS/EFI gemacht? Ich finde gerade auch den Link nicht mehr, wo Intel das mit dem Firmware-Updates gesagt hatte.

Ich hab gerade nur das Firmware-Update für ARM gesehen:
https://github.com/ARM-software/arm-trusted-firmware/wiki/ARM-Trusted-Firmware-Security-Advisory-TFV-6

Ich vermute jetzt mal einfach, dass Intel hier ähnliches macht. Der ganze Spectre Kram ist eh überall noch in Arbeit.

Noobfrage:
Jetzt wo die Schwachstellen öffentlich geworden sind wirds wohl demnächst auch Schadsoftware geben die sie ausnutzen(?). Was passiert mit alter Hard und Software, zB XP Rechner, oder Smartphones die nicht mehr geupdated werden?
Inwieweit, bzw für was, bzw unter welcher Voraussetzung, lassen sich die Dinger noch verwenden?

Die Auswirkungen sind genau bekannt und quasi identisch zu Meltdown

Ja genau, darum schreiben ja selbst die Sicherheitsforscher dass sie nicht wissen wie man dieses Problem fixen will und dass Spectre uns noch lange Zeit begleiten wird.
Ein "Quick" Fix würde wohl massiv Performance kosten, auf allen Architekturen.
Entschuldige das hat heute ein "Experte" in TV genauso gesagt in Bezug auf AMD. OK, dann lang der falsch.

Meinte Intel mit "Firmware" eigentlich Microcode oder wird da auch noch was im BIOS/EFI gemacht? Ich finde gerade auch den Link nicht mehr, wo Intel das mit dem Firmware-Updates gesagt hatte.

Ich hab gerade nur das Firmware-Update für ARM gesehen:
https://github.com/ARM-software/arm-trusted-firmware/wiki/ARM-Trusted-Firmware-Security-Advisory-TFV-6

Ich vermute jetzt mal einfach, dass Intel hier ähnliches macht.
Für alle Computer seit 1995 soll es ein Bios Update geben? Bin auf die Reaktion der Mainboardhersteller gespannt.

Noobfrage:
Jetzt wo die Schwachstellen öffentlich geworden sind wirds wohl demnächst auch Schadsoftware geben die sie ausnutzen(?). Was passiert mit alter Hard und Software, zB XP Rechner, oder Smartphones die nicht mehr geupdated werden?
Inwieweit, bzw für was, bzw unter welcher Voraussetzung, lassen sich die Dinger noch verwenden?
XP dein Ernst?

Noobfrage:
Jetzt wo die Schwachstellen öffentlich geworden sind wirds wohl demnächst auch Schadsoftware geben die sie ausnutzen(?). Was passiert mit alter Hard und Software, zB XP Rechner, oder Smartphones die nicht mehr geupdated werden?
Inwieweit, bzw für was, bzw unter welcher Voraussetzung, lassen sich die Dinger noch verwenden?

Ungepatchte System wie alte Windows Rechner oder Smartphones haben sowieso schon Sicherheitslücken die derartige Exploits zulassen.. und die Hürde ist die Gleiche wie bei aktuellen Systemen, erstmal musst du Code darauf ausführen können.
Das Ding ist eben das durch Meltdown aktuelle System mal kurzzeitig auf den Sicherheitsstand dieser alten System zurückgefallen sind (bzw. unentdeckt schon immer waren)

problem ist WELCHE win version fährst du?

bei mir 1709 -> nix update XD

Microsoft Windows [Version 10.0.16299.192]

Ergo 1709.
Auf Laptop und Rechner.

Mein Vater ebenso, der Laptop meiner Schwiegermutter auch und alle haben den Patch heute Abend eingespielt.

Standort: Wien, Austria.

Hier auch 1709 auch noch kein Update über die Suche, evtl. hängt das mit Kaspersky zusammen, obwohl der Regeintrag korrekt geflaggt ist, ich warte noch ein bisl, ansonsten wird er morgen "per Hand" installiert

Bei VW waren es Manager, bei Intel steht Insiderhandel in raum. Wenn sich das bewahrheiten lässt, ist die Kriminelle Energie bewiesen. Denn der Intel CEO ist ja nicht irgendein Nachtwächter, sondern der Chef. Ob die vom Bug schon länger also vor Juli 2017 wussten, und das billigend in kauf nahmen, müsste dann noch zu klären sein. Beim VW Skandal dachte vorher auch niemand, das so was gemacht wird. 25 Jahre Buggeschichte sind schon extrem lang. Findest du nicht? Und niemand hat es bemerkt bis Juli 2017. Die ganze Geschichte könnte natürlich auch die Hintertür in die CPU Hardware für die NSA gewesen sein. Dann wäre es aber kein Bug, sondern bewusst so Hergestellt worden.


Wo steht das denn mit den Bios Update.

Ich bin kein Jurist und ich habe auch keine Ahnung was jetzt wo wie und wieso gemacht worden ist.
Ergo: Tut für mich nichts zur Sache.

Das Thema BIOS/UEFI Update habe ich nicht aufgebracht. Ich habe nur angemerkt, dass weder für meinen aktuellen Laptop, noch für das Rechner Board ein entsprechendes Update in den letzten Tagen erschienen ist.

Vorallen wo sollten Bios herkommen für 25 Jahre alte Computer? Asus stellt doch praktisch nach Verkauf schon die Updates für neue Bios Versionen schnell ein. Andere Bordhersteller auch. Ich denke er meint den ME Server Bug, der wurde tatsächlich per Bios Update gefixt. Betraf aber nur einige Workstation und Server.


Trotz allen finde ich in Internet keine Seiten, die ein Bios Update verifiziert in der Sache. Deshalb noch mal gefragt gibt es ein Link zu einer Seite die das genau bestätigt?

Wie gesagt: Keine Ahnung diesbezüglich.

Patch installiert, alles beim alten wie ich feststellen konnte.

Microsoft Windows [Version 10.0.16299.192]

Ergo 1709.
Auf Laptop und Rechner.

Mein Vater ebenso, der Laptop meiner Schwiegermutter auch und alle haben den Patch heute Abend eingespielt.

Standort: Wien, Austria.
Hier auch 1709 auch noch kein Update über die Suche, evtl. hängt das mit Kaspersky zusammen, obwohl der Regeintrag korrekt geflaggt ist, ich warte noch ein bisl, ansonsten wird er morgen "per Hand" installiert

Auf allen Maschinen ist kein AV installiert, wird alles nur von mir mit Windows-Boardmitteln und ClamWin überwacht.

Die Auswirkungen sind genau bekannt und quasi identisch zu Meltdown

:facepalm: Ja genau, darum schreiben ja selbst die Sicherheitsforscher dass sie nicht wissen wie man dieses Problem fixen will und dass Spectre uns noch lange Zeit begleiten wird.
Ein "Quick" Fix würde wohl massiv Performance kosten, auf allen Architekturen.

Ohne Worte......


Am besten hälst Du dich aus diesem Thread raus, deine falschen und dummen (Absicht, ja/nein?) Aussagen sind schon fast gefährlich...
Meltdown funktioniert auf betroffenen Intel CPUs IMMER d.h. der Angreifer bekommt immer was er will. Bei Spectre ist dies nicht so, das funktioniert nur bei "hätte wäre wenn" und selbst wenn es vom prinzip funktioniert, bekommt der Angreifer noch lange nicht was er will.
Insofern sind die Auswirkungen bei Meltdown DEUTLICH stärker.

Das Thema BIOS/UEFI Update habe ich nicht aufgebracht. Ich habe nur angemerkt, dass weder für meinen aktuellen Laptop, noch für das Rechner Board ein entsprechendes Update in den letzten Tagen erschienen ist.



Wie gesagt: Keine Ahnung diesbezüglich. Ganon redet aber auch davon, das Intel so was in den Raum gestellt haben soll. Das wäre dann ein dickes Ding. Und dürfte die Mainboard /Laptop, Tablett Hersteller, wohl gut verärgern. Denn deren Support was Firmware und Bios betrifft, endet in der Regel, immer sehr schnell. Die Verkaufen dann doch lieber neue Hardware, als ihren Kunden für alt Geräte ein Bios zur Verfügung zu stellen. Wie gesagt wenn das Stimmt, stelle ich mir die Frage, wie das ablaufen soll und wer dann ein neues Bios bekommt.

Nein, Spectre Fixes müssen in jeder Software individuell erfolgen bzw. sie müssen neu kompiliert werden und es benötigt weitere Kernel-Anpassungen die ~2% Leistung kosten. Der Performance-Hit pro Anwendungsfall schwankt auch so zwischen 1% und 50% je nachdem und was man nun benchmarked (real-world vs micro), laut LLVM/Google/GCC. Spectre Fixes sind aktuell noch in Arbeit.

( https://spectreattack.com/ )"As it is not easy to fix, it will haunt us for quite some time."

Meltdown ist das "leicht" fixbare Problem, Spectre das schwierigere.
Genau das. Meltdown ist echt doof, da es einiges an Performance kosten kann, aber Spectre ist richtig übel wenn es wirklich nicht auf OS Basis fixbar ist.

Damit wären Unmengen an Software kaputt. Zudem wirst du nicht genug Entwickler finden die in der Lage sind das richtig zu fixen.

Und wenn ich es richtig verstanden habe will man wohl die speculative Execution im Kernel abschalten

Wenn das wirklich nötig wird, dann sind die Auswirkungen gewaltig. Das bringt nämlich gerade bei so branch lustigem code wie dem Kernel richtig was.

Also die bugs sind ein Riesen Desaster und überhaupt noch nicht abschätzbar.

Wir werden wohl auch Filesystem Benchmarks neu machen müssen. Bin mal gespannt was da rauskommt.

Lustre wird spannend. Da läuft ja soweit ich weiß an sich alles im Kernel space. Wenn da speculative Execution abgeschaltet wird, dann aber Holland die Waldfee.

Neues von Google zu den drei spezifischen Fällen.
Yesterday, Google’s Project Zero team posted detailed technical information on three variants of a new security issue involving speculative execution on many modern CPUs. Today, we’d like to share some more information about our mitigations and performance.

In response to the vulnerabilities that were discovered we developed a novel mitigation called “Retpoline” -- a binary modification technique that protects against “branch target injection” attacks. We shared Retpoline with our industry partners and have deployed it on Google’s systems, where we have observed negligible impact on performance.
https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html

@Ganon


Kannst du das bitte noch mal klären, mit den Bios Update bei Intel CPU´s. Ist ja keine unwichtige Sache.

Eigentlich ziemlich sicher, bin nicht so der Noob, ich weiß schon wie man bencht. Bei mir sind es 8-10%, vlt. hat es auf ältere Architekturen einen höheren Performance Verlust als auf neueren, ich habe bisher nur Kaby-Lake oder Coffee Lake Benches gesehen.

Ich glaube Du hast ihn mißverstanden. Es ging nicht um den Patch als Ganzen (wie Du scheinbar annimmst) sondern darum, dass in dem Patch ja noch andere Dinge geändert worden sein könnten.

Ich hab belastbare Zahlen und die sagen, dass bei KVM und OpenVZ zwischen 5 und 25 % Performance rausgelutscht wurden. Damit kann man nicht einfach so ein Update fahren, wenn Kundensetups die Nodes eh schon an die Leistunggrenze bringen. Für Cloud-Anbieter ist das überhaupt nicht lustig.

Das bezieht sich jetzt auf den Kernelpatch für Meltdown?

Neues von Google zu den drei spezifischen Fällen.

https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
Variant 1 (CVE-2017-5753), “bounds check bypass.” This vulnerability affects specific sequences within compiled applications, which must be addressed on a per-binary basis.

Variant 2 (CVE-2017-5715), “branch target injection”. This variant may either be fixed by a CPU microcode update from the CPU vendor, or by applying a software mitigation technique called “Retpoline” to binaries where concern about information leakage is present. This mitigation may be applied to the operating system kernel, system programs and libraries, and individual software programs, as needed.

Variant 3 (CVE-2017-5754), “rogue data cache load.” This may require patching the system’s operating system. For Linux there is a patchset called KPTI (Kernel Page Table Isolation) that helps mitigate Variant 3. Other operating systems may implement similar protections - check with your vendor for specifics.

Microcode-Update oder Retpoline für die Variante 2.

Neues von Google zu den drei spezifischen Fällen.
https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html

Das fasst es ganz gut zusammen ja:

Spectre Variante 1: Sämtliche Software neu kompilieren mit entsprechenden "Checks"
Sprectre Variante 2: Microcode (Firmware?) Update oder Kernel-Workarounds + das von Variante 1
Meltdown: Kernel-Workarounds

Kannst du das bitte noch mal klären, mit den Bios Update bei Intel CPU´s. Ist ja keine unwichtige Sache.

Ich kann nichts klären, finde den Intel von der Intel Seite selbst nicht mehr.

Noobfrage:
Jetzt wo die Schwachstellen öffentlich geworden sind wirds wohl demnächst auch Schadsoftware geben die sie ausnutzen(?). Was passiert mit alter Hard und Software, zB XP Rechner, oder Smartphones die nicht mehr geupdated werden?
Inwieweit, bzw für was, bzw unter welcher Voraussetzung, lassen sich die Dinger noch verwenden?

Ich will das Problem nicht verharmlosen aber solange die Teile innerhalb der Eigenen 4 Wände sind und man weiß was man macht ist das Risiko recht überschaubar.

mMn

Ich will das Problem nicht verharmlosen aber solange die Teile innerhalb der Eigenen 4 Wände sind und man weiß was man macht ist das Risiko recht überschaubar.

mMn
Nur wenn du nicht ins Internet gehst. Es kann ja korrumpierte Seiten geben, die den Bug ausnutzen.

Und das perfide an den Bug ist, dass du gar nichts weiter machen kannst, du kannst nicht einmal nachprüfen, ob du bereits erwischt wurdest. Durch den Bug kommen die Hacker unbemerkt in den Rechner und gehen auch wieder unbemerkt mit den ausgelesenen Passwörtern aus den Speicher. Bei gespeicherten Daten in der Cloud, will ich mir nicht ausmalen, was dort dann durch den Bug abgegriffen werden kann, wurde und wird! Wer ein Smartphone hat, benutzt auch meisten die jeweilige Clood des Anbieters. Bei Android Handys die betroffen sind, ist die schlechte Update Politik vieler Hersteller, ob die überhaupt gepatcht werden, das größte Problem und dann ein echtes Sicherheitsrisiko. Wohl gleichzusetzen, wenn man heute mit einen Windows XP PC ins Internet geht. Das ganze ist schon der größte Gau der Computer Geschichte.

Das fasst es ganz gut zusammen ja:

Spectre Variante 1: Sämtliche Software neu kompilieren mit entsprechenden "Checks"
Sprectre Variante 2: Microcode (Firmware?) Update oder Kernel-Workarounds + das von Variante 1
Meltdown: Kernel-Workarounds

Also kann man gegen Spectre 1 nichts machen, da ein "Hacker" sicher nicht so blöd ist und die Lücke in seinem "Virus" schließt?

(Hacker und Virus als Überbegriffe verstehen)

Also kann man gegen Spectre 1 nichts machen, da ein "Hacker" sicher nicht so blöd ist und die Lücke in seinem "Virus" schließt?

(Hacker und Virus als Überbegriffe verstehen)
Mit Spectre kommst Du nicht ohne Weiteres aus Deinem Prozeß raus. Aber man kommt damit aus seinem Container innerhalb eines Prozesses raus (und wenn man Einfallstore zum Kernel hat, dann ist es auch da geschehen; oder man manipuliert die Sprungvorhersage bei Syscalls, so daß der Kernel selber [ungewollt] was leaked). Wenn man also die Möglichkeiten dort schließt, kann Malware das nicht mehr nutzen.

Hatten wir schon Microsoft? https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/#hlgJckks2qu9Vxhm.97

Initially, we are removing support for SharedArrayBuffer from Microsoft Edge (originally introduced in the Windows 10 Fall Creators Update), and reducing the resolution of performance.now() in Microsoft Edge and Internet Explorer from 5 microseconds to 20 microseconds, with variable jitter of up to an additional 20 microseconds. These two changes substantially increase the difficulty of successfully inferring the content of the CPU cache from a browser process.

Also kann man gegen Spectre 1 nichts machen, da ein "Hacker" sicher nicht so blöd ist und die Lücke in seinem "Virus" schließt?

Die anzugreifende Anwendung muss vor Spectre-Angriffen geschützt werden. Die angreifende Anwendung ist dabei egal.

Kann das sein, dass der manuelle Download von der MS Seite entfernt wurde?

Hier wieder alles gefunden (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892)

Nur wenn du nicht ins Internet gehst. Es kann ja korrumpierte Seiten geben, die den Bug ausnutzen.



Ich hab ja extra geschrieben, wenn man sich Sicher ist. :rolleyes:

Ich hab ja extra geschrieben, wenn man sich Sicher ist.
Wie willst du dir 100% sicher sein? Du bekommst den Zugriff über den Bug gar nicht mit! :rolleyes:

Meinte Intel mit "Firmware" eigentlich Microcode oder wird da auch noch was im BIOS/EFI gemacht? Ich finde gerade auch den Link nicht mehr, wo Intel das mit dem Firmware-Updates gesagt hatte.
Microcode. Anscheinend gibt's das Update nur durch die Firmware. Kann sein, dass es das OS nicht updaten kann, weil es fuer die Probleme zu spaet im Boot-Vorgang ist.

Das sagt bei mir Powershell:
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: False
Windows OS support for kernel VA shadow is enabled: False

Win 10 x32 1709, x5-Z8350 (Airmont)

Microcode. Anscheinend gibt's das Update nur durch die Firmware. Kann sein, dass es das OS nicht updaten kann, weil es fuer die Probleme zu spaet im Boot-Vorgang ist.
Dann bin ich gespannt, ob ich ein Bios Update für meine Hardware bekomme. Ein ASUS Sabertooth Z97 Mark S und ein Sabertooth Z97 Mark 1 Board, einen Laptop ASUS K93SV, ein Tablett Surface 2 Pro und ein HTPC Asrock ION 330HT-BD. Bei allen ist der Bios Support ja längst eingestellt. Der glauben stirbt ja als letztes.
Da wird die Einstellung einiger, das Intel nicht in der Haftung ist, ja noch komischer, wenn nicht alle ein Bios Update bekommen, um wenigstens den Intel Spectre Bug in Bios zu fixen. Und interessant wird es, ob die Firmen sie auf das Garantie/Support ende raus reden können, um das Biosupdate zu verweigern, da der Hardwarebug ja schon nachweislich beim Kauf bestand und seit der Zeit ein Problem darstellt. Und was der Deutsche Verbraucherschutz dann dazu sagt.

Zur Frage, seit wann man weiß - oder mindestens ahnte -, dass das Problem grundsätzlich existiert, kann ich 2010 (https://twitter.com/rootkovska/status/948997805158338560) anbieten:
We've never published it since we had no working attacks...Die Idee ist aber erstmal genau die, verbotene Speicherzugriffe per speculative execution machen.

mfg

So gerade bei den Tagesthemen, der Intel Aktien Skandal bei der Intel Bug Geschichte, ist jetzt offiziell Thema. Also nicht mehr bloß eine Geschichte von Verschwörungstheoretiker.