Du hast es nicht verstanden. Es geht darum, dass es zunehmend Proof of Concepts/Works geben wird und die Ausnutzbarkeit somit steigt. Das findet im Gegensatz zu Schwarzmarkt-Lücken auch im professionellen und akademischen Rahmen öffentlich statt, was es leichter macht. Anstatt die Energie in beleidigt Sein besser in Nachdenken darüber stecken, ob man mit dem Nichtabstellen von Sicherheitslücken wirklich so extra-smart ist, wie man glaubt (Tipp: Ist es nicht, sondern höchstens Facepalm-würdig.)...

So ein Schadcode kommt nicht durch Magie auf ein System und selbst wenn: Es ist ein Zocker-PC. Was soll da passieren? Einen roten Knopf für Atomwaffenstarts habe ich hier jedenfalls nicht und auch sonst würde ich bemerken wenn hier was faul ist.

Nicht über Magie, aber sehr wahrscheinlich über das Web.

Versuche einmal überhaupt aufzuzählen, an welchen Stellen dein OS einen Web-Renderer benutzt und JavaScript ausführen kann. Wenn du nur deinen Browser aufzählen kannst, verstehst du nicht, wie heutige Betriebssysteme funktionieren und Software ausgeliefert wird.

Steam bundlet Chromium. Discord bundlet Chromium. Praktisch jedes Videospiel verarbeitet Code von Dritten und hat je nach dem auch einen Browser integriert oder zapft den des Systems an. Weißt du auch bei jeder Software, in welcher Version Chromium enthalten ist oder mit welchen Optionen es kompiliert und eingebunden wird? Ich weiß es nicht. Ich muss ganz ehrlich sagen, dass ich keinen Überblick darüber habe, an welchen Stellen in meinem System überall JavaScript ausgeführt werden kann. JavaScript in einem stark gesandboxten Chromium ist grundsätzlich keine schlimme Sache, aber Meltdown stellt eben alle Annahmen darüber auf den Kopf. Auf einmal ist alles mit Anbindung ans Web ein potentieller Angriffspunkt.

Ich will hier niemanden verunsichern, aber es ist heute praktisch unmöglich das Web vom Rechner fernzuhalten. So etwas wie einen reinen Zocker-PC gibt es nicht. Man kann nichts machen außer seinen Rechner immer zeitnah zu patchen. Wer denkt, dass er mit NoScript an seinem Rechner alle Angriffspunkte eliminiert hat, sollte noch einmal ganz genau nachschauen.

Einige haben hier noch immer dieses mentale Modell vor Augen, dass Rechner nur Code ausführen, den sie selbst mit einem Doppelklick aktiviert haben. In so einer Welt gibt es einen klaren Unterschied zwischen DAUs und "erfahrenen" Nutzern. Letztere können sich darüber schützen, dass sie vorsichtig sind und nichts Falsches anklicken.

Rechnersicherheit hat so noch nie funktioniert und heute erst recht nicht. Man muss sich der Gefahren bewusst sein und dann entsprechende Konsequenzen ziehen. Im Fall von Meltdown gibt es keinen anderen Schutz als entweder generell keinen Code von Dritten auszuführen, was an einem Desktop praktisch unmöglich ist, oder das System eben zu patchen.

Wenn auf dem Rechner nichts wichtiges läuft, keine kritischen Daten gespeichert und auch die Accounts für Game XYZ eher egal sind... who cares.

---

Ich habe den Eindruck als läuft mein Browser nach den ganzen Patches/Updates (also auch µCode) in manchen Situationen langsamer und das System braucht auch wenige Sekunden länger zum Shutdown.

Ich merke mit den Linux-Mitigations keinen Unterschied. Auf Skylake merke ich mit dem Meltdown-Fix unter Windows auch nichts. Microcode-Bios für Spectre hab ich nicht und kann ich entsprechend nicht beurteilen. Es geht mir jedenfalls auf den Sack, dass ich so etwas für Windows überhaupt brauche, und dass ich das dann auch noch flashen müsste anstatt vor Start des Kernels live zu laden...

Nach den Update verhält sich mein NUC (Skylake) zumindest geringfügig anders.

In diesem Zusammenhang gerade entdeckt:
https://downloadcenter.intel.com/de/download/27508/BIOS-Update-syskli-35-86-a-?product=89188

Mal testen...

https://www.computerbase.de/2018-02/meltdown-spectre-klagen-intel/

Klagen gegen Intel

Wenn auf dem Rechner nichts wichtiges läuft, keine kritischen Daten gespeichert und auch die Accounts für Game XYZ eher egal sind... who cares.

Ich kenne Leute, die mir das wortwörtlich so gesagt haben, nur um dann ein paar Monate später unter Tränen zu fragen, wie sie ihre Accounts wiederbekommen.

Wenn etwas klar ist, dann dass 99% der Nutzer den Wert ihrer Assets künstlich niedrig einschätzen, um keine Konsequenzen bei ihrer Rechnersicherheit ziehen zu müssen. Speziell Meltdown wird da unangenehm werden, weil da alles zusammenkommt. Da werden sowohl die Risiken als auch der Wert der Assets falsch eingeschätzt. Das ist nicht unbedingt die beste Ausgangslage.

Wenn auf dem Rechner nichts wichtiges läuft, keine kritischen Daten gespeichert und auch die Accounts für Game XYZ eher egal sind... who cares

Und dann rumheulen, wenn der Steam-, Battle.net-, gog- und andere Accounts wie Mail, Amazon, Netflix und co. weg sind.

Entweder sind die Accounts egal oder sie sind es nicht. Ist in meinen Augen ganz einfach.

Mir ist mein Steam Account wichtig, darum sind bei mir die Systeme auch entsprechend gepatcht. Aber auch ohne Patches dürfte Steam relativ sicher sein (Mail und Telefon).

Wenn Hübie sagt "Zocker-PC", dann wird er da (so hoffe ich) nicht sämtliche wichtigen Accounts (Mail, Amazon, Netflix...) drüber laufen lassen.
Wie sehr sein Leben vom Rest (Steam, Battle...) abhängt, kann wohl nur er wissen ^^

Nicht über Magie, aber sehr wahrscheinlich über das Web.

Versuche einmal überhaupt aufzuzählen, an welchen Stellen dein OS einen Web-Renderer benutzt und JavaScript ausführen kann. Wenn du nur deinen Browser aufzählen kannst, verstehst du nicht, wie heutige Betriebssysteme funktionieren und Software ausgeliefert wird.

Steam bundlet Chromium. Discord bundlet Chromium. Praktisch jedes Videospiel verarbeitet Code von Dritten und hat je nach dem auch einen Browser integriert oder zapft den des Systems an. Weißt du auch bei jeder Software, in welcher Version Chromium enthalten ist oder mit welchen Optionen es kompiliert und eingebunden wird? Ich weiß es nicht. Ich muss ganz ehrlich sagen, dass ich keinen Überblick darüber habe, an welchen Stellen in meinem System überall JavaScript ausgeführt werden kann. JavaScript in einem stark gesandboxten Chromium ist grundsätzlich keine schlimme Sache, aber Meltdown stellt eben alle Annahmen darüber auf den Kopf. Auf einmal ist alles mit Anbindung ans Web ein potentieller Angriffspunkt.

Ich will hier niemanden verunsichern, aber es ist heute praktisch unmöglich das Web vom Rechner fernzuhalten. So etwas wie einen reinen Zocker-PC gibt es nicht. Man kann nichts machen außer seinen Rechner immer zeitnah zu patchen. Wer denkt, dass er mit NoScript an seinem Rechner alle Angriffspunkte eliminiert hat, sollte noch einmal ganz genau nachschauen.

Einige haben hier noch immer dieses mentale Modell vor Augen, dass Rechner nur Code ausführen, den sie selbst mit einem Doppelklick aktiviert haben. In so einer Welt gibt es einen klaren Unterschied zwischen DAUs und "erfahrenen" Nutzern. Letztere können sich darüber schützen, dass sie vorsichtig sind und nichts Falsches anklicken.

Rechnersicherheit hat so noch nie funktioniert und heute erst recht nicht. Man muss sich der Gefahren bewusst sein und dann entsprechende Konsequenzen ziehen. Im Fall von Meltdown gibt es keinen anderen Schutz als entweder generell keinen Code von Dritten auszuführen, was an einem Desktop praktisch unmöglich ist, oder das System eben zu patchen.

Ich mache mir darüber auch keine Illusionen und weiß idR schon ziemlich gut welche Programme was machen (Origin, Steam, Uplay, GFE... alle nutzen irgendwie web content), aber mein PC ist halt A) nicht im Fokus von aktiven Attacken, B) sind hier keine sensible Daten drauf und C) bin ich nicht auf zwielichtigen Seiten unterwegs. Das mindert das Risiko. Sehe das also weniger verbissen.

@aufkrawall: Ich bin nicht beleidigt, sondern darf doch bitte selber entscheiden was ich tue und was ich lasse. Da musst du dir kein Urteil drüber anmaßen.
Jetzt noch futter für Fanatiker: Ich bin ohne externen Virenscanner als Admin unterwegs und habe das letzte Mal 2002 einen Befall gehabt, als ich auf einer LAN den Sasser-Wurm geschenkt bekam (Shutdown -a, löschen, Problem wieder erledigt). Klingt für manche unglaublich fahrlässig, aber ich fahre damit wunderbar.

@Loeschzwerg: Doch ich gucke auch Netflix und Amazon. ;) Aufgrund fehlender Erfahrungen mit Befall habe ich da vielleicht auch eine legere Einstellung, das mag sein. In 30 Jahren mit Computern kann ich einen Wurm-Befall aufzählen: Sasser. So verkehrt ist mein Konzept offenbar gar nicht.

Aber auch ohne Patches dürfte Steam relativ sicher sein (Mail und Telefon).

Wenn Hübie sagt "Zocker-PC", dann wird er da (so hoffe ich) nicht sämtliche wichtigen Accounts (Mail, Amazon, Netflix...) drüber laufen lassen.

Da haben wir schon eins der Probleme. Man müsste eigentlich mal ein Programm basteln, das die ganzen Abhängigkeiten bei den 2FA-Systemen zeigt. Wenn man die Steam-Anmeldung durchführt, muss man jedenfalls auch kurz per Mail irgendwo angemeldet sein, was wahrscheinlich exakt der Rechner sein wird.

Klar, wenn man überall 2FA nutzt, kann man den Schaden teilweise massiv abmildern. Ich würde aber einfach mal behaupten, dass die Leute, welche bewusst die Updates mit den Meltdown-Patches zurückrollen, nicht gerade an vorderster Front bei der 2FA-Nutzung stehen.

A) nicht im Fokus von aktiven Attacken, B) sind hier keine sensible Daten drauf und C) bin ich nicht auf zwielichtigen Seiten unterwegs. Das mindert das Risiko. Sehe das also weniger verbissen.

Du musst auch nicht im Fokus von aktiven Attacken stehen. Das ist ja der Witz an solchen Angriffen. Das kann ja vollkommen passiv passieren.

Dass man auf "zwielichtigen" Seiten unterwegs sein muss, ist auch so etwas, das nur in dieses Modell vom DAU vs. erfahrenen Nutzer passt. Es gibt da schlicht keine klare Trennung, was eine zwielichtige Seite ist. Bekannte Newsseiten haben schon aus Versehen Schadcode ausgeliefert. Twitter hat schon Schadcode ausgeliefert. Sobald man versucht so eine Trennung zwischen der Seriösität von Webseiten vorzunehmen, merkt man irgendwann, dass deren Code vielleicht besser keine umfassenden Rechte außerhalb ihrer Sandbox haben sollte.

@aufkrawall: Ich bin nicht beleidigt, sondern darf doch bitte selber entscheiden was ich tue und was ich lasse. Da musst du dir kein Urteil drüber anmaßen.
Jetzt noch futter für Fanatiker: Ich bin ohne externen Virenscanner als Admin unterwegs und habe das letzte Mal 2002 einen Befall gehabt, als ich auf einer LAN den Sasser-Wurm geschenkt bekam (Shutdown -a, löschen, Problem wieder erledigt). Klingt für manche unglaublich fahrlässig, aber ich fahre damit wunderbar.

Ich hätte auch mein gesamtes Leben ohne Sicherheitsgurt im Auto fahren können, weil ich noch nie einen Unfall hatte, bei dem der nötig gewesen wäre.

Da haben wir schon eins der Probleme. Man müsste eigentlich mal ein Programm basteln, das die ganzen Abhängigkeiten bei den 2FA-Systemen zeigt.

Klar, wenn man überall 2FA nutzt, kann man den Schaden teilweise massiv abmildern. Ich würde aber einfach mal behaupten, dass die Leute, welche bewusst die Updates mit den Meltdown-Patches zurückrollen, nicht gerade an vorderster Front bei der 2FA-Nutzung stehen.


Im Falle von Steam hast du immer noch dein Backup über Telefon (sofern genutzt!). Nichts ist perfekt, aber ein Totalverlust ist extrem unwahrscheinlich.

Dem Rest stimme ich voll und ganz zu.

Ich habe keine Benchmarks gemacht, beim normalen Workflow merke ich keinen Unterschied zu vorher.
Die meiste Rechenleistung brauche ich beim Compilieren, das mache ich idR eh mit Distcc im Netzwerk. Da kommen dann noch anderen Faktoren bei wenn es man mal länger dauert :)
zB wenn meine Frau traurig wird wenn ich Ihr 100% ihrer Rechenleistung klaue :)

Ich würde aber niemals auf die Idee kommen Patches aus Performancegründen nicht einzuspielen. Dann kaufe ich lieber schnellere Hardware.

Na ja es geht hier wohl kaum um Leben und Tod, daher ist der Vergleich mit Sicherheitsgurt sehr undifferenziert.
Das Seiten wie twitter auch Schadcode ausliefern ist A) unwahrscheinlicher als irgendwelche Crack-Seiten, B) ist es hier ungewollt und C) ist deren Support dahingehend besser (man wird informiert). Das wollte ich damit aussagen. Verstehe nicht was du immer mit DAU vs. erfahrenen Nutzer willst. Darum geht es nicht. Der IT'ler im letzten Unternehmen wo ich war hat dreimal soviel Ahnung wie ich und hat sich schon mehrfach (auch privat) was eingefangen. Das liegt also weniger am Wissensgrad des Nutzers. Lass das also in Zukunft einfach mal heraus. ;)

Edit: Ich mache auch kein rollback, da eh nicht aktiv. Wenn es aktiv wäre würde ich es für Spiele wie The Witcher 3 deaktivieren. Da bitte ich einfach mal keine Urteile drüber abzugeben. Als würde mein PC dadurch zur Atomwaffe werden. Also irgendwo muss man ja die Kirche im Dorf lassen...

Na ja es geht hier wohl kaum um Leben und Tod, daher ist der Vergleich mit Sicherheitsgurt sehr undifferenziert.

Inwiefern? Die meisten Leute, die ich so kenne, sind da einen kleinen Tod gestorben. "Man kann ja alles neu machen" ist so ein Spruch, den ich schon öfter gehört habe, aber genau das passiert eben nicht einfach so. Man verliert mit seinem E-Mail-Account erst einmal seine gesamte digitale Identität. Kein Dienst kann mehr so einfach verifizieren, dass du derjenige bist, als der du dich ausgibst. Das wieder alles entweder zu verifizieren zu lassen oder neu aufzubauen ist eine Arbeit für Wochen, Monate und Jahre. Das ist mit einem enormen Zeit- und teilweise auch Geldaufwand verbunden.

Ich weiß, jeder hat mir vorher immer gesagt, dass das kein Problem sei. Am Ende ist es doch immer eins.

Das Seiten wie twitter auch Schadcode ausliefern ist A) unwahrscheinlicher als irgendwelche Crack-Seiten, B) ist es hier ungewollt und C) ist deren Support dahingehend besser (man wird informiert). Das wollte ich damit aussagen. Verstehe nicht was du immer mit DAU vs. erfahrenen Nutzer willst. Darum geht es nicht. Der IT'ler im letzten Unternehmen wo ich war hat dreimal soviel Ahnung wie ich und hat sich schon mehrfach (auch privat) was eingefangen. Das liegt also weniger am Wissensgrad des Nutzers. Lass das also in Zukunft einfach mal heraus. ;)

Es gibt einen sehr langen, formalen Beweis von einer etwas ... sehr motivierten Person bei Microsoft, warum man vom Ausgang nicht auf die Sicherheit eines Softwaresystems schließen kann. Habe ich hier irgendwo einmal im Thread verlinkt. Mit reinem Bauchgefühl und Anekdoten kommt man bei so etwas leider nicht weit.

Man will mit so etwas kein Russisch Roulette spielen. Eigentlich will man da klare Aussagen treffen, ob man mit einem Rechner sicher surfen kann oder eben nicht. Irgendwelche vagen Vermutungen über die Seriösität von bestimmten Webseiten will man da gar nicht aufstellen müssen. Wenn man das versuchen muss, hat man schon längst verloren.

Als würde mein PC dadurch zur Atomwaffe werden. Also irgendwo muss man ja die Kirche im Dorf lassen...

Bei solchen Lücken wie Meltdown kann man nicht paranoid genug sein. Wie gesagt, zähl einfach mal die Punkte auf, an welchen Stellen dein Rechner von Dritten Code ausführt. Du kannst das auch nur für dich auf einem Blatt Papier machen. Du wirst schnell feststellen, dass du gar nicht alles so klar aufzählen kannst oder es doch mehr ist, als du eigentlich dachtest.

Du musst das natürlich nicht machen, aber dann irgendwelche allgemeinen Statements zu der Sicherheit ohne Meltdown-Patches machen zu wollen ist schon ziemlich überheblich.

Welches Statement? :|

Welches Statement? :|

Z.B. diese:

So ein Schadcode kommt nicht durch Magie auf ein System und selbst wenn: Es ist ein Zocker-PC. Was soll da passieren? Einen roten Knopf für Atomwaffenstarts habe ich hier jedenfalls nicht und auch sonst würde ich bemerken wenn hier was faul ist.

Der IT'ler im letzten Unternehmen wo ich war hat dreimal soviel Ahnung wie ich und hat sich schon mehrfach (auch privat) was eingefangen. Das liegt also weniger am Wissensgrad des Nutzers. Lass das also in Zukunft einfach mal heraus. ;)

Die Aussage ist doch klar: Wenn man aufpasst, passiert nix. Du bist nicht wichtig genug für einen Angriff. Lehn dich zurück, denn alles passiert sowieso unabhängig von dem, was man unternimmt. Und wenn doch etwas passiert, ist es nicht so schlimm.

Nichts davon trifft auf Meltdown zu. Man hat ein reales Risiko sogar komplett ohne "zwielichtige" Webseiten und es gibt Patches, welche die Lücke nicht ausnutzbar machen. Für die allermeisten Nutzer ist ein kompromittierter Rechner mit Datenklau eine kleine Apokalypse, die sich aber im Fall von Meltdown (wenigstens für diese Lücke) ganz leicht verhindern lässt.

Das ist eine komplett banale und simple Feststellung. Man muss nicht alles komplizierter machen als es eigentlich ist. Ein Patch macht hier den Unterschied. Sobald man mit Anekdoten anfängt, mit der Seriösität von Webseiten und den Wert seiner Assets spielen muss, begibt man sich in eine Hölle der Komplexität, die man nicht mehr sinnvoll überschauen kann. Das ist genau das, wovon sich gerade normale Nutzer fernhalten sollten.

Ich sage doch auch nicht dass es kein Risiko gibt, sondern spreche die ganze Zeit von Minimierung oder Verringerung. :| Ich lehne mich nach wie vor entspannt zurück. ASUS offenbar auch, denn einen Patch fürs UEFI wird es wohl gar nicht erst geben.

Was ist denn eigentlich die Intention deiner Beiträge hier?

Nehmen wir mal an dass ein Java-Skript über ein Drittprogramm wie Discord per Schadcode ein Programm herunter lädt und auf meinem PC ausführt (Firewall wird umgangen). Sagen wir ich spiele Battlefield 1, habe also Origin, Discord oder Teamspeak offen (plus GFE, Maus/Tastatur/Soka-Software und den Windows-Kram). Dann könnten die wie meine Passwörter heraus finden? E-Mail ist Thunderbird und Browser Vivaldi. Die legen Passwörter iirc verschlüsselt ab.
Was dann? Wie geht es weiter? Ich möchte an dieser Stelle mal konkret wissen wie es dann weiter gehen könnte und ob man das nicht im Taskmanager (Process-Explorer) sehen würde. Wie kommen die denn an ein Passwort von bspw. Netflix, Steam oder meinem E-Mail-Konto?

Ich bin wie gesagt lax weil ich noch keine schlechten Erfahrungen gemacht habe...

Na ja es geht hier wohl kaum um Leben und Tod, daher ist der Vergleich mit Sicherheitsgurt sehr undifferenziert.
Das Seiten wie twitter auch Schadcode ausliefern ist A) unwahrscheinlicher als irgendwelche Crack-Seiten, B) ist es hier ungewollt und C) ist deren Support dahingehend besser (man wird informiert). Das wollte ich damit aussagen.
Es gibt unzählige seriöse Seiten da draußen, die keine Kontrolle darüber haben was sie so alles ausliefern (eigentlich jede mit Third Party Inhalten, also praktisch jede). Musst nur mal beobachten was passiert wenn mal wieder eine Werbemalware ihr Unwesen treibt.

Verstehe nicht was du immer mit DAU vs. erfahrenen Nutzer willst. Darum geht es nicht. Der IT'ler im letzten Unternehmen wo ich war hat dreimal soviel Ahnung wie ich und hat sich schon mehrfach (auch privat) was eingefangen. Das liegt also weniger am Wissensgrad des Nutzers.
An was denn?

Inwiefern? Die meisten Leute, die ich so kenne, sind da einen kleinen Tod gestorben. "Man kann ja alles neu machen" ist so ein Spruch, den ich schon öfter gehört habe, aber genau das passiert eben nicht einfach so. Man verliert mit seinem E-Mail-Account erst einmal seine gesamte digitale Identität. Kein Dienst kann mehr so einfach verifizieren, dass du derjenige bist, als der du dich ausgibst. Das wieder alles entweder zu verifizieren zu lassen oder neu aufzubauen ist eine Arbeit für Wochen, Monate und Jahre. Das ist mit einem enormen Zeit- und teilweise auch Geldaufwand verbunden.

Ich weiß, jeder hat mir vorher immer gesagt, dass das kein Problem sei. Am Ende ist es doch immer eins.
Absolut. Mir wurde letztes Jahr mein Amazonkonto gesperrt, für etwa zehn Tage. Eigentlich total unwichtig. War dennoch ein massiver Einschnitt, der mich auch sehr nachdenklich zurückgelassen hat was passiert wäre wenn ein wirklich wichtiger Account betroffen wäre.

Und da ist man auch erstmal komplett ohnmächtig gegenüber einem riesengroßen Konzern, dem gegenüber man sich nicht mal so eben ausweisen kann.

Hübie, vielleicht erstmal ein paar Hintergrund-Artikel oder Podcasts zum Thema anschauen und dann die Diskussion weiterführen?

Man verliert mit seinem E-Mail-Account erst einmal seine gesamte digitale Identität. Kein Dienst kann mehr so einfach verifizieren, dass du derjenige bist, als der du dich ausgibst. Das wieder alles entweder zu verifizieren zu lassen oder neu aufzubauen ist eine Arbeit für Wochen, Monate und Jahre. Das ist mit einem enormen Zeit- und teilweise auch Geldaufwand verbunden.


Definitiv bescheiden und mit mehr oder weniger Aufwand verbunden, aber auch den Mail-Account kann man zusätzlich via Telefonnummer sichern um wieder Zugriff zu erlangen und damit lassen sich mögliche Auswirkungen ebenfalls schon minimieren.

Es gibt unzählige seriöse Seiten da draußen, die keine Kontrolle darüber haben was sie so alles ausliefern (eigentlich jede mit Third Party Inhalten, also praktisch jede). Musst nur mal beobachten was passiert wenn mal wieder eine Werbemalware ihr Unwesen treibt.

Werbemalware? Was z.B.? :|


An was denn?

Glück / Pech, Nutzerverhalten und dem eigenen Sicherheitskonzept. Fachwissen spielt da sicher auch mit rein.

Absolut. Mir wurde letztes Jahr mein Amazonkonto gesperrt, für etwa zehn Tage. Eigentlich total unwichtig. War dennoch ein massiver Einschnitt, der mich auch sehr nachdenklich zurückgelassen hat was passiert wäre wenn ein wirklich wichtiger Account betroffen wäre.

Und da ist man auch erstmal komplett ohnmächtig gegenüber einem riesengroßen Konzern, dem gegenüber man sich nicht mal so eben ausweisen kann.

Wieso haben die dein Konto denn gesperrt? :confused:

Falls der Angreifer bei Amazon die Anschrift ändern wollte und bei der notwendigen Verifizierung auf die Schnauze gefallen ist, sperrt Amazon vermutlich sicherheitshalber dein Konto.

Nehmen wir mal an dass ein Java-Skript über ein Drittprogramm wie Discord per Schadcode ein Programm herunter lädt und auf meinem PC ausführt (Firewall wird umgangen). Sagen wir ich spiele Battlefield 1, habe also Origin, Discord oder Teamspeak offen (plus GFE, Maus/Tastatur/Soka-Software und den Windows-Kram). Dann könnten die wie meine Passwörter heraus finden? E-Mail ist Thunderbird und Browser Vivaldi. Die legen Passwörter iirc verschlüsselt ab.
Was dann? Wie geht es weiter? Ich möchte an dieser Stelle mal konkret wissen wie es dann weiter gehen könnte und ob man das nicht im Taskmanager (Process-Explorer) sehen würde.

Du denkst, dass da irgendwelche Programme nachgeladen werden (aka eine exe) und du das dann im Process Explorer sehen kannst. Genau das passiert bei Meltdown aber nicht, wenn man die Lücke per JS ausnutzt. Wir reden hier von der low-leveligsten Sicherheitslücke der letzten Jahre. Es hängt sich da an den Prozess des jeweiligen Browsers und liest lustig nacheinander die Speicherbereiche deines Rechners aus. Woher soll deine Firewall davon wissen? Die sieht nur den Prozess deines Firefox (oder welcher JS-Engine auch immer) und du hast vielleicht minimal höhere CPU-Last, was man wahrscheinlich niemals Meltdown zuordnen würde. Da du an einem bestimmten Punkt deine verschlüsselten Passwörter auch einmal zum Benutzen entschlüsseln musst, werden die einfach auch ausgelesen. Oder was auch immer zur Authentifizierung benutzt wird.

Das Threat Model der Passwortverschlüsselung im Firefox ist in dem Zusammenhang übrigens auch interessant. Das sieht explizit nur einen Schutz dagegen vor, falls man einmal die Bildschirmsperre vergessen hat zu aktivieren. Und selbst dann sagen sie, dass man besser zusätzlich eine Vollverschlüsselung nutzen sollte, weil ihre Lösung nur zu einem gewissen Grad wirksam sein kann. Man hat schließlich auch diverse offene Sessions. Leider klärt die wenigste Software so direkt auf, gegen welche Szenarien sie schützt, aber das sind leider alles so kleine Fallstricke, die in solchen Situationen für eine falsche Sicherheit sorgen. Praktisch keine Software ist darauf ausgelegt, dass ein Prozess beliebig in allen Speicherbereichen rumschnüffeln kann. Das ist eine absolute Grundannahme, dass das nicht möglich ist. Genau das ist aber das größte Problem durch Meltdown.

Definitiv bescheiden und mit mehr oder weniger Aufwand verbunden, aber auch den Mail-Account kann man zusätzlich via Telefonnummer sichern um wieder Zugriff zu erlangen und damit lassen sich mögliche Auswirkungen ebenfalls schon minimieren.

Du gehst von dir und mir aus. Wir wissen, dass das als zweiter Faktor benutzt wird und irgendwann wichtig sein könnte. In der Welt da draußen werden alte Smartphones verliehen, neue Mobilfunkverträge abgeschlossen und alte Nummern nicht aktualisiert etc.

Alles da draußen ist ein einziges Chaos. Niemand von uns hier würde seine Geräte so nutzen wie das haufenweise Leute da draußen machen. Es passiert trotzdem.

Glück / Pech, Nutzerverhalten und dem eigenen Sicherheitskonzept. Fachwissen spielt da sicher auch mit rein.

Für Meltdown spielt nichts davon eine Rolle. Am Ende steht zwischen dir und der Kompromittierung nur der Patch -- oder eben nicht, wenn man ihn nicht installiert hat.

Werbemalware? Was z.B.? :|
Ein Script, das einen Meltdown auslöst zB.

Glück / Pech, Nutzerverhalten und dem eigenen Sicherheitskonzept. Fachwissen spielt da sicher auch mit rein.
Nein, hier ja eben nicht.

Wieso haben die dein Konto denn gesperrt? :confused:
Angeblicher Fremdzugriff nach Zahlung mit Amazon Pay. Äußerst unwahrscheinlich, dass das der Fall war. Es sei denn, Amazons 2FA ist Schrott.

Seriöse Seiten haben sehr oft KEINERLEI Werbung von Drittanbietern (wie z. B. Google) eingebunden. Google hat auch noch NIE "infizierte" Banner ausgeliefert. Google liefert auch keine Malware über seinen Android PlayStore aus. :D

Seriöse Seiten können NIE Opfer eines Hackers werden. Der wenn es ihm doch gelingen sollte selbstredend ausschließlich seriösen Code ausliefert. Sogar die Website der NSA wurde noch NIE Opfer offensichtlicher optischer Verschönerungen. :D

Seriöse DNS-Server sind noch nie Opfer von DNSHijacking in größerem Umfang geworden. Ich erinnere mich noch an den Fall wo fast alle Großbanken Brasilies SERIÖS "umgeleitet" wurden. :D

Usw. ... Um nur einige Beispiele zu nennen.

Wenn jemand noch NIE Opfer geworden ist dann ist das wohl eher der Tatsache geschuldet, dass es bei 8 Mrd. Menschen recht schwer ist Opfer zu werden. Soviele gut ausgebildete Kriminelle gibt es in diesem Bereich auch wieder nicht. Die arbeiten dann schon direkt in den Banken. :freak:

Aber gerade der sorglose Umgang mit Sicherheit, sowohl auf IT-Seite als auch auf Verbraucherseite bescheren uns immer wieder Bot-Netze, die die gesamte Infrastruktur gravierend beeinträchtigen wie z. B. Conficker oder Zeus. Das meiste vergessen wir nur allzu gerne.
Auch so schöne Sachen wie die "Russenmalware" für die Ukraine die z. B. eine dänische Reederei mit über 100Mrd. EUR Kosten fast in die Pleite getrieben hat. So kann man auch, als Arbeitnehmer, "Opfer" werden.

Klar kann ICH machen was ICH will. Aber: Man(n) ist nich alleine auf der Welt und man teilt sein Risiko, welches man selbst als gering einschätzt, aber eben auch mit den anderen Millionen. Die Auswirkungen können verheerend sein. oO

Naja, ich kann Hübie schon verstehen. Ich werde mein SB-E-System auch nicht ersetzen und sämtliche bremsende Softwaremitigations soweit möglich deaktivieren, weil ich für jetzt 50% Performanceverlust in irgendeinem Bereich damals nicht saftig Geld hingelegt habe. Ist zwar schön dass AMD nicht betroffen ist, aber mir scheint die derzeitige Situation so, dass man wieder eine Woche wartet und dann dort auch was gefunden wird. :D

Z.B. diese:





Die Aussage ist doch klar: Wenn man aufpasst, passiert nix. Du bist nicht wichtig genug für einen Angriff. Lehn dich zurück, denn alles passiert sowieso unabhängig von dem, was man unternimmt. Und wenn doch etwas passiert, ist es nicht so schlimm.

Nichts davon trifft auf Meltdown zu. Man hat ein reales Risiko sogar komplett ohne "zwielichtige" Webseiten und es gibt Patches, welche die Lücke nicht ausnutzbar machen. Für die allermeisten Nutzer ist ein kompromittierter Rechner mit Datenklau eine kleine Apokalypse, die sich aber im Fall von Meltdown (wenigstens für diese Lücke) ganz leicht verhindern lässt.

Das ist eine komplett banale und simple Feststellung. Man muss nicht alles komplizierter machen als es eigentlich ist. Ein Patch macht hier den Unterschied. Sobald man mit Anekdoten anfängt, mit der Seriösität von Webseiten und den Wert seiner Assets spielen muss, begibt man sich in eine Hölle der Komplexität, die man nicht mehr sinnvoll überschauen kann. Das ist genau das, wovon sich gerade normale Nutzer fernhalten sollten.

einfach mit inspectre den patch aktivieren, neustart, surfen wie man will, wenn man daddeln will und die performance brauch, gleiches in umgedrehter form... dank SSD vergehen da von klick auf "neustart" bis zum start des games keine 30 sekunden... :)

Danke, wenigstens Einer. :D Wie gesagt gibt es wohl auch keinen Patch von ASUS. Bin da auch nicht scharf drauf, eher gleichgültig.
Wenn man dem Browser kein Java Script erlaubt und der eh in einer Sandbox läuft ist das doch auch weniger tragisch oder? Außerdem nutze ich kein Firefox sondern Vivaldi (Chromium Renderer, Rest iirc selbst geschrieben). Per gpesit.msc habe ich auch Java Script deaktiviert und einen adblocker habe ich auch. Ich sehe das locker, da die von vanquish aufgeführten Attacken alle ohne meltdown/spectre statt fanden, was mir zeigt: Ob mit oder ohne Patch; die finden einen Weg wenn die wollen. :rolleyes:

Wenn man dem Browser kein Java Script erlaubt und der eh in einer Sandbox läuft ist das doch auch weniger tragisch oder?

Das ist der Witz an Meltdown. Die Sandbox bringt so direkt erst einmal nix.

Du kannst kein JavaScript in deinem Hauptbrowser erlauben, bringt dir aber nix für die zig eingebetteten Chromium-Versionen in deinen ganzen anderen Programmen. Wie willst du da JS deaktivieren? Wenn du einen Vorschlag hast, gerne her damit.

Außerdem nutze ich kein Firefox sondern Vivaldi (Chromium Renderer, Rest iirc selbst geschrieben). Per gpesit.msc habe ich auch Java Script deaktiviert und einen adblocker habe ich auch.

Du versuchst mir hier zu erklären, warum du ganz sicher bist, aber bis gerade eben war dir nicht einmal klar, dass man sich an den Prozess deines Browser dranhängen kann. Ich wäre da nicht so locker, wenn ich keinen Überblick hätte.

Ob mit oder ohne Patch; die finden einen Weg wenn die wollen. :rolleyes:

Nicht über Meltdown. Wenn sie mehrere hundertausend Dollar für einen 0-Day investieren -- vielleicht. Wie hoch schätzt du die Kosten für fertige Meltdown-Exploits ein?

Ich verstehe nicht so ganz, warum man sich aus Performance-Sicht gegen die Updates wert und sich krampfhaft verweigern will. Computerbase haben doch gezeigt, dass die Nachteile in Spielen in der Praxis nahezu irrelevant sind, sofern man Windows 10 verwendet.

Das ist der Witz an Meltdown. Die Sandbox bringt so direkt erst einmal nix.

Hm. Ok. Auch wenn man Hardware directed I/O deaktiviert hat?

Du kannst kein JavaScript in deinem Hauptbrowser erlauben, bringt dir aber nix für die zig eingebetteten Chromium-Versionen in deinen ganzen anderen Programmen. Wie willst du da JS deaktivieren? Wenn du einen Vorschlag hast, gerne her damit.

Geh doch mal in deine Systemsteuerung und klicke dort auf JAVA->Sicherheit und den Haken weg. Gilt doch generell für Browser content und somit auch Chromium-Ableger oder?

Du versuchst mir hier zu erklären, warum du ganz sicher bist, aber bis gerade eben war dir nicht einmal klar, dass man sich an den Prozess deines Browser dranhängen kann. Ich wäre da nicht so locker, wenn ich keinen Überblick hätte.

Wie bitte?? Ich schrieb dass per Discord ein Programm herunter geladen wird. Nix von exe im separaten Prozess. Ein Applet ist gemeint (im Zusammenhang mit Java doch eigentlich klar). :confused: Dies muss ja lokal ausgeführt werden.
Ich erkläre dir auch nix, da du wahrscheinlich mehr Ahnung hast als ich, sondern teile mit was ich so eingestellt habe.

Nicht über Meltdown. Wenn sie mehrere hundertausend Dollar für einen 0-Day investieren -- vielleicht. Wie hoch schätzt du die Kosten für fertige Meltdown-Exploits ein?

Hast du eine Rechnung der vorher genannten Exploits, ja? :D

ps: Mich beschleicht das Gefühl, dass du völlig anders liest, als ich schreibe. Sender<->Empfänger-Problem. :wink:

@N0Thing: Meinst du mich? Wo wehre oder verweigere ich kramphaft? :| Meine Frage war ob man das deaktivieren kann wenn man will. Antwort: Ja kann man. Thema erledigt. Es ist ja aber eh noch kein Patch von ASUS verfügbar und wird auch nicht kommen (oder zumindest nicht so schnell...).

[...]Geh doch mal in deine Systemsteuerung und klicke dort auf JAVA->Sicherheit und den Haken weg. Gilt doch generell für Browser content und somit auch Chromium-Ableger oder?[...]

Du weißt schon, dass JAVA nichts mit JavaScript zu tun hat?



[...]Im Gegensatz zu dem weit verbreiteten Irrtum ist JavaScript kein interpretiertes Java. Kurz gesagt ist JavaScript eine dynamische Skriptsprache, die prototypenbasierte Objektkonstrukte unterstützt.[...]

Ich verstehe nicht so ganz, warum man sich aus Performance-Sicht gegen die Updates wert und sich krampfhaft verweigern will. Computerbase haben doch gezeigt, dass die Nachteile in Spielen in der Praxis nahezu irrelevant sind, sofern man Windows 10 verwendet.

naja, 30% längere ladezeiten durch den massiven einbruch bei der SSD performance finde ich schon nicht "irrelevant", und 5-10% leistung in games können auf manchen systemen zwischen spielbar und nicht spielbar entscheiden. :redface:

Was ist denn für dich spielbar und was unspielbar?

Sicherheit kostet immer etwas, zb Performance, Freiheit, Komfort oder Geld.

Wenn die einem nicht wichtig ist Ok.

Früher waren Autos unsicher, da hatte man mit 100Ps gefühlt nen Rakete, heute braucht man 200 für das selbe Gefühl, dafür sind die Autos sicherer, mit dem Preis das sie schwerer sind.
Bei Computer haben wir das Glück das wir die Sicherheit idR nachpatchen können.
Was Performance kosten kann.
Ich bin froh darüber, bei Android Handys ist das idR nicht der Fall und die sind nach 1.5 Jahren Elektronikschrott.

Hm. Ok. Auch wenn man Hardware directed I/O deaktiviert hat?

Ja.

Man kann nur den Patch installieren oder keinen Code von Dritten ausführen. Alles andere wird dir nicht helfen.

Geh doch mal in deine Systemsteuerung und klicke dort auf JAVA->Sicherheit und den Haken weg. Gilt doch generell für Browser content und somit auch Chromium-Ableger oder?

Darkman.X hat das schon verlinkt, aber du verwechselst Java mit JavaScript. Bis auf den Namen haben die nix gemeinsam. Wenn du JavaScript im Browser deaktivieren würdest, könntest du die meisten Webseiten nicht mehr normal nutzen.

JavaScript läuft in der JS-Engine deines Browser. Bei Chromium ist das V8, bei Firefox SpiderMonkey / IonMonkey, bei Edge / IE ist es Chakra und bei Safari Nitro. Java dagegen hat nichts damit zu tun und der Code läuft als Bytecode in einer JVM, komplett unabhängig vom Browser. Java war, bis auf optionale Applets, noch nie irgendwie im Web präsent. Java kommt im clientseitigen Webstack nicht einmal vor. JavaScript dagegen ist die Programmiersprache des Webs.

Es gibt jedenfalls keinen globalen Schalter, um in allen Programmen JavaScript zu deaktivieren. Du kannst Windows dazu bringen kein JS auszuführen und du kannst es, mit massiven Einschränkungen beim Surfen, in deinem Hauptbrowser deaktivieren, aber die ganzen anderen Programme wird das nicht interessieren. Und an vielen Stellen ist sogar JS eingebettet, wo man es nicht vermuten würde. Sehr wahrscheinlich kann dein PDF-Reader JavaScript ausführen.

Hast du eine Rechnung der vorher genannten Exploits, ja? :D

Das zahlt jedenfalls Zerodium: https://www.zerodium.com/program.html

Meltdown-Exploits wird man dagegen sehr bald für einen Apfel und ein Ei (oder gar kostenlos) bekommen, einfach weil so viele Leute daran sitzen.

Man wird nicht "einfach so" gehackt. Bei einem voll gepatchten System hat das reale Kosten. Das hat nichts mit Glück oder Pech zu tun. Es ist eine Kosten- / Nutzenrechnung für den Angreifer.

Umso besser. Bei mir gibt's nix zu holen. :D Das mit Java<->JS wusste ich nicht. Dachte das wäre damit abgehandelt. Na ja ich belasse alles beim Alten. Läuft alles und ein Angriff muss ich ja nicht befürchten.

Umso besser. Bei mir gibt's nix zu holen. :D

Wenn deine Daten und Ressourcen (z.B. CPU-Leistung, Bandbreite) mehr als einen Cent wert sind, was alleine deine Internetleitung schon abdeckt, über die du gerade diesen Post verfasst hast, dann gibt es etwas zu holen.

Das mit Java<->JS wusste ich nicht. Dachte das wäre damit abgehandelt. Na ja ich belasse alles beim Alten.

Ergibt vollkommen Sinn.

¯\_(ツ)_/¯

Wie bitte soll er denn was bemerken, wenn auf Grund des fehlenden Micro-Code der Patch gar nicht aktiv ist? :confused:
Wie TGKlaus schon anmerkt ist der Patch bei mir nicht aktiv, aber mit UEFI und Windows Aktualisierung wird es früher oder (eher) später eintreffen.
Hatte mich ja darauf bezogen und wohl nicht alles gelesen (insbes. Z.5). Ich wusste nicht, dass Windows einen uCode Patch braucht, damit deren mitigation ueberhaupt erst aktiv wird. Das ist bei Linux nicht der Fall.
Hardware support for branch target injection mitigation is present: False

Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : False
Davon abgesehen ist KPTI (Windows nennt das Kernel VA Shadowing) offenbar sehr wohl aktiv, wenn man sich schon in der Diskussion (warum auch immer) nur auf meltdown beschraenkt... Also ist dir die meltdown mitigation schonmal ganz offenbar nicht aufgefallen.

Und was meinst du mit "deinem Gewissen vereinbaren"? Ich will niemanden verprügeln oder so. :| So ein Schadcode kommt nicht durch Magie auf ein System und selbst wenn: Es ist ein Zocker-PC. Was soll da passieren? Einen roten Knopf für Atomwaffenstarts habe ich hier jedenfalls nicht und auch sonst würde ich bemerken wenn hier was faul ist.
Dazu wurde glaube ich hier von lumines (und anderen und auch anderswo) inzwischen schon alles gesagt. Und an der Diskussion sieht man ja auch, dass es eh keinen Wert hat.

Richtig. Ich werde das eh nicht ändern, da nie was passiert ist. :D Ob es jemandem passt oder nicht ist mir ziemlich Banane. Wollte ja eh nur wissen ob man es abschalten kann oder nicht.

Die Erfahrung hat mich gelehrt, dass es viel unsicherer ist, seine Daten anderen anzuvertrauen (Datenklau bei Mindfactory, Twitter-Konto wurde mal "vertauscht" :rolleyes: und bei meinem Bro hat ein Russe sein Origin-Konto gratis erhalten, weil EA nicht mit bekam, dass da ne Krake zugange war). Also wenn müssen die sich um Sicherheit kümmern. :D

Zusammenfassung der letzten Seiten: :facepalm:

Immer noch kein ASUS-BIOS-Update fuer mein Skylake-Board. Intel gibt wohl immer noch keinen neuen Microcode raus?

Was ist denn für dich spielbar und was unspielbar?

kommt immer auf spiel an, eh? shooter finde ich unterhalb von 60fps unspielbar, wärend es bei games ala PoE 25fps sind die mir langen, bei autorennen bin ich kritischer, unter 100fps geht da nix bei mir :P

Also machen es bei Shootern 3-6fps, bei PoW 1-3fps und bei Autorennen 10fps den Unterschied zwischen spielbar und unspielbar. Kann ich so nicht nachvollziehen, da ist bei mir die Bandbreite einfach größer. In deinem Fall ist man natürlich arm dran, wenn man so sensibel auf Grenzwerte reagiert.
Weniger Performance ohne Eigenverschulden ist kacke, da sind sich sicher alle einig, aber ob man als Gamer wirklich lieber ein Scheunentor offen lassen will, nur um im Zweifelsfall nicht eine einzige Einstellung anpassen zu müssen?

Mal ne ganz doofe Frage... ein Kollege betreibt zu Hause mehrere Win10 PCs/Notebooks (für Frau, Kinder plus HTPC, & File-Server) und ein paar obsolete OSX/iOS-Geräte (MacMini '07/ iPad3/iPhone 4s|5), für die keine Spectre/Meltdown-Patches gibt.

Wenn ich das ganze Angriffszenario überblicke heißt das für den Fall konkret:
- Apple-Kram verkaufen/ersetzen
- Die generischen x86-Systeme, könnte man theoretisch mit aktuellem Linux-Kernel weiter relativ sicher betreiben, auch wenn es für die Boards keine Bios/CPU-Microcode-Updates gibt?

Das iPad 3, iPhone 4S und 5 bekommen sowieso keine Updates mehr. Neben Meltdown / Spectre wird es da noch andere Probleme geben.

Der Mac mini wird wahrscheinlich auf einem uralten macOS sitzen. Da sind Meltdown / Spectre wahrscheinlich auf der Prioritätsliste noch sehr weit unten. Ich habe schon vor fünf Jahren oder so gesehen, dass man auf einem Mac OS X 10.6 nicht mehr richtig surfen konnte, weil das OpenSSL so stark veraltet war. Kein moderner Browser unterstützt es überhaupt noch. Je nach dem wird der auch einen 32-Bit Core Duo und sehr wenig RAM (1 GB?) haben. Weiß nicht so genau, was man damit noch machen kann. Sind die Fixes im Moment noch immer nur für amd64-kompatible CPUs? Je nach dem wird es dann sogar mit GNU/Linux schwierig, wenn die Patches für 32 Bit da auch noch nicht drin sind.

Bei den Windows-10-Rechnern hast du auf jeden Fall die Fixes gegen Meltdown, wenn die Updates nicht gerade deaktiviert sind. Das hat auf jeden Fall die höchste Priorität. Bei Spectre würde ich erst einmal abwarten, ob die Hersteller nicht noch etwas in Form von UEFI-Updates bringen. Generell sind einige Hersteller bei so etwas sehr langsam und bringen solche Updates nur mit massiver Verzögerung. In der Zwischenzeit rollen einige Programme (z.B. Browser) selbst kleine Abmilderungen gegen Spectre aus.

Die Erfahrung hat mich gelehrt, dass es viel unsicherer ist, seine Daten anderen anzuvertrauen (Datenklau bei Mindfactory, Twitter-Konto wurde mal "vertauscht" :rolleyes: und bei meinem Bro hat ein Russe sein Origin-Konto gratis erhalten, weil EA nicht mit bekam, dass da ne Krake zugange war). Also wenn müssen die sich um Sicherheit kümmern. :D

Weil Andere (wohlgemerkt mit vollkommen anderen Risiken und Problemen) in der Vergangenheit Probleme hatten, negiert das alle Sicherheitslücken auf meiner Seite. Das ergibt natürlich vollkommen Sinn.

Du kannst natürlich machen was du willst. Jeder hat so seine Hobbys (https://www.youtube.com/watch?v=7I4WayTpgko).

Es geht ja auch nicht so wirklich speziell um Meltdown & Spectre, sondern eher um diesen Hybris rund um Rechner. Diese Idee, dass jeder da so ein Experte ist und 100%ig genau abschätzen kann, welche Patches er braucht und welche nicht, sollte man besser aufgeben. Das ist für normale Nutzer vollkommen unmöglich zu überschauen. Es fängt ja schon mit solchen Sachen an, dass eben nicht jedem klar ist, dass Java und JavaScript nicht das Gleiche sind. Man stelle sich vor, wie die Welt aussehen würde, wenn jeder bei jedem Patch selbst beurteilen müsste, ob er den braucht oder nicht. Wir wären noch schlimmer dran als wir es schon heute sind.

Meltdown & Spectre zeigen das eigentlich mehr als deutlich. Man kann dort schlicht nicht mehr nach Bauchgefühl gehen. Die Gefahren sind zu abstrakt, als dass sie der normale Nutzer verstehen könnte und gleichzeitig ist die potentielle Ausnutzung zu real, wodurch man sie gleichzeitig nicht wirklich ignorieren kann. Es braucht nur eine einzige Person, die das einmal in ein schönes Exploit-Kit verpackt und dann ist die Kacke am Dampfen. Das trifft natürlich eher auf Meltdown zu als auf Spectre, aber genau das ist ja ein weiteres Problem, das viele nicht verstehen.

Ist mir jedoch auch ziemlich Wurscht. :D Gibt wie gesagt keinen Patch für meine Hardware und es kümmert mich auch nicht so wirklich. Auch wenn es manch einen nicht passt.
Manche werden grundlos paranoid, ich sehe das halt locker und entspannt, denn es gibt schon ohne Meltdown und Spectre extrem fiese Schadsoftware. Wenn "die" rein wollen, kommen die auch in dein System rein. Ob mit Patch oder ohne. Es gibt so viele Hardware-Exploits, das zwei mehr oder weniger doch kaum auffallen. Ich erinnere da mal an gefälschte USB-Stick, welche sich als Tastatur ausgeben und so low level access auf OS Kernel erheben können oder Intels ME. Erinnert sich sich wer an die Story mit deutschen Zentrifugen für den Iran, die irgendeine Rolle in der Herstellung für Plutonium haben (ist mir entfallen). War jedenfalls auch ein Hintertürchen in der Firmware, wenn ich das noch richtig weiß. Oder HDDs die angeblich eine backdoor im Controller / in der Firmware haben? Jedes Android ist offen wie ein Scheunentor. Also lasst doch dieses moralapostelartige Gehabe wie schlimm doch diese Lücken in en CPUs sind wenn man diese nicht schließen lässt. Das kam jetzt halt ans Tageslicht. Wisst ihr etwa alle was da noch im Dunkeln liegt? Nein? Eben darum mach ich mich da auch nicht verrückt.

Nicht ablenken. Es ging darum, dass du keine Sicherheitsupdates für bekannte Lücken installieren willst, und nicht, dass immer irgendwas ist.

Ist mir jedoch auch ziemlich Wurscht. :D Gibt wie gesagt keinen Patch für meine Hardware und es kümmert mich auch nicht so wirklich. Auch wenn es manch einen nicht passt.

Doch, gegen Meltdown gibt es Patches für deine Hardware.

Es muss dich auch nicht kümmern. Es spielt auch keine Rolle, ob es dir Wurst ist oder nicht. Diese Haltung, dass man nichts machen kann, ist hier das, was schädlich ist. Es stimmt nämlich schlicht nicht. Wenn du den Patch hast, ist die Lücke geschlossen und wenn nicht, dann bist du über diese Lücke angreifbar. Eigentlich ist es bei Meltdown sehr simpel.

Die beiden Varianten von Spectre sind etwas schwieriger abzuschätzen, aber da hat man tatsächlich von außen nur einen geringen Einfluss. Da kann man auch nichts machen außer nach besten Gewissen Updates für alles einzuspielen.

Manche werden grundlos paranoid, ich sehe das halt locker und entspannt, denn es gibt schon ohne Meltdown und Spectre extrem fiese Schadsoftware. Wenn "die" rein wollen, kommen die auch in dein System rein. Ob mit Patch oder ohne.

Nein, in ein voll gepatchtes System kommt niemand "einfach so" rein. Keine Ahnung, wie du auf die Idee kommst. 0-Day-Exploits haben reale Kosten, die nicht jeder Angreifer stemmen kann oder für ein bestimmtes Ziel investieren will.

Die Idee, dass Computer wie Menschen funktionieren, die sich nach Belieben Viren und Krankheiten einfangen können, war noch nie korrekt. Das ist das, was Antivirenhersteller und viele Computerzeitschriften propagieren.

Du stellst dir einen perfekten Angreifer vor und versuchst anhand dessen irgendwelche logischen Schlüsse zu ziehen. Das ist der sogenannte "Sicherheitsnihilismus" in reinster Form (https://noncombatant.org/2016/01/28/against-security-nihilism/). Niemand abseits der Computer-Industrie würde überhaupt auf die Idee kommen, dass es eine gute Art und Weise ist so darüber nachzudenken. Das ist rein auf unsere Industrie beschränkt. Wir sind in der Hinsicht geistig komplett zurückgeblieben oder haben uns sogar ein bisschen zurückentwickelt. Eigentlich traurig, wenn man darüber nachdenkt, dass wir immer mehr Computer in unserem Leben haben.

Es gibt so viele Hardware-Exploits, das zwei mehr oder weniger doch kaum auffallen. Ich erinnere da mal an gefälschte USB-Stick, welche sich als Tastatur ausgeben und so low level access auf OS Kernel erheben können oder Intels ME. Erinnert sich sich wer an die Story mit deutschen Zentrifugen für den Iran, die irgendeine Rolle in der Herstellung für Plutonium haben (ist mir entfallen). War jedenfalls auch ein Hintertürchen in der Firmware, wenn ich das noch richtig weiß. Oder HDDs die angeblich eine backdoor im Controller / in der Firmware haben? Jedes Android ist offen wie ein Scheunentor. Also lasst doch dieses moralapostelartige Gehabe wie schlimm doch diese Lücken in en CPUs sind wenn man diese nicht schließen lässt. Das kam jetzt halt ans Tageslicht. Wisst ihr etwa alle was da noch im Dunkeln liegt? Nein? Eben darum mach ich mich da auch nicht verrückt.

Du verstehst den Kern des Problems nicht. Nur weil es unbekannte Lücken gibt, bedeutet das nicht, dass man nichts gegen bekannte Lücken unternehmen sollte. Die Kosten sinken bei bekannten Lücken rapide, bis es sich eben jeder Hinterhofhacker leisten kann die auszunutzen. Genau das passiert bei Meltdown gerade, einfach weil daran jetzt so viel geforscht und ausprobiert wird. Mit Spectre wird man gucken müssen, was darüber noch rausgefunden wird.

Nicht ablenken. Es ging darum, dass du keine Sicherheitsupdates für bekannte Lücken installieren willst, und nicht, dass immer irgendwas ist.

Was? Nein. Ich wollte wissen ob man das deaktivieren kann, da ich beim Zocken maximale Leistung möchte. ;) Nicht verdrehen.

@lumines: Selbst beim Pentagon und etlichen Firmen kommen Hacker doch rein. Meinst du die sind nicht "durchgepatcht"? :|

@lumines: Selbst beim Pentagon und etlichen Firmen kommen Hacker doch rein. Meinst du die sind nicht "durchgepatcht"? :|

Das Pentagon hat wertvollere Daten und dadurch höhere Risiken als du. Der Unterschied muss dir doch klar sein. Der Mossad ist nicht hinter dir her.

Wer allerdings hinter dir her ist, sind Leute, die billige Exploit-Kits von der Stange für bekannte Sicherheitslücken kaufen und die einfach breit einsetzen, weil es so billig ist. Im Fall von einigen Sicherheitslücken gehen die Kosten praktisch gegen Null. Der Wert deiner Daten (eventuell Mail-Account, Steam etc.) und Ressourcen (CPU-Leistung für Mining, Bandbreite für DDoS-Angriffe) übersteigt ab einem bestimmten Punkt die Kosten für den Angreifer. Das ist exakt der Punkt, an dem es lukrativ für kleine Angreifer wird. Habe ich exakt so aber auch schon einmal geschrieben.

Du denkst noch immer, dass Sicherheitslücken einem vor die Füße fallen. Das ist aber nicht so. Das ist ein Markt mit seinen ganz eigenen Dynamiken. Niemand verbrät bewusst einen 0-Day-Exploit für fünf- oder sechsstellige Beträge, um deinen popeligen Steam-Account zu übernehmen. Da stimmen die Kosten des Angriffs einfach nicht mit dem Nutzen überein. Einen kostenlosen Meltdown-PoC von GitHub schon eher. Das kann jeder und die Leute profitieren davon ganz real in Form von Steam-Account, Mail-Accounts für Spam, Rechenleistung und Bandbreite für DDoS-Angriffe.

Es gibt Pech, keine Frage. Irgendwelche 0-Day-Exploits oder gebundelte Schadsoftware kommen manchmal abhanden und werden in freier Wildbahn aus Versehen (oder bewusst) eingesetzt. Das ist aber nicht der Normalzustand und außerhalb unseres Einflusses. Einen Patch in Windows zu installieren ist aber ganz klar innerhalb unseres Einflussbereichs.

Würden wir hier über Autos oder Brücken reden, würden wir denjenigen auslachen, der ernsthaft behaupten würde, dass man da alle Sicherheitsmaßnahmen und Wartung einstellen sollte, weil ein Meteorit vom Himmel fallen könnte.

Das iPad 3, iPhone 4S und 5 bekommen sowieso keine Updates mehr. Neben Meltdown / Spectre wird es da noch andere Probleme geben.

Der Mac mini wird wahrscheinlich auf einem uralten macOS sitzen. Da sind Meltdown / Spectre wahrscheinlich auf der Prioritätsliste noch sehr weit unten. Ich habe schon vor fünf Jahren oder so gesehen, dass man nicht mehr auf einem Mac OS X 10.6 nicht mehr richtig surfen konnte, weil das OpenSSL so stark veraltet war. Kein moderner Browser unterstützt es überhaupt noch. Je nach dem wird der auch einen 32-Bit Core Duo und sehr wenig RAM (1 GB?) haben. Weiß nicht so genau, was man damit noch machen kann. Sind die Fixes im Moment noch immer nur für amd64-kompatible CPUs? Je nach dem wird es dann sogar mit GNU/Linux schwierig, wenn die Patches für 32 Bit da auch noch nicht drin sind.

Bei den Windows-10-Rechnern hast du auf jeden Fall die Fixes gegen Meltdown, wenn die Updates nicht gerade deaktiviert sind. Das hat auf jeden Fall die höchste Priorität. Bei Spectre würde ich erst einmal abwarten, ob die Hersteller nicht noch etwas in Form von UEFI-Updates bringen. Generell sind einige Hersteller bei so etwas sehr langsam und bringen solche Updates nur mit massiver Verzögerung. In der Zwischenzeit rollen einige Programme (z.B. Browser) selbst kleine Abmilderungen gegen Spectre aus.

Danke für die Info/Bestätigung.

Bei den PCs handelt es sich, um SandyBridge & Haswell-Systeme, für die schon seit Jahren seitens der MB-Hersteller (quer durch die Bank alle großen Hersteller kommen zum Einsatz) keine aktuellen Bios/UEFI mehr zur Verfügung gestellt wurden.
Für wie wahrscheinlich hälst du es, daß da noch was kommt?
"etwas sehr langsam" ist btw eine schöne Formulierung.
:)

Woran würdest du fest machen, ab wann es nicht mehr zu vertreten ist Systeme, auf denen private Daten und Online-Accounts (eMail/Banking/Steam usw..) genutzt werden, ohne Spectre-Patches zu nutzen im Netz zu verwenden?
Speziell als 0815-Heimnutzer, der sich nicht tagtäglich darüber informiert, ob gerade ein Spectre-Exploit-Baukasten für Dummies erschienen ist?

Und welche Konsequenz zieht man daraus?
Einem Restrisiko unterliegt man im Grunde ja immer, sobald man vernetzte Systeme betreibt.
Wenn der Hersteller keine Updates/Patches für bekannte Exploits ausliefert, ist die Hardware doch eigentlich nur noch abseits des Netzes als "Retro-PC" verwendbar, oder?

@Hübie
Hattest du nicht mal ewig und drei Tage einen Cylonen als Avatar?
Baltar war das 0-Day-Exploit!
Wie konnte die Galactica entkommen -> keine vernetzten Computer.

Deine Systeme/Anwendungsprogramme aktuell zu halten, schützt dich vor bekannten und genutzten Angriffsvektoren auf deine EDV-Infrastruktur.
Nicht mehr und nicht weniger.

Bei den PCs handelt es sich, um SandyBridge & Haswell-Systeme, für die schon seit Jahren seitens der MB-Hersteller (quer durch die Bank alle großen Hersteller kommen zum Einsatz) keine aktuellen Bios/UEFI mehr zur Verfügung gestellt wurden.
Für wie wahrscheinlich hälst du es, daß da noch was kommt?
"etwas sehr langsam" ist btw eine schöne Formulierung.
:)

Viel mehr als abwarten kann man nicht machen. Die Abmilderungen gegen die Varianten von Spectre müssen sowieso auf verschiedenen Ebenen reinkommen. Das wird sich alles sehr in die Länge ziehen. Im Grunde sitzen da alle in einem Boot.

Woran würdest du fest machen, ab wann es nicht mehr zu vertreten ist Systeme, auf denen private Daten und Online-Accounts (eMail/Banking/Steam usw..) genutzt werden, ohne Spectre-Patches zu nutzen im Netz zu verwenden?
Speziell als 0815-Heimnutzer, der sich nicht tagtäglich darüber informiert, ob gerade ein Spectre-Exploit-Baukasten für Dummies erschienen ist?

So genau stecke ich bei Spectre nicht drin. Meltdown ist relativ klar und lässt sich schnell und einfach bei allen großen Betriebssystemen mittlerweile patchen. Wenn man nicht gerade die Updates bewusst zurückhält (*hust*), muss man sich da keine Sorgen machen.

Ist glaube ich auch nicht so klar, ob man Angriffe per Spectre so einfach in der Bandbreite starten kann wie das mit Meltdown möglich wäre. Das wird die Kosten und den Aufwand massiv in die Höhe treiben. Wie hoch die Hürde bei Spectre tatsächlich sein wird, weiß ich aber nicht. Vielleicht können das andere besser einschätzen.

Falls nicht schon passiert, würde ich aber auf jeden Fall Strict Site Isolation in Chrome aktivieren. Der Firefox hat eine ähnliche Funktion. Bei den anderen Browsern bin ich nicht so auf dem aktuellen Stand, ob und was sie da anbieten.

Und welche Konsequenz zieht man daraus?
Einem Restrisiko unterliegt man im Grunde ja immer, sobald man vernetzte Systeme betreibt.
Wenn der Hersteller keine Updates/Patches für bekannte Exploits ausliefert, ist die Hardware doch eigentlich nur noch abseits des Netzes als "Retro-PC" verwendbar, oder?

Bei Meltdown einfach patchen und für Spectre die Augen nach Patches und UEFI-Updates Ausschau halten.

Mit den alten iPhones / iPads ist es natürlich schwieriger. Wahrscheinlich wird es da keine Fixes geben. Online-Banking würde ich darüber nicht mehr machen und mich eher schneller als langsamer nach neuen Geräten umgucken. Ist natürlich schade, aber so läuft das leider bei Smartphones und Tablets.

Falls nicht schon passiert, würde ich aber auf jeden Fall Strict Site Isolation in Chrome aktivieren. Der Firefox hat eine ähnliche Funktion.
Welche denn? Bei Firefox steht man noch ziemlich am Anfang mit der Site Isolation.

Mit den alten iPhones / iPads ist es natürlich schwieriger. Wahrscheinlich wird es da keine Fixes geben. Online-Banking würde ich darüber nicht mehr machen und mich eher schneller als langsamer nach neuen Geräten umgucken. Ist natürlich schade, aber so läuft das leider bei Smartphones und Tablets.

Nicht nur da... daß ist ja gerade das Problem... wir können ja aus Spaß mal in zwei Jahren schauen, wie viel Systeme, die sich theoretisch gegen Spectre patchen ließen, auch wirklich ein Update bekommen haben.

Meine Vermutung:
--> es werden nicht allzu viele seien und das gro beschränkt sich auf aktuell "neue" Hardware und die Business-Geräte, der letzten Jahre, die noch aktiv in größeren Firmen genutzt werden.

Bei Software/Hardware, die aus dem Herstellersupport raus ist, kann jederzeit (vom einen auf den anderen Tag) "Schluß mit (relativ) sicher", wenn ein neues Exploit bekannt wird.
Mit ioT & vernetzten Smarthomes & Autos wird es ähnlich ergehen.
Obwohl die Hardware noch nutzbar wäre, wird der Kram nach Ablauf des Softwaresupports zum Sicherheitsrisiko und/oder unbenutzbar.

Spectre zeigt doch lediglich auf, wie abhängig man inzwischen davon ist, daß es einen zeitnahen Softwaresupport seitens des Herstellers überhaupt gibt.

Das Microcode Guidance Dokument (https://newsroom.intel.com/wp-content/uploads/sites/11/2018/02/microcode-update-guidance.pdf) von Intel vom 20.02. listet u.a. für Coffee Lake, Kaby Lake und Skylake-X neue Production-Level Microcodes auf.

Bei Software/Hardware, die aus dem Herstellersupport raus ist, kann jederzeit (vom einen auf den anderen Tag) "Schluß mit (relativ) sicher", wenn ein neues Exploit bekannt wird.
Mit ioT & vernetzten Smarthomes & Autos wird es ähnlich ergehen.
Obwohl die Hardware noch nutzbar wäre, wird der Kram nach Ablauf des Softwaresupports zum Sicherheitsrisiko und/oder unbenutzbar.

Spectre zeigt doch lediglich auf, wie abhängig man inzwischen davon ist, daß es einen zeitnahen Softwaresupport seitens des Herstellers überhaupt gibt.

Definitiv. Einer der Gründe, warum ich finde, dass die Hersteller eine klare Roadmap haben sollten und nicht diese vagen Support-Ziele. Ich bin mir ziemlich sicher, dass einige Hersteller einen kleinen Schock bekommen haben, als sie gesehen haben, dass haufenweise aktuelle Geräte betroffen sind, die sie intern mit Sicherheitsupdates schon nur noch auf Sparflamme laufen lassen wollten. Dieses "wir schauen uns die Schwere der Lücke erst an und entscheiden dann" bringt es heute einfach nicht mehr, weil sie im Ernstfall dann nicht vorbereitet sind. Vielen fehlt dadurch komplett die Infrastruktur, um solche Fixes zeitnah zu integrieren und zu testen. Gerade bei den Spectre-Abmilderungen ist beides ja wichtig.

So hätte eine Reaktion der meisten Hersteller aussehen sollen: https://www.chromium.org/chrome-os-devices-and-kernel-versions

Ich will Google jetzt nicht über den Klee loben, aber gerade bei solchen Problemen zahlt sich ihre riesige Infrastruktur, um solche Sachen zeitnah zu integrieren, ziemlich aus. Solche Prozesse sollten eigentlich der Standard und nicht die Ausnahme sein.

Welche denn? Bei Firefox steht man noch ziemlich am Anfang mit der Site Isolation.

Sie hatten da irgendetwas. War nicht vergleichbar mit der Site Isolation von Chrome, aber es war immerhin etwas. Leider finde ich das gerade nicht mehr.

EDIT: Hm, vielleicht habe ich mich da auch verlesen.

Sie hatten da irgendetwas. War nicht vergleichbar mit der Site Isolation von Chrome, aber es war immerhin etwas. Leider finde ich das gerade nicht mehr.

EDIT: Hm, vielleicht habe ich mich da auch verlesen.

Meintest du das? (https://www.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html)

Mozilla arbeitet nach eigenen Angaben ebenfalls an Sofortmaßnahmen. Da die neuen Angriffe eine genaue Zeitmessung erfordern, wird die Genauigkeit von Zeitquellen in Firefox herabgesetzt. Im einzelnen wird die JavaScript-Methode performance.now() die Zeit nur noch auf 20µs genau angeben, SharedArrayBuffer wird deaktiviert. Diese Maßnahmen sollen in allen Release Channels von Firefox veröffentlicht werden, angefangen bei der aktuellen Version 57 des Browsers.

Das waren ja wirklich nur die ersten Sofortmaßnahmen in der Javascript-Engine, die aber kaum was gebracht haben. Mittlerweile sind da auch noch mehr Changes gelandet, ist aber was völlig anderes als Site Isolation. Das wird hier entwickelt: https://bugzilla.mozilla.org/show_bug.cgi?id=1432593

Falls jemand auch testen möchte. Im Anhang habe ich die Firmware 0x24 für den Haswell 306C3 angefügt. Zu Testzwecken (auf meinem Arch Linux) habe ich die Firmware in ein ucode-image gepackt. Das Image sollte sich aber mit jedem anderen Linux auch laden lassen. Mir wurde auch gesagt, dass die Firmware schon final wäre. Nur noch nicht offiziell. Aber ich warte erst einmal ab bevor ich das ganze ins Bios packe.

EDIT: Ich habe gerade gesehen, dass die aktuelle Developer Version des UBU-Tools die o. g. Firmware bereits integriert hat. Es beinhaltet auch noch weitere aktuelle Firmware für andere Prozessoren.

Hab's drauf... läuft gut :)
Allerdings unter Windows, im Bios.

Razor

Hab's heute auch in Bios eingepflegt. Laut Intel Microcode Guide ist der Haswell jetzt freigegeben.

Du meinst den hier, korrekt?
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/02/microcode-update-guidance.pdf

Das Linux Microcode Data File ist allerdings noch immer vom 17.11.:
https://downloadcenter.intel.com/download/27337/Linux-Processor-Microcode-Data-File

Der von Dir beigefügte Microcode war im übrigen "PROD"uctive und identisch zu dem vom UBU-Tool 1.69.15...

Razor

Ja, genau dieses PDF. Was anderes hat man ja im Moment nicht als Informationsquelle. Am Wochenende war die Version mit Haswell-Freigabe jedenfalls noch nicht Online. Das Linux-Archiv werden sie wohl erst wieder aktualisieren, wenn alle Prozessoren ein Update erhalten haben.

Es finden gerade übrigens weitere Performance-Optimierungen für die Schutzmaßnahmen Einzug in den Linux-Kernel. Wird man dann sehen, ob die Worst Case Regressions wirklich so schlimm bleiben müssen.

https://arxiv.org/pdf/1802.09085.pdf

Intel SGX auch kaputt...;D

Autsch

Für SkyLake aka KabyLake könnte sich das ganze noch zu einem Albtraum auswachsen dem Intel irgendwann nichts mehr "entgegen-zu-patchen" hat ohne extreme Leistungseinbußen hinnehmen zu müssen. Bei den genannten CPUs kann man sich nicht so leicht auf EOL berufen wie bei den "älteren" CPUs. Bin gespannt ob sich die Software-Industrie das antun wird und jedes mal wenn ein neuer Angriffsvektor bekannt wird den eigenen Programmcode nach möglichen Schwachpunkten durchforstet um die Intel CPUs wieder sicher zu machen. ;D

https://arxiv.org/pdf/1802.09085.pdf

Intel SGX auch kaputt...;D


Was für ein Totaldisaster.

Statt das mal was von Intel richtig "repariert" wird gibt es immer neue Angriffsvektoren.

Unsere Backup-systeme sind seit den Patchversuchen von vor 6 Wochen eine Katastrophe.
Für jeden Scheiß braucht man nen anderen Patch. Kaum einer ist komplett und damit aktiv. Und der eine der dann wirklich aktiv ist bringt Performanceeinbrüche von bis zu über 50%.
Und das für ein Rechencenter was erst im September letzten Jahres abgenommen wurde.

D.h. mit Patch ist die Performance nicht mehr ausreichend.

Und das geht, entsprechend unserer Rücksprachen, zig Konzernen so.
Aber natürlich meldet keiner solche gravierenden Probleme der IT-Sicherheit nach "oben".

Denn worüber keiner spricht, das existiert ja nicht ...

Das mit SGX ist echt schlimm - nicht wegen einer unmittelbaren Bedrohung - es geht ja "nur" darum dass SGX effektiv keinerlei zusätzliche Sicherheit bringt - kein Angriffsvektor durch SGX. Auch ist bei einem derart neuen Feature - das ist ja erst seit ein paar Monaten überhaupt verfügbar, anzunehmen, dass das überhaupt schon eine verbreitete Software nutzt.
SGX ist damit bis auf weiteres tot.

VirtualBox unterstützt jetzt übrigens PCID und INVPCID für Gäste.

https://www.virtualbox.org/wiki/Changelog

Wer VirtualBox einsetzt, sollte das aktivieren.

Na geht doch. Microsoft verteilt jetzt doch Microcodes per Update, wenn auch (noch) nicht über Windows Update sondern manuell: https://www.golem.de/news/windows-catalog-microsoft-verteilt-kuenftig-selbst-spectre-patches-1803-133093.html

https://support.microsoft.com/en-us/help/4090007/intel-microcode-updates

Bisher nur Skylake.

Endlich. Hat die Kundschaft Microsoft doch noch weichgekocht. Hätte nie gedacht dass Microsoft so lange zögert und die ordinäre Kundschaft im Regen stehen lässt. Bei WannaCry wurde ja XP auch noch für alle gepatcht obwohl längst EOL.

BTW. wo kann ich PCID in Virtualbox aktivieren? In den Einstellungen kann ich nichts finden. Automatisch wird da wohl nichts gemacht? Der Spectre-Patch ist bei mir in der VM unter Win7 immer noch nicht aktiv.

BTW. wo kann ich PCID in Virtualbox aktivieren? In den Einstellungen kann ich nichts finden. Automatisch wird da wohl nichts gemacht? Der Spectre-Patch ist bei mir in der VM unter Win7 immer noch nicht aktiv.

PCID / INVPCID ist für Retpoline von Linux und anderen Systemen. War quatsch, das ist zur Beschleunigung von Meltdown-Fixes / KPTI.

Für Windows bräuchtest du eine Durchleitung der IBRS und Co. Flags (aka, das was das Microcode Update hinzufügt). Da kenne ich bei VirtualBox den Stand nicht.

Ah, O.K. ich dachte mir schon, dass ich den Microcode-Shit irgendwie in den Windows Gast reinkriegen muss. :/ Vielleicht gibt es ja auch noch für Windows 7 Microcode Updates. Glaube nicht dass das Oracle irgendwie hineinfrickelt.

Endlich. Hat die Kundschaft Microsoft doch noch weichgekocht. Hätte nie gedacht dass Microsoft so lange zögert und die ordinäre Kundschaft im Regen stehen lässt. Bei WannaCry wurde ja XP auch noch für alle gepatcht obwohl längst EOL.



Wieso? Microsoft hat doch alles richtig gemacht.

Die ersten Patches von Intel waren so unstabil das Intel die wieder zurückgezogen hat. Jetzt gibt es die richtigen (hoffentlich).

Und jetzt ist Microsoft auch bereit die Patches zu verteilen.

Wenn sie die alten verteilt hätten wären die auf noch sehr viel mehr Rechnern gelandet und damit hätte Microsoft den ganzen Shitstorm abbekommen.

Wie ist denn das wenn ich das Microcode Update über Microsoft bekomme und dann ein Bios Update kommt mit einem älteren Microcode? Wir der neue dann überschrieben? Für mein Bios ist noch der "defekte" Microcode im neusten Bios Update. In dem Bios Update sind aber ein paar andere Sachen auch gefixt.

Der "alte" Microcode wird einfach überschrieben.


Wieso? Microsoft hat doch alles richtig gemacht.

Und nein, Microsoft hat IMO nicht _alles_ richtig gemacht. Sie hätten vorher sagen können: "Ja wir nehmen uns des Problems an und integrieren die Microcodes wenn sie fertig sind." Jeder in Redmond wusste, dass kaum ein "Normalanwender" in der Lage ist sein Bios zu aktualisieren.

Es wurden lediglich OS Patches (die später teilw. deaktiviert wurden) zu den ersten Microcodes ausgegeben. Die ohne Microcode zudem auch noch unwirksam waren. Das wäre es wohl auch gewesen, wäre der Druck auf Microsoft nicht so hoch geworden. Wenn sie schon so "schlau" gewesen wären hätten sie geahnt, dass die Microcodes instabil sind und hätten mit den Spectre Patches gewartet (um alles richtig zu machen). Von den nicht mehr hochfahrenden AMD Rechnern. Oder dem Registry-Key den der Virenhersteller oder der Anwender erst setzen muss (auf Windows 7 ohne Virenscanner kommt ohne diesen Key bis heute kein einziges Spectre-/Meltdown-Update) ganz zu schweigen.

Die hatten alle ein halbes Jahr Zeit und haben nicht mehr zu Stande gebracht als Chaos. Alle waren verunsichert ob die Hersteller ihre Bios-Updates auch für alle Boards bringen würden. Intel wollte nur bis einschließlich Haswell patchen (gilt auch nicht mehr). Google hat sein Retpoline vor Microsoft "geheim" gehalten anstatt mit Microsoft zusammen zu arbeiten. Mittlerweile wird sogar in Redmond darüber nachgedacht Retpoline zusätzlich zu integrieren. Alles richtig gemacht. Aus der "Ich-habe-keinen-Shitstorm-Abbekommen-Perspektive" vielleicht. Aber für den Kunden wohl kaum.

Anyway, bei den meisten ist das Thema sowieso schon wieder aus den Köpfen. Eine Sicherheitslücke mehr oder weniger. ... Wayne. ... Ob Microsoft jetzt die Microcodes liefert interessiert doch kaum noch jemanden. Wurde ja auch niemandem mitgeteilt bzw. nirgends gross angekündigt.

Der "alte" Microcode wird einfach überschrieben.

Nein die Frage ist ob der neue Microcode vom alten Überschrieben wird.

Windowsupdate für Core i6-Prozessoren (Microcodeupdate) erhältlich. Funktioniert auf meinen Laptop mit i5-6200u.
https://www.computerbase.de/2018-03/intel-microcode-updates-windows-10/

Wird aber doch wohl etwas langsamer. Zumindest im Cinebench habe ich leicht geringere Werte (-2%).

Das heißt, dass alle die kein Biosupdate machen wollten wegen Performanceeinbußen diesen nun per Windows zwangsweise aufgedrückt bekommen? Je weniger unsichere Systeme desto sicherer das Eigene. Finde ich gut.

Nein die Frage ist ob der neue Microcode vom alten Überschrieben wird.

Die Frage ist doch beantwortet. Gut ich hätte schreiben können, dass JEDER alte Microcode vom neuen überschrieben wird. Wird der CPU ein älterer Microcode offeriert als bereits installiert ist, ignoriert die CPU diesen einfach. Zumindest wenn er via Bios oder direkt auf der CPU schon eingespielt ist. Das kann ich aus eigener Erfahrung bestätigen.

Dass dann das OS in der Lage sein soll den aktuelleren Microcode mit einem älteren Microcode zu überschreiben schließe ich daher aus (zumindest unter Linux schon getestet). Aber mit 100%-iger Sicherheit kann ich das nicht sagen. Würde IMO keinen Sinn ergeben. Ich könnte mir nur vorstellen, dass man in der Lage ist (wenn man will) einen älteren Microcode zu schreiben soweit dieser nicht älter als der ist der ursprünglich auf der CPU (hardcoded?) war/ist bzw. der der vom BIOS bereits geladen wurde.

Das heißt, dass alle die kein Biosupdate machen wollten wegen Performanceeinbußen diesen nun per Windows zwangsweise aufgedrückt bekommen? Je weniger unsichere Systeme desto sicherer das Eigene. Finde ich gut.
Wo wurde etwas von Zwang gesagt?

Wo wurde etwas von Zwang gesagt?


WIN10 ...

Dafür müsste es erstmal über WU verteilt werden. So, wo steht jetzt, dass das der Fall sein wird?

Außerdem kann man auch unter Windows 10 die Zwangs-Updates umgehen und einzelne Updates von der Suche ausschließen. Mal davon abgesehen, dass Sicherheit immer vor Performance gehen sollte. Aber da gibt es eben leider einige Unbelehrbare. Und das wurde hier im Forum ja auch schon eingehend diskutiert.

Außerdem kann man auch unter Windows 10 die Zwangs-Updates umgehen und einzelne Updates von der Suche ausschließen.
Die Einstellung der Schutzmaßnahmen kann man gut über die Registry steuern, da muss man nicht an Windows Update "rumpfuschen":
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Da ich im RL jetzt schon mehrfach Microcodes ins Bios Patchen durfte und das ein oder andere Linux System darunter war, das nicht unbedingt das Bios-Update haben sollte/konnte. Habe ich alle derzeit verfügbaren (und aktualisierten) Intel-Microcodes in ein Linux-Image gepackt und dachte mir das könnten andere evtl. auch gebrauchen.

Bevor Fragen aufkommen:

- Quelle der Microcodes (hochgeladen von den UBU-Machern):
https://github.com/platomav/CPUMicrocodes

- und ja: Ich war zu faul und habe einfach _alle_ in das Image gepackt. Nicht nur aktuelle/aktualisierte CPUs.

intel_microcodes_+_linux-image_e152bf3de6f5b86d1f2e7269271aea96f58a55e5 (https://www.file-upload.net/download-13013161/intel_microcodes_06-03-2018.zip.html)

Beim UBU sind jetzt auch die Spectre Microcode-Patches für Sandy-/Ivy-Bridge dabei.

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf
(vom 6.3. - it's "hot" ;-)

Mit Dabei:
- CoffeeLake
- KabyLake
- Skylake
- Broadwell
- Haswell
- IvyBridge
- SandyBridge
- div. Atrom-Platformen (u.a. BayTrail, CherryTrail)

Razor

P.S.: bin mal gespannt, ob's auch etwas für mein gutes altes Notie gibt... ein Penryn SU9400 (C2D)

Vor ein paar Tagen kamen Patches für OpenBSD (amd64) rein. Heute werden schon PoCs gepostet: https://github.com/genua/meltdown

Patrick Wildt (bluerise) arbeitet übrigens an ARM-Ports von OpenBSD. Interessant zu sehen, dass PoCs direkt von einigen Core-Entwicklern selbst kommen.

Gibts eigentlich schon eine Erklärung, warum Intel-CPUs mit Redstone 5 Spectre2 sicher sein sollen?

Microsoft integriert/testet Microcode Updates für Intel/AMD fernab der Masse und/oder Microsoft testet den Retpoline-Ansatz unter Windows. Ich tippe auf die Microcodes. Retpoline macht unter Windows wenn dann nur partiell eingesetzt Sinn. Vollständig würde da bedeuten, dass Microsoft die volle Kontrolle über alle Treiber und Runtimes hat und verhindern müsste, dass ältere Versionen installiert werden können. Was ich einfach mal ausschließe*.

https://www.planet3dnow.de/cms/36850-testet-amd-microcode-updates-gegen-spectre-im-windows-insider-programm/

* Vielleicht gelingt es Microsoft dies mit Server-Board-Herstellern umzusetzen. Für Workstations und Consumer-PC's wird das IMO nicht passieren.

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf
(vom 6.3. - it's "hot" ;-)

Mit Dabei:
- CoffeeLake
- KabyLake
- Skylake
- Broadwell
- Haswell
- IvyBridge
- SandyBridge
- div. Atrom-Platformen (u.a. BayTrail, CherryTrail)

Razor

P.S.: bin mal gespannt, ob's auch etwas für mein gutes altes Notie gibt... ein Penryn SU9400 (C2D)


Und wie becumt man diese Patches? Wird das nen BIOS Update falls der Mobo Hersteller sich die Mühe m8?

MSI hat heute Bios 7971v1J für mein Z170 A Pro veröffentlicht.

- Update Intel Micro code for security vulnerabilities

Spectre ist immer noch nicht gefixt :mad: Was ein unfähiger Drecksladen.

Lenovo hat schon die verbesserten Intel-Updates raus und bezieht sich konkret auf die CVE...

ASrock ist jetzt für Z170 dabei, sogar als nicht-Beta eingestuft :) :
http://www.asrock.com/mb/Intel/Fatal1ty%20Z170%20Gaming%20K4/?cat=Download&os=BIOS

Edit: Habs aber noch nicht auf Spectre getestet.

Edit 2: Spectre ist mit drin.

MSI hat heute Bios 7971v1J für mein Z170 A Pro veröffentlicht.



Spectre ist immer noch nicht gefixt :mad: Was ein unfähiger Drecksladen.

Lenovo hat schon die verbesserten Intel-Updates raus und bezieht sich konkret auf die CVE...
Installier KB4090007, dann hast du zumindeste nach dem Boot-Vorgang den Schutz. BIOS ist ein bisschen besser, weil es auch gegen Angriffe gegen den Boot-Loader schuetzt.

Asus kannst du auch vergessen, es gibt immer noch kein Update fuer das Z170-P das ich habe.

Und wie becumt man diese Patches? Wird das nen BIOS Update falls der Mobo Hersteller sich die Mühe m8?
Korrekt...
DELL z.Bsp. (Firmenrechner T1700, Haswell) hat den Fix umgehend nach Veröffentlichung als BIOS-Update bereit gestellt... beide Male.
Von ASUS (Privatrechner, Z87, Haswell) kommt in dieser Hinsicht rein gar nichts mehr... da hab' ichs mir dann selbst gemacht ;D
(via UBU, dort und hier bereit gestellten Microcode, sehr altem Flash-Tool mit "überschreib alles" Funktion)

Razor

Intel hat den Microcode Download jetzt auch offiziell mit Datum 12.03.2018 aktualisiert:

https://downloadcenter.intel.com/download/27591/Linux-Processor-Microcode-Data-File?v=t

-- New Platforms --
BDX-DE EGW A0 6-56-5:10 e000009
SKX B1 6-55-3:97 1000140
-- Updates --
SNB D2 6-2a-7:12 29->2d
JKT C1 6-2d-6:6d 619->61c
JKT C2 6-2d-7:6d 710->713
IVB E2 6-3a-9:12 1c->1f
IVT C0 6-3e-4:ed 428->42c
IVT D1 6-3e-7:ed 70d->713
HSW Cx/Dx 6-3c-3:32 22->24
HSW-ULT Cx/Dx 6-45-1:72 20->23
CRW Cx 6-46-1:32 17->19
HSX C0 6-3f-2:6f 3a->3c
HSX-EX E0 6-3f-4:80 0f->11
BDW-U/Y E/F 6-3d-4:c0 25->2a
BDW-H E/G 6-47-1:22 17->1d
BDX-DE V0/V1 6-56-2:10 0f->15
BDW-DE V2 6-56-3:10 700000d->7000012
BDW-DE Y0 6-56-4:10 f00000a->f000011
SKL-U/Y D0 6-4e-3:c0 ba->c2
SKL R0 6-5e-3:36 ba->c2
KBL-U/Y H0 6-8e-9:c0 62->84
KBL B0 6-9e-9:2a 5e->84
CFL D0 6-8e-a:c0 70->84
CFL U0 6-9e-a:22 70->84
CFL B0 6-9e-b:02 72->84
SKX H0 6-55-4:b7 2000035->2000043

JKT ist übrigens Jakarta aka Xeon E5-2600 (SNB-EP)

https://www.heise.de/security/meldung/Spectre-und-Meltdown-Intel-Prozessoren-mit-vollem-Hardwareschutz-bereits-2018-3995993.html


Schau schau... Intel und VW sind sich doch ähnlicher als gedacht. Der Gedanke kam mir zumindest beim Lesen des Artikels.

Meltdown & Spectre: Analyzing Performance Impacts on Intel's NUC7i7BNH

https://www.anandtech.com/show/12566/analyzing-meltdown-spectre-perf-impact-on-intel-nuc7i7bnh

Also ich hatte am Anfang massive Probleme mit dem BIOS Update für mein Asrock Z97 Extreme4.
Hat sich aber irgendwie von ganz alleine gelegt.

So wie es aussieht, gibt es einen neuen Angriffsvektor ähnlich Spectre 2:
https://arstechnica.com/gadgets/2018/03/its-not-just-spectre-researchers-reveal-more-branch-prediction-attacks/. Also jetzt neu: BranchScope

Und wieder ist intel SGX davon betroffen...

...Also jetzt neu: BranchScope

Und wieder ist intel SGX davon betroffen...

Im ganzen Artikel nicht einmal das Wort "AMD"... ist das ein gutes oder schlechtes Zeichen? ^^

Im ganzen Artikel nicht einmal das Wort "AMD"... ist das ein gutes oder schlechtes Zeichen? ^^
Stimmt. Allerdings war an sich bei Meltdown/Spectre ja auch intel das primäre Forschungsobjekt. Vermutlich kommt da auch dazu, dass die restriktivere Logik von AMD beim Branchpredictor derartige Versuche erschwert hätten.
Und so wie das dem Artikel verlinkte Whitepaper liest, war eigentlich das Ziel SGX über einen Sidechannel zu überwinden und SGX ist eine proprietäre Sache von intel...
Grundlagenforschung eben.

Scheinbar hatte MS mit dem Meltdown-Patch für Windows 7 das Loch sogar noch größer gemacht: http://blog.frizk.net/2018/03/total-meltdown.html?m=1

Ich habe das zuerst bei fefe (https://blog.fefe.de/?ts=a444069f) gelesen. Mittlerweile gibt es auch auf heise (https://heise.de/-4006862) oder golem (https://www.golem.de/news/speichermanagement-meltdown-patch-fuer-windows-7-selbst-eine-sicherheitsluecke-1803-133565.html) was dazu.
Ich würde sagen Microsoft hat beim Versuch Meltown zu beheben die Haustüre offen gelassen. Gut, es betrifft nur 64-Bit Editionen, aber das ist echt ein heftiger Bug.

Wieso "nur" 64 Bit? Das machts nicht viel besser. Ist zwar mit dem März-Update wieder geschlossen, ein ziemlich stümperhafter Eindruck bleibt trotzdem.

Ich habe bei meinem Win7 aus Performance-Gründen den Januar-Patchday ausgelassen. Hatte wohl mal wieder den richtigen Riecher was das angeht... X-D
Sollte es Berichte geben, dass Meltdown und Spectre "in the wild" ausgenutzt werden, werde ich natürlich in den sauren Apfel beißen und den Patch installieren.

Mittlerweile gibt es auch auf heise (https://heise.de/-4006862)Das Aufmacherfoto des Artikel ist mir auch einen :facepalm: wert...

MfG
Rooter

Gibts eigentlich schon eine Erklärung, warum Intel-CPUs mit Redstone 5 Spectre2 sicher sein sollen?

Da es nun schon mehrere Wochen her ist und es bisher nix sinnvolles dazu gefunden habe, stellt sich die Frage immer noch!

Wo steht das denn? Da eine Lösung wie Retpoline unter Windows wohl nicht drin ist, könnte imho höchstens der Microcode für die anderen Mitigation-Varianten im Auslieferungszustand dabei sein.

Unter anderem bei CB:

https://www.computerbase.de/2018-03/windows-10-redstone-5-retpoline/


Und weil ichs nicht weiss, frag ich ja.

Weiß dann offenbar niemand? Kann man viel spekulieren, kann aber auch einfach völliger Müll von Windows gemeldet werden.

Laut unter anderem PCGamesHardware ein gewisser Rückzieher von Intel bei den Microcode-Updates für ältere CPUs:

http://www.pcgameshardware.de/Sicherheit-Thema-229955/News/Microcode-Updates-gegen-Spectre-Schlechte-Nachrichten-fuer-Besitzer-aelterer-Intel-CPUs-1253709/ (http://www.pcgameshardware.de/Sicherheit-Thema-229955/News/Microcode-Updates-gegen-Spectre-Schlechte-Nachrichten-fuer-Besitzer-aelterer-Intel-CPUs-1253709/)

Ich hätte mal eine Frage zum Performance Impact des neuen Mikrocodeupdates für die Haswell-CPUs in Bezug auf die allgemeine Anwendungsperformance.
Ich habe einen Core I7 4790 und schneide öfters Videos mit dem kostenlosen VSDC-Programm. Jetzt habe ich gestern ein Bios-Update vollzogen mit den neuen Mikrocodesupdates von Intel. Gleichzeitig habe ich VSDC auf die neueste Version geupdated.
Im Anschluss habe ich dann gestern ein Video geschnitten und verarbeiten lassen. Dabei sank die Performance in VSDC um gut 30-40%. Vorher hatte er eine Performance von ca. 50-55 Frames pro Sekunde. Jetzt sind es noch gut 35 Frames.
Ist es wahrscheinlich dass die Gegenmaßnahmen gegen Spectre und Meltdown auf Haswell einen derartigen Performanceeinbruch auslösen können oder liegt das wohl eher an der neuen Version des VSDC?

Hat hier wer Erfahrung mit AMDs Epyc Plattform und wie da der Status bzgl. Spectre *wirklich* aussieht in der Praxis?

Ich frage dies daher weil es bei uns diesbezüglich sehr mau aussieht, trotz theoretisch vorhandenem Support. (aka, aktuellstes BIOS, welches in den ReleaseNotes auch explizit noch Spectre(v2) Fix erwähnt)

Habe das ganze sowohl unter Windows als auch Linux getestet.
Bei letzterem wird vom Check-Script noch explizit ausgewiesen, dass nur eines (IBPB) der drei entsprechden CPU flags vorhanden ist, nicht aber IBRS und STIBP:

https://dexter.birdman.ch/screens/misc/H11SSL-i.png

Ist es wahrscheinlich dass die Gegenmaßnahmen gegen Spectre und Meltdown auf Haswell einen derartigen Performanceeinbruch auslösen können oder liegt das wohl eher an der neuen Version des VSDC?


Du kannst den Schutz gegen Spectre und Meltdown mit InSpectre (https://www.grc.com/inspectre.htm) nach belieben (de)aktivieren und so testen ob es daran liegt. Nach dem Umschalten ist jeweils ein Neustart notwendig.

Du kannst den Schutz gegen Spectre und Meltdown mit InSpectre (https://www.grc.com/inspectre.htm) nach belieben (de)aktivieren und so testen ob es daran liegt. Nach dem Umschalten ist jeweils ein Neustart notwendig. @Birdman Gib dann auch bitte Info ob es was gebracht hat. :smile:

Soweit ICH es verstehe bietet AMD derzeit nur IBPB als Schutz gegen Spectre v2 an. Ganz komplett ist der Spectre v2 Schutz nicht, da IBRS und STIBP auf AMD CPUs noch nicht dedektiert werden kann (Code fehlt noch von AMD). Hat man alle 3 Befehlssätze ist das Schutzlevel dennoch nicht "komplett". Es wird derzeit erst "komplett" wenn SMT auf der CPU deaktiviert wird!

Für IBRS hofft AMD wohl noch, dass Microsoft sich für Windows noch etwas einfallen lässt und Retpoline irgendwie einbaut um IBRS nicht aktivieren zu müssen, da IBRS auf AMD CPUs wohl "teurer" ist als auf Intel CPUs. AMD wird sich, trotz des "near-zero-risk", dem von MS und Intel ausgedachten Ansatz IMO beugen müssen um den "vollen" Schutz anbieten zu können. Unter Linux spielt das wohl keine Rolle, da Retpoline mittlerweile jeder Kernel aktiviert hat.

@vanquish

Vielen Dank für diese Infos, klingt sehr plausibel und wird daher wohl auch der Realität entsprechen.
Leider aktuell etwas Schade - nicht weil ich den Spectre Fix per se nun bei der AMD Plattform wichtig finde, sondern weil ich aktuell an einer IOPs/SSD (SATA, NVMe, etc) Benchmark Reihe bin, wo ich die aktuelle Xeon Plattform vs Epyc in Bezug auf den Spectre/Meltdown Impact am untersuchen bin.

Apros Realität. Ich war gestern Abend zu faul die Quellen zu suchen, wo ich das gelesen hatte. Alles konnte ich leider nicht mehr finden.

The patches for retpoline approach to mitigation of the Spectre variant 2 vulnerability are in work, meantime we provide IBRS-based mitigation on Intel CPUs. The IBRS mitigation main disadvantage is the significant performance penalty. Also, due to the situation with the Intel microcode releases, it is somewhat not trivial to find working and stable blob.

AMD promised to provide the same mechanism, but its presence on AMD CPUs is detected differently than on Intel CPUs. We do not yet see any AMD CPU with this capability, so the supposed code to detect and use IBRS on AMD is not committed. Also, it seems that AMD specifies that even if SMEP is enabled, user/kernel boundary IBRS protection still requires Return Stack Buffer (RSB) flush. On Intels, it is only needed for CPUs not providing the SMEP.

You can verify that the IBRS-enabling microcode is loaded by looking at the dmesg buffer after the microcode update. If the line Structured Extended Features3=0xc000000<IBPB,STIBP> appears in the CPU features report, then IBPB (the IBRS barrier) feature is patched in, so system can perform the mitigation on user/kernel boundary. Current status of the mitigation can be verified with the sysctl hw.ibrs_active. If the CPU feature is present and not disabled by the tunable/sysctl hw.ibrs_disable, it should indicate activation. FreeBSD https://wiki.freebsd.org/SpeculativeExecutionVulnerabilities

"If ibpb_enabled is set to 2, indirect branch prediction barriers are used
instead of IBRS at all kernel and hypervisor entry points (in fact, this
setting also forces ibrs_enabled to 0). ibpb_enabled=2 is the default on
CPUs that don’t have the SPEC_CTRL feature but only IBPB_SUPPORT.
ibpb_enabled=2 doesn’t protect the kernel against attacks based on
simultaneous multi-threading (SMT, also known as hyperthreading);
therefore, ibpb_enabled=2 provides less complete protection unless
SMT is also disabled. This feature addresses CVE-2017-5715, variant #2." spectre-meltdown-checker developer diskussion https://github.com/speed47/spectre-meltdown-checker/issues/152

AMD hat jetzt auch Patches und Microcode Updates gegen Spectre unter Windows veröffentlicht:

https://www.amd.com/en/corporate/security-updates#paragraph-290416

Und anscheinend doch bis runter auf die erste Bulldozer-Generation, da muss Leo seine Grafik nochmal anpassen.

Die Microcode Updates sind schon länger draussen (für mein Epyc Mainboard ist das Teil im BIOS vom 22. Feb 2018 drin), aber M$ hat nun heute für Windows10 (und nur! Windows10) den Patch bereitgestellt, welcher via dem IBPB CPU Feature die Spectre_V2 Mitigation realisieren sollte.

Fraglich ist noch ob M$ diesen Patch auch für andere OS Versionen zur Verfügung stellen wird. Windows Server 2016 wird seitens AMD explizit erwähnt, alles andere ist aber fraglich.

Wenn an dem Gerücht von wegen Retpoline für Windows etwas dran ist, dann sieht man hier allenfalls ja vor, gar keine weiteren Resourcen in IBRS/IBPB/STIBP Patches zu investieren und das Problem dann irgendwann mal für alle Windows Versionen via Retpoline zu erschlagen.

Was mich etwas verwirrt ist, dass der eine davon spricht, dass IBRS, IBPB und STIBP notwendig sind um Spectre_v2 vollständig zu "heilen" und der andere (in Bezug auf AMD) ausschließlich von IBPB. Was ist nun richtig?

Entweder man nutzt IBRS+STIBP und/oder IBPB um Spectre_v2 abzuwehren. AMD nutzt IBPB und ist damit safe? Intel braucht alle drei (wenn ich auf meine Intel CPUs schaue).

Kann man das so sagen?

Interessant ist, dass die in Windows 10 implementierten Gegenmaßnahmen für CPUs von AMD nicht den bisher für Intel implementierten entsprechen. AMD hatte das allerdings Ende Januar in Aussicht gestellt. Mit Indirect Branch Predictor Barrier (IBPB) setzt AMDs Gegenmaßnahme nur auf einen der drei von Intel bekannten Befehle, Indirect Branch Restricted Speculation (IBRS) und Single Thread Indirect Branch Predictors (STIBP) bleiben außen vor. In einem Whitepaper (PDF) erklärt AMD, die beiden anderen Befehle derzeit nicht als performante Gegenmaßnahme in Windows empfehlen zu können. Der Hersteller schließt also nicht aus, dass ihre Nutzung die CPUs noch besser schützen würde, sieht die jetzt ergriffene Gegenmaßnahme aber als ausreichend an. Quelle: https://www.computerbase.de/2018-04/windows-patch-microcode-amd-spectre-schutz/

Anwender erhalten den Schutz bei AMD allerdings nicht automatisch, wenn sie das Windows-Update und neuen Microcode erhalten haben. Im Gegensatz zur Gegenmaßnahme für Intel-Systeme müssen sie den neuen CPU-Befehl erst über die Eingabeaufforderung aktivieren (als Administrator ausführen).

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

EDIT:

Der Microcode integriert die Indirect Branch Prediction Barrier (IBPB) als neuen CPU-Befehl, auf den das KB4093112-Update zurückgreift. Ebenfalls in der Firmware enthalten sind Indirect Branch Restricted Speculation (IBRS) und Single Thread Indirect Branch Predictor (STIBP). AMD empfiehlt, beide Befehle nicht zu verwenden (PDF), da sie recht viel Leistung kosten. Quelle: https://www.golem.de/news/spectre-v2-amd-und-microsoft-patchen-cpus-bis-zurueck-zum-bulldozer-1804-133778.html

Scheint also möglich zu sein bei Bedarf IBRS und STIBP über das OS zu aktivieren.

Frage: Gibt es eigengtlich schon Benches was der Fix auf den Intel Prozessoren in Bezug auf Gaming für einen Performance-Hit verursacht ?

Ladezeiten (von SSD), MinFPS, MaxFPS etc ?

Der Fred ist mittlerweile recht lang also sorry falls vor X Seiten da was zu kam - ein Repost wäre nett :o) ...

Die Performance bricht in bestimmten Anwendungsszenarien (z. B. Datenbanken, SSD Random Access R/W, virtualisierten Umgebungen) teilweise drastisch ein (bis zu ~ 30%).

In allen anderen Szenarien verliert man durchschnittlich die Performance einer CPU Generation. Unterhalb von Haswell ist dieser Verlust (wohl spürbar) größer. Ich selbst merke auf meinen Haswell Systemen wenig davon. Ich bin allerdings der subjektiven Meinung, dass die Ladezeit von Windows 10 geringfügig länger geworden ist (bis alles bereit steht nach einem Voll-Boot) und dass Anwendungen etwas längere Ladezeiten haben (es kommt mir so vor als ob Windows beim Start einer Anwendung sich jetzt mehr Zeit nimmt, k. A. subjektiv!). Zum messen und vergleichen bin ich allerdings zu faul.

Bei Games dürften die Auswirkungen ähnlich sein. Also nicht mehr als 5-10% CPU-Leistung. Was aber tatsächlich nur in Spielen auffallen dürfte die im/nahe am CPU-Limit liegen. Für die SSD spielt das auch keine Rolle da das Laden von Spieledaten ist i. d. R. ein linearer Vorgang ist.

Zusammengefasst: Intel hat Schwein gehabt, was die Spieleleistung anbelangt und der Endverbraucher ist ruhig gestellt. Sicherheitslücken interessieren dort niemanden (mehr). Im Serverumfeld dürfte sich das etwas anders darstellen. Allerdings erwarte ich auch dort keine gravierenden Änderungen. Intel sitzt also wieder fest im Sattel. :massa:

https://www.anandtech.com/show/12566/analyzing-meltdown-spectre-perf-impact-on-intel-nuc7i7bnh/2

Die Performance bricht in bestimmten Anwendungsszenarien (z. B. Datenbanken, SSD Random Access R/W, virtualisierten Umgebungen) teilweise drastisch ein (bis zu ~ 30%).

In allen anderen Szenarien verliert man durchschnittlich die Performance einer CPU Generation. Unterhalb von Haswell ist dieser Verlust (wohl spürbar) größer. Ich selbst merke auf meinen Haswell Systemen wenig davon. Ich bin allerdings der subjektiven Meinung, dass die Ladezeit von Windows 10 geringfügig länger geworden ist (bis alles bereit steht nach einem Voll-Boot) und dass Anwendungen etwas längere Ladezeiten haben (es kommt mir so vor als ob Windows beim Start einer Anwendung sich jetzt mehr Zeit nimmt, k. A. subjektiv!). Zum messen und vergleichen bin ich allerdings zu faul.

Bei Games dürften die Auswirkungen ähnlich sein. Also nicht mehr als 5-10% CPU-Leistung. Was aber tatsächlich nur in Spielen auffallen dürfte die im/nahe am CPU-Limit liegen. Für die SSD spielt das auch keine Rolle da das Laden von Spieledaten ist i. d. R. ein linearer Vorgang ist.

Zusammengefasst: Intel hat Schwein gehabt, was die Spieleleistung anbelangt und der Endverbraucher ist ruhig gestellt. Sicherheitslücken interessieren dort niemanden (mehr). Im Serverumfeld dürfte sich das etwas anders darstellen. Allerdings erwarte ich auch dort keine gravierenden Änderungen. Intel sitzt also wieder fest im Sattel. :massa:

https://www.anandtech.com/show/12566/analyzing-meltdown-spectre-perf-impact-on-intel-nuc7i7bnh/2

Das wirft natürlich wieder Fragen auf, über die Fähigkeit von uns Endverbrauchern unsere Gehirnzellen auf korrekte Art und Weise verwenden zu können ;D

Diese Woche kam nun das Bios Update für mein Board raus. Soll ich es nun installieren oder kann man drauf verzichten?

Wie wichtig ist dir die Sicherheit deines PCs?

Diese Woche kam nun das Bios Update für mein Board raus. Soll ich es nun installieren oder kann man drauf verzichten?
Installieren kannst Du das ohne Bedenken, die Software steuert ob die neuen CPU Features genutzt werden (und es damit einen Einfluss auf die Sicherheuit sowie Performance hat) oder nicht.
Und Windows macht das aktuell per default NICHT und liesse sich bei Bedarf auch problemlos ein/ausschalten.

Das ist Kaese, Windows schaelt sehr wohl die Mitigations automatisch ein, wenn der Microcode es kann.

Das ist Kaese, Windows schaelt sehr wohl die Mitigations automatisch ein, wenn der Microcode es kann.
Ich hab gedacht es geht um AMD (Boards)
Ja, bei Intel wird es seit dieser Woche nun automatisch aktiviert, vorher hing das noch am Antivirus und zumindest der Microsoft Defender unter Windows Server 2016 hat die Registry Bits nicht gesetzt, da musste man auch manuel ran.

Wie wichtig ist dir die Sicherheit deines PCs?

Naja grundsätzlich schon wichtig aber viele Sicherheitslücken werden nur bei bestimmten Zielen (große Fische) genutzt. Die Performnceeinbußen scheint man ignorieren zu können, da eher marginal. Ein Bios Update ist für mich halt Aufwand, da ich erstmal alle Einstellungen abfotografieren muss und das dauert immer ewig mit anschließendem Flashen, Einstellen usw. :(

Kannst du die Einstellungen nicht in einem Profil hinterlegen, welches dir erhalten bleibt?

Es ist vielleicht etwas Aufwand, aber der nachträgliche Aufwand durch eine genutze Lücke evtl. massiv viel höher. Ich würde es einfach machen und fertig.

Ich muss Asrock ausdrücklich loben. Ich habe gestern das Beta-Bios für mein H87 Pro4 bekommen - also Haswell. Asrock ist zwar kommunikativ ziemlich schwach, aber sie versorgen auch noch ältere Mainboards. Über die Performance kann ich noch nicht viel sagen, aber der Bootvorgang ist schonmal etwas länger.

Für mein MSI Laptop gibt es ein BIOS Update vom 2018-02-13, AFAIK kam nach dem Datum von Intel eine Meldung, dass deren Patch und damit alle ausgelieferten Updates zurückgezogen wurden. Kann man das Update instalieren oder sollte man warten?

Für mein MSI Laptop gibt es ein BIOS Update vom 2018-02-13, AFAIK kam nach dem Datum von Intel eine Meldung, dass deren Patch und damit alle ausgelieferten Updates zurückgezogen wurden. Kann man das Update instalieren oder sollte man warten?
Also bei meinem Board gibts mit dem Februar-Bios eh keine Spectre-Fixes, nur Meltdown.

Z77 Pro3 von Asrock hat auch nen Update bekommen :up:

Diese Woche kam nun das Bios Update für mein Board raus. Soll ich es nun installieren oder kann man drauf verzichten?Tu einfach so als hättest du keine Ahnung von PCs, wie die 99,5% anderen Benutzer von Rechnern, die nie ein Bios-Update einspielen werden. Unwissenheit kann ein Segen sein... :cool:

Tu einfach so als hättest du keine Ahnung von PCs, wie die 99,5% anderen Benutzer von Rechnern, die nie ein Bios-Update einspielen werden. Unwissenheit kann ein Segen sein... :cool:

Am Besten wäre es aber leider kann ich das nicht so einfach abschalten bzw. umschalten. Im Moment überwiegt die Faulheit aber schlussendlich werde ich wie von Löschzwerg erwähnt den Weg irgendwie gehen... *seufz*

Meiner Güte... rauf damit und gut - dauert keine 5min.
Manche Leute hier sind echt "Mädchen" ;)

Razor

Z77 Pro3 von Asrock hat auch nen Update bekommen :up:

oh dann bekommt mein z77extreme 4m vielleicht auch noch eine update :-) mal gerade geschaut aber noch Fehlanzeige.

https://www.computerbase.de/2018-04/amd-ryzen-2000-spectre-patch/

Die 2000er Reihe verliert mal quasi keine Leistung, bzw. die Werte bewegen sich im Rahmen der Messungenauigkeit. Chapeau AMD...

Ach ja?

Interessant ist, dass die in Windows 10 implementierten Gegenmaßnahmen für CPUs von AMD nicht den bisher für Intel implementierten entsprechen. AMD hatte das allerdings Ende Januar in Aussicht gestellt. Mit Indirect Branch Predictor Barrier (IBPB) setzt AMDs Gegenmaßnahme nur auf einen der drei von Intel bekannten Befehle, Indirect Branch Restricted Speculation (IBRS) und Single Thread Indirect Branch Predictors (STIBP) bleiben außen vor. In einem Whitepaper (PDF) (https://developer.amd.com/wp-content/resources/Architecture_Guidelines_Update_Indirect_Branch_Control.pdf) erklärt AMD, die beiden anderen Befehle derzeit nicht als performante Gegenmaßnahme in Windows empfehlen zu können. Der Hersteller schließt also nicht aus, dass ihre Nutzung die CPUs noch besser schützen würde, sieht die jetzt ergriffene Gegenmaßnahme aber als ausreichend an.

Keine Kunst also, wenn man nur das "Notwendige" tut, und 100%igen Schutz als irrelevant erachtet... sorry, als "nicht performant genug".
:rolleyes:

Razor

Keine Kunst also, wenn man nur das "Notwendige" tut, und 100%igen Schutz als irrelevant erachtet... sorry, als "nicht performant genug".
Bis jetzt ist das reine Spekulation. Wir wissen nicht ob es überhaupt ein Risiko gibt, das war in dem Fall schon vorher wesentlich sicherer als bei Intel. Vielleicht reicht bei AMD auch dieser eine Befehl schon komplett aus um es komplett sicher zu machen?

Aber nein AMD bescheißt hier definitiv alle, weil das muss immer so sein. :P

Bis jetzt ist das reine Spekulation. Wir wissen nicht ob es überhaupt ein Risiko gibt, das war in dem Fall schon vorher wesentlich sicherer als bei Intel. Vielleicht reicht bei AMD auch dieser eine Befehl schon komplett aus um es komplett sicher zu machen?
Davon ist nicht auszugehen, denn unter Linux empfiehlt AMD ausdrücklich IBPB in Kombination mit Retpoline, die selbe Kombination welche übrigens auch für Skylake CPUs im Einsatz ist. (wo Retpoline alleine ja auch nichts nützt)

Im Umkehrschluss heisst das dass unter Windows an sich auch noch Retpoline nötig wäre um vollkommen abgesichert zu sein - oder dann eben IBPB + IBRS + STIBP wie bei den Intel CPUs.
Das wäre seit neustem mit AMD CPUs ja auch möglich, kostet aber zu viel Performance um sinnvoll zu sein.

Davon ist nicht auszugehen, denn unter Linux empfiehlt AMD ausdrücklich IBPB in Kombination mit Retpoline, die selbe Kombination welche übrigens auch für Skylake CPUs im Einsatz ist. (wo Retpoline alleine ja auch nichts nützt)

Im Umkehrschluss heisst das dass unter Windows an sich auch noch Retpoline nötig wäre um vollkommen abgesichert zu sein - oder dann eben IBPB + IBRS + STIBP wie bei den Intel CPUs.
Das wäre seit neustem mit AMD CPUs ja auch möglich, kostet aber zu viel Performance um sinnvoll zu sein.
Wäre dass dann nicht des Rätsels Lösung? (https://www.computerbase.de/2018-03/windows-10-redstone-5-retpoline/)

Bei Intel brauch man alle drei zusätzliche Befehle um unter Windoofs möglichst sicher zu sein. Bei AMD, deren CPU sowieso nur theoretisch betroffen sind, reicht der eine um das Restrisiko höchstmöglich einzugrenzen. Die zwei anderne Befehlen bringen kaum zusätzliche Sicherheit dafür aber Leistungsverlust.
100%igen Schutz gibt es nirgendwo .....

Ich denke, es sollte die Unschuldsvermutung gelten und AMDs Maßnahme so lange als "sicher genug" erachtet werden, bis das Gegenteil bewiesen ist.

Habe nun einen Cpu Microcode update für meinen Z77Pro3 runtergezogen, zwar Beta aber wurst, mal sehen wie sich das ganze auf die performance auswirkt :freak:

Wie heisst nochmals dieses tool zum auslesen ob der Fix drin ist?

Wäre dass dann nicht des Rätsels Lösung? (https://www.computerbase.de/2018-03/windows-10-redstone-5-retpoline/)
Natürlich.
Ich gehe sowieso davon aus, dass Retpoline früher oder später in Windows Einzug halten und dann die aktuelle IBPB + IBRS + STIBP Methode ablösen wird.
Nebst dem dass es AMD zugute kommt, hilft es halt vor allem auch den 80% aller PCs, welche die drei CPU Befehle gar nicht kennen/können.

Vielleicht braucht Ryzen dieses Update:


Provides support to control usage of Indirect Branch Prediction Barrier (IBPB) within some AMD processors (CPUs) for mitigating CVE-2017-5715, Spectre Variant 2 when switching from user context to kernel context (See AMD Architecture Guidelines around Indirect Branch Control and AMD Security Updates for more details). Follow instructions outlined in KB4073119 for Windows Client (IT Pro) guidance to enable usage of IBPB within some AMD processors (CPUs) for mitigating Spectre Variant 2 when switching from user context to kernel context.


https://support.microsoft.com/en-us/help/4093112

Z77 Pro3 von Asrock hat auch nen Update bekommen :up:

Habt ihr das BIOS direkt von der Asrock Homepage? Für mein z77 extreme 4m ist dort immer noch nichts neues da. Auch nicht in der Beta Zone

Ich denke, es sollte die Unschuldsvermutung gelten und AMDs Maßnahme so lange als "sicher genug" erachtet werden, bis das Gegenteil bewiesen ist.
Klaro, ein Wirtschaftsunternehmen tut das Notwendigste und freut sich, dass die Aufmerksamkeit auf dem Hauptkonkurrenten liegt.
Und hier gilt dann erst mal die "Unschuldsvermutung"...
:hammer:

Razor

Klaro, ein Wirtschaftsunternehmen tut das Notwendigste und freut sich, dass die Aufmerksamkeit auf dem Hauptkonkurrenten liegt.
Und hier gilt dann erst mal die "Unschuldsvermutung"...
:hammer:

Razor

:eek: Also gehst Du einfach davon aus, dass es nicht ausreicht weil... AMD ein Wirtschaftsunternehmen ist? :eek: Der Angeklagte ist solange schuldig, bis seine Unschuld bewiesen wurde?

Genau: Ich gehe auch von der Existenz eines Einhorns aus, bis man mir das Gegenteil bewiesen hat.

Wie wäre es einfach, dass man AMD nachweist, dass es nicht sicher ist? Evidenz und so? :rolleyes:

Hast Du Dich wenigstens mal mit dem Hintergrund der Lücken auseinander gesetzt?
So wie Du "argumentierst", wohl kaum.
Es "reicht" schlicht nicht...

Razor

Das solltest du vielleicht auch noch Mal tun. Auch bei deinen Posts im Nvidia Treiber thread wäre das anzuraten.

Es "reicht" schlicht nicht...

So wie Du argumentierst reicht es dann aber auch bei Intel nicht, trotz Patch und Microcode-Update.
Wo sagt Intel, dass sie nun 100% sicher sind? Und wo wird das dann auch noch nachgewiesen?

Gibt es eigentlich inzwischen Hinweise, dass irgendeine Schadsoftware Meltdown oder Spectre nutzt?

Wie heisst nochmals dieses tool zum auslesen ob der Fix drin ist?InSpectre (https://www.grc.com/inspectre.htm)

MfG
Rooter

Für Meltdown gibt es jedenfalls PoCs. Wirklich nachweisen kann man das wahrscheinlich auch nicht, dass eine Schadsoftware eine der beiden Lücken ausnutzt. Man würde davon jedenfalls nichts mitbekommen.

In anderen News: https://mobile.twitter.com/aionescu/status/991675604469669890

Und es geht fröhlich weiter - neue Lücken gefunden:
https://www.heise.de/newsticker/meldung/Spectre-NG-Intel-Prozessoren-von-neuen-hochriskanten-Sicherheitsluecken-betroffen-4039302.html
https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html

Bedeutet wohl im Umkehrschluss mit weiter sinkender Performance wenn es entsprechende Patches gibt.

Meine Fresse wie nervig ist das denn!

Bedeutet wohl im Umkehrschluss mit weiter sinkender Performance wenn es entsprechende Patches gibt.

Meine Fresse wie nervig ist das denn!

Herzlichen Glückwunsch, wenn potentiell sinkende Performance dein einziges Problem damit ist. Da geht es vielen etwas anders :)

Es war doch absehbar, dass da noch mehr kommt. Es wurde von den Entdeckern der Meltdown/Spectre Lücken auch von Anfanag an so kommuniziert. Das Gespenst das uns quasi ewig verfolgt wurde schon mit Bedacht gewählt. ;D

es geht also nicht nur weiter mit den Lücken, es wird sogar schlimmer:


Intel-Prozessoren enthalten acht weitere, bisher unbekannte Sicherheitslücken, von denen manche wesentlich gravierender ausfallen als Meltdown und Spectre


Quelle: heise

Im Heise Link ist das gut erklärt worden. Im Abschnitt Angriff!


Wird spannend was wieder los sein wird auf der Kernel Mailingliste...

Gravierender als Meltdown kann ja im Endeffekt nur Schreibzugriff sein.

Code Ausführung auf einer fremden VM steht in den Artikeln. Also ja.

Also bei Heise steht nur, dass man aus der VM heraus (die man selbst besitzt) den Wirt "angreifen" kann. Was auch immer "angreifen" in dem Kontext heißt.

Das ist mit Spectre v2 bereits (theoretisch) möglich. Nur viel schwieriger umzusetzen. Jetzt kann das wohl jeder Wald- und Wiesen-|337HaX0r.

Eine der Spectre-NG-Lücken vereinfacht Angriffe über Systemgrenzen hinweg so stark, dass wir das Bedrohungspotential deutlich höher einschätzen als bei Spectre.

Angriffe auf andere VMs oder das Wirts-System waren zwar prinzipiell auch schon mit Spectre möglich; doch die reale Umsetzung erforderte so viel Vorwissen, dass sie extrem schwierig war.

Meltdown war und ist die Mutter aller Lücken (bisher). Intel hatte nur "Glück", dass man das ganze über das OS "fixen" konnte.

Also bei Heise steht nur, dass man aus der VM heraus (die man selbst besitzt) den Wirt "angreifen" kann. Was auch immer "angreifen" in dem Kontext heißt.

Ich nehme es zurück, hab ich falsch verstanden.

Was wäre denn eine Architekturlösung? Alles caching, prediction und sonstige geteilte Resourcen thread-lokal machen? Weiss die CPU eigentlich etwas von Threads, oder muss das OS bei jedem Threadwechsel etwas zurücksetzen, oder der cpu einen anderen context geben, um das zu ermöglichen? Das Ziel müsste ja sein, das sich jeder Thread alleine fühlt.

Die Frage ist aber auch, ob das noch eine neue Variante ist - immerhin gibt es ja auch noch die Variante branchscope (https://arstechnica.com/gadgets/2018/03/its-not-just-spectre-researchers-reveal-more-branch-prediction-attacks/), die auch schon seit Monaten bekannt ist. Auch schon durch dieses Pater ist bekannt, dass Spectre SGX aushebeln kann.

Bedeutet wohl im Umkehrschluss mit weiter sinkender Performance wenn es entsprechende Patches gibt.

Meine Fresse wie nervig ist das denn!

ich wette: AMD performance verlust durch patch: 0%
und intel pro lücke wieder 5% im schnitt... ups, auf einmal sind die intel nur noch so schnell wie die bulldozer CPUs :ulol:

Was wäre denn eine Architekturlösung? Alles caching, prediction und sonstige geteilte Resourcen thread-lokal machen? Weiss die CPU eigentlich etwas von Threads, oder muss das OS bei jedem Threadwechsel etwas zurücksetzen, oder der cpu einen anderen context geben, um das zu ermöglichen? Das Ziel müsste ja sein, das sich jeder Thread alleine fühlt.
Sich Hilfe von AMD zu holen um das Risiko so gering wie möglich zu halten ;)

Ne, mal im Ernst, Intel hat hier scheinbar doch einiges im Argen liegen lassen. Haben die sich garantiert damals auch nicht gedacht das das Einsparen von ein paar Adressen so viel ausmachen könnte.
Was die neuen Probleme betrifft, bin ich mal gespannt ob es bei AMD wieder genauso darauf hinaus läuft das es entweder nicht möglich ist oder die chance extrem gering ist.
Letztlich wird man sowas aber wohl nie wirklich performant lösen können. Ein bissel blöd ist das schon weil es in unserer Vernetzten Welt gleich immer extreme Auswirkungen haben kann.

Es läuft aber immer mehr darauf Hinaus das man vom OS dann bald nur noch zertifizierten Code ausführen lässt. Zwar sorgt das nicht für eine 100% Abdichtung weil die Software dann selbst noch immer über entsprechende Fehler verfügt, aber die meisten Systeme wären dann erst mal abgedichtet. Dann ist "nur" noch Javascript im Browser eine Bedrohung.

Wird spannend was wieder los sein wird auf der Kernel Mailingliste...
Oder was Microsoft und Intel wieder an Müll-Fixes auf die User loslassen werden... :freak:

Langsam wird deutlich welche negative Auswirkungen ein quasi Monopol alles haben kann. Nicht unerhebliche Teile der IT Infrastruktur sind davon betroffen. Well done.

CTS-Labs hat sich übrigens mal wieder zu Wort gemeldet und möchte weiterhin FUD verbreiten indem sie ganz unschuldig nachfragen, wo AMD mit seinen Patches bleibt (1 1/2) nachdem sie die Lücken öffentlich gemacht haben.:rolleyes:


Earlier this week, CTS Labs emailed us to express concern about the lack of updates from AMD regarding these vulnerabilities. The company said it believed many of the vulnerabilities would take months to fix, with the Chimera issues requiring a hardware change that couldn't be implemented in products that have already shipped. AMD's relative silence and lack of updates apparently led CTS Labs to believe the company had stalled out.

We reached out to AMD for comment and received the following in response:

"Within approximately 30 days of being notified by CTS Labs, AMD released patches to our ecosystem partners mitigating all of the CTS identified vulnerabilities on our EPYC™ platform as well as patches mitigating Chimera across all AMD platforms. These patches are in final testing with our ecosystem partners in advance of being released publicly. We remain on track to begin releasing patches to our ecosystem partners for the other products identified in the report this month. We expect these patches to be released publicly as our ecosystem partners complete their validation work."

https://www.tomshardware.com/news/amd-vulnerability-patches-ecosystem-partners,36993.html

Ich schätze mal, mit einem der nächsten AGESA-Updates kommen die Patches. Das kann natürlich noch ein paar Wochen dauern.

Langsam wird deutlich welche negative Auswirkungen ein quasi Monopol alles haben kann. Nicht unerhebliche Teile der IT Infrastruktur sind davon betroffen. Well done.
Was hat das mit Monopol zu tun wenn auch andere Architekturen bisher von den Problemen betroffen waren. Intel trifft es grad nur ziemlich hart.

Es hat indirekt schon damit zu tun. Hat eine Firma zu viel Marktmacht:

- kauft sie neue Entwicklungen i. d. R. auf und nutzt diese selbst oder begräbt diese (Google, Facbook, Microsoft, EA, usw.)

- Bestrebungen neue Entwicklungen von anderer Seite zu finanzieren scheitern schon im Vorfeld aufgrund von Aussichtslosigkeit. Niemand interessiert sich für etwas anderes; Aufgrund von Marketing, "Kundenbindungsprogrammen" (langfristige Verträge mit Intel als "Partner"), das Produkt der vermeintlich neuen Konkurrenz ist z. B. 10% langsamer (*heul* *hust*), etc.

- Die Konkurrenz hat i. d. R. weit weniger finanzielle Mittel als der Monopolist. Daraus ergibt sich, dass man sich weniger auf neue Technologien (jeder kopiert irgendwie "x86") konzentrieren kann als Intel das könnte. Intel tut dagegen nur das Nötigste. Jedes Jahr ein "neuer" Vierkerner mit 5-10% mehr IPC. :D

Jeder weiß, dass Monokulturen, egal in welchem Bereich, v. a. langfristig schädlich sind. X86-Technologie bestimmt die gesamte IT seit 40 Jahren. Die Folge ist, dass es so gut wie kein Gerät gibt das nicht betroffen ist. Das Monopol hat maßgeblich dazu beigetragen.

Mehr fällt mir auf die Schnelle nicht dazu ein ...

Es hat indirekt schon damit zu tun. Hat eine Firma zu viel Marktmacht:

- kauft sie neue Entwicklungen i. d. R. auf und nutzt diese selbst oder begräbt diese (Google, Facbook, Microsoft, EA, usw.)

- Bestrebungen neue Entwicklungen von anderer Seite zu finanzieren scheitern schon im Vorfeld aufgrund von Aussichtslosigkeit. Niemand interessiert sich für etwas anderes; Aufgrund von Marketing, "Kundenbindungsprogrammen" (langfristige Verträge mit Intel als "Partner"), das Produkt der vermeintlich neuen Konkurrenz ist z. B. 10% langsamer (*heul* *hust*), etc.

- Die Konkurrenz hat i. d. R. weit weniger finanzielle Mittel als der Monopolist. Daraus ergibt sich, dass man sich weniger auf neue Technologien (jeder kopiert irgendwie "x86") konzentrieren kann als Intel das könnte. Intel tut dagegen nur das Nötigste. Jedes Jahr ein "neuer" Vierkerner mit 5-10% mehr IPC. :D

Jeder weiß, dass Monokulturen, egal in welchem Bereich, v. a. langfristig schädlich sind. X86-Technologie bestimmt die gesamte IT seit 40 Jahren. Die Folge ist, dass es so gut wie kein Gerät gibt das nicht betroffen ist. Das Monopol hat maßgeblich dazu beigetragen.

Mehr fällt mir auf die Schnelle nicht dazu ein ...
aber die aktuellen Probleme haben doch rein gar nichts mit x86er zu tun, sondern eigentlich nur mit Sprungvorhersagen und Caching.
Diese Probleme könntest du in jeder Architektur vorfinden. Intel hat hier leider einfach an falscher Stelle gespart.
Man könnte sogar soweit gehen zu behaupten das die meisten Probleme nur dadurch zustande kommen, das alles miteinander vernetzt ist und daher code an Stellen ausgeführt wird, wo er eigentlich nichts verloren hat, weil heutzutage einfach viel zu viel virtualisiert wird ohne wirklich an die Folgen zu denken.

Wieviel Performanceverlust hätte man wenn man die spekulative out-of-order execution deaktivieren würde und nur noch out-of-order betreibt?

Und es geht fröhlich weiter - neue Lücken gefunden:
https://www.heise.de/newsticker/meldung/Spectre-NG-Intel-Prozessoren-von-neuen-hochriskanten-Sicherheitsluecken-betroffen-4039302.html
https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html

Will Heise hier trollen?

1) Es gibt CVEs? Ja, wo sind die? Gebt die Nummern her...
2) Nettes Video. Sieht so aus, wie bei AMDFlaws und da wurde auch nur gelabert.
3) Heise ist die Hauptquelle? Nice. Siehe AMDFlaws und wie Heise versucht hat, alles breitzutreten.

Einen Artikel zu veröffentlichen, der keinerlei Basis hat, ist einfach lächerlich.

So blöd dürften sie nicht sein, ihren Ruf völlig aufs Spiel zu setzen.

So blöd dürften sie nicht sein, ihren Ruf völlig aufs Spiel zu setzen.

Willst du darauf wetten?:freak:

(heise ist meiner Meinung nach schon auf Computerbild-Niveau angekommen, mich würde es jedenfalls nicht wundern)

Willst du darauf wetten?:freak:

Ach, nö.
Aber hier steht auch c't als Magazin dahinter, und widerlegter FUD würde wohl auch den noch wohlmeinenden Lesern/Käufern übel aufstoßen.

hier mal die die aktuelle Liste

https://www.cvedetails.com/vulnerability-list/vendor_id-238/year-2018/Intel.html


wieso gibt heise die CVE Nummern nicht raus?

Auf der Seite sind diese nicht zu finden

Ach, nö.
Aber hier steht auch c't als Magazin dahinter, und widerlegter FUD würde wohl auch den noch wohlmeinenden Lesern/Käufern übel aufstoßen.


Ich habe nach über 20 Jahren mein Abo im Dezember gekündigt.

Die Artikel sind nur noch im groben gut. Stellenweise biste bei der Pcwelt mit manchen Artikeln. Wie entschlacke ich Windoof, etc.
Ich bastel 5 Stunden an meinem Windows rum, um genau 2 GB einzusparen. Das jedes Jahr aufs neue.


Graka Brechmarks vom Fischer brauchst nicht lesen wollen. Der Detailgrad ist in jedem Online Magazin besser.

Sorry für OT


Ich glaube schon das Heise/CT mittlerweile alles versucht um klicks zu bekommen

@aufkrawall

Eben das ist leider kein Garant mehr für guten und gründlich recherchierten Journalismus mehr(hatte die c't jahrelang abonniert und habe den Zerfall mitbekommen:frown:).

Ich bezweifele nicht, dass man mittlerweile noch andere Einfallstore gefunden hat, dennoch warte ich hier noch auf eine weitere unabhängige Quelle.

[immy;11686726']aber die aktuellen Probleme haben doch rein gar nichts mit x86er zu tun, sondern eigentlich nur mit Sprungvorhersagen und Caching.
Diese Probleme könntest du in jeder Architektur vorfinden. Intel hat hier leider einfach an falscher Stelle gespart.
Man könnte sogar soweit gehen zu behaupten das die meisten Probleme nur dadurch zustande kommen, das alles miteinander vernetzt ist und daher code an Stellen ausgeführt wird, wo er eigentlich nichts verloren hat, weil heutzutage einfach viel zu viel virtualisiert wird ohne wirklich an die Folgen zu denken.

X86 ist hier als Synonym für die Technik die Intel insgesamt repräsentiert zu verstehen (Fertigungstechnik, Chipdesign, etc.). Dieses Monopol entstand zusammen mit Microsoft. Hätte IBM damals das Angebot von Microsoft angenommen sähe es heute vielleicht anders aus.

Intel hat diese Technik in seine CPUs integriert und alle anderen haben diese Technik (Speculative Execution) mehr oder weniger (gut) kopiert. AMD ebenso wie ARM (mit Quallcom & Co.). Etwas anderes hat niemand hervorgebracht. Gibt ja auch Niemanden. Selbst ARM, dessen Prozessoren eigentlich zur RISC Familie zählen, spekuliert fleissig vor sich hin. Und das obwohl schon vor 10 Jahren die Risiken stärker diskutiert wurden als zu Beginn Mitte/Ende der 90er. Auch Intel wusste das, sah aber nie die Notwendigkeit das zu Überarbeiten. Musste Intel auch nicht. Gab/Gibt ja niemanden der es Besser macht/machen könnte. Jetzt holt uns das alle ein. Ohne Konkurrenz eben kein Druck ein Produkt zu verbessern. Läuft ja ...

X86 ist hier als Synonym für die Technik die Intel insgesamt repräsentiert zu verstehen (Fertigungstechnik, Chipdesign, etc.). Dieses Monopol entstand zusammen mit Microsoft. Hätte IBM damals das Angebot von Microsoft angenommen sähe es heute vielleicht anders aus.

Intel hat diese Technik in seine CPUs integriert und alle anderen haben diese Technik (Speculative Execution) mehr oder weniger (gut) kopiert. AMD ebenso wie ARM (mit Quallcom & Co.). Etwas anderes hat niemand hervorgebracht. Gibt ja auch Niemanden. Selbst ARM, dessen Prozessoren eigentlich zur RISC Familie zählen, spekuliert fleissig vor sich hin. Und das obwohl schon vor 10 Jahren die Risiken stärker diskutiert wurden als zu Beginn Mitte/Ende der 90er. Auch Intel wusste das, sah aber nie die Notwendigkeit das zu Überarbeiten. Musste Intel auch nicht. Gab/Gibt ja niemanden der es Besser macht/machen könnte. Jetzt holt uns das alle ein. Ohne Konkurrenz eben kein Druck ein Produkt zu verbessern. Läuft ja ...
Das eine hat doch mit dem anderen nichts zu tun.
Speculative Execution ist doch nichts anderes als etwas zu berechnen weil grad zeit ist das man eventuell später braucht.
Wie man es implementiert ist erst mal vollkommen. Dafür gibt es nicht die eine Technik die von Intel geprägt wurde. Es ist einfach ein scheinbar fehlerhaft umgesetztes Konzept welches in der Form nie dafür gedacht war Prozesse voneinander abzuschotten.
Letztlich ist es der CPU egal wer ihr die Instruktionen gegeben hat, die CPU rechnet nur. Allerdings müsste man spätestens mit der Virtualisierungs-technologie daran gedacht haben, das man alles voneinander Trennen kann was nichts miteinander zu tun hat. Und das ist leider bei Intel total vernachlässigt worden.
Ich bezweifle das es irgendwas mit Absicht zu tun hat, man hat schlicht nicht daran gedacht das es sich mal zu einem Problem entwickeln könnte.

Der Skandal an der Sache ist eigentlich nur das sie mit Updates nicht hinterherkommen und auch noch eine CPU-Gen rausgebracht haben obwohl sie die Probleme schon kannten und es dort noch nicht mal behoben war.

wieso gibt heise die CVE Nummern nicht raus?

Weil die Lücken bisher noch unter Verschluss gehalten werden und dementsprechend sind auch die CVE Einträge nicht öffentlich.

nt (hatte mich verlesen)

Wieviel Performanceverlust hätte man wenn man die spekulative out-of-order execution deaktivieren würde und nur noch out-of-order betreibt?

Schau Dir die alten Atoms an.

[immy;11686826']Das eine hat doch mit dem anderen nichts zu tun.
Speculative Execution ist doch nichts anderes als etwas zu berechnen weil grad zeit ist das man eventuell später braucht.
Wie man es implementiert ist erst mal vollkommen. Dafür gibt es nicht die eine Technik die von Intel geprägt wurde. Es ist einfach ein scheinbar fehlerhaft umgesetztes Konzept welches in der Form nie dafür gedacht war Prozesse voneinander abzuschotten.
Letztlich ist es der CPU egal wer ihr die Instruktionen gegeben hat, die CPU rechnet nur. Allerdings müsste man spätestens mit der Virtualisierungs-technologie daran gedacht haben, das man alles voneinander Trennen kann was nichts miteinander zu tun hat. Und das ist leider bei Intel total vernachlässigt worden.
Ich bezweifle das es irgendwas mit Absicht zu tun hat, man hat schlicht nicht daran gedacht das es sich mal zu einem Problem entwickeln könnte.

Der Skandal an der Sache ist eigentlich nur das sie mit Updates nicht hinterherkommen und auch noch eine CPU-Gen rausgebracht haben obwohl sie die Probleme schon kannten und es dort noch nicht mal behoben war.

Was hat das mit Monopol zu tun wenn auch andere Architekturen bisher von den Problemen betroffen waren. Intel trifft es grad nur ziemlich hart.
Du schweifst ab. Technologische Entwicklung hat sehr wohl etwas mit Konkurrenz(-druck) zu tun. Gibt es diese nicht macht derjenige was er will.
Intel hatte bisher keinen Druck irgendetwas zu machen. Die können sogar den 10nm mehrmals wegen Unfähigkeit verschieben.
Für ein Oligopol wie unsere Autoindustrie gilt das genauso. Die machen auch was sie wollen. Nur geht es dabei nicht um die Sicherheit sondern um die Gesundheit bzw. den Klimawandel.
Ein Beispiel: Microsoft ... Jahrelang machen die nichts. XP, ok Vista Flop. Dann endlich Windows 7. Aber irgendwie zu spät: Android ist "plötzlich" da. Der Mensch verbringt mehr Zeit mit dem Handy als mit dem Computer. OMG!... Hektik macht sich breit ... Windows 8 mit einem Shop ... Interessiert niemanden. Nokia und Windows Phone ein Riesenflop. Jetzt Windows 10 wo man sich der Anwender vor x Features zu jedem halbjährlichen!!!! Release kaum noch retten kann.
Bewegt sich der Markt durch Konkurrenz bewegt sich auch der Monopolist. Ist die Konkurrenz aber zu schwach (AMD ist es, ARM auch; Google war es nicht. Ist ja selbst ein Monopolist) nutzt auch das nichts.

Was das mit Monopol zu tun hat? Ist das eine rethorische Frage? Wenn nur ein System, egal ob Software oder Hardware, genutzt wird brauchst du nur einen Zugang um alle Nutzer zu kompromitieren.

Der Vergleich mit Monokulturen trifft es ganz gut. Ein Schädling kann zur Katastrophe führen.

Weil die Lücken bisher noch unter Verschluss gehalten werden und dementsprechend sind auch die CVE Einträge nicht öffentlich.

Nein, so funktioniert das nicht. Die CVEs werden erstellt, aber sind noch "blank", also leer. Veröffentlichung von Sicherheitslücken sollte immer wohl überlegt sein.

Und ja, anscheinend sind von diesen CVEs hauptsächlich Intels betroffen.

Zitat von Jürgen Schmidt @heise:

Die CVEs sind derzeit nur nackte Zahlen ohne Mehrwert.
Andererseits hätte deren Veröffentlichung uU ein weiteres Risiko für unsere Quellen bedeutet, das wir vermeiden wollten. Deshalb haben wir uns zum aktuellen Zeitpunkt dagegen entschieden. Wir werden die natürlich nachreichen.

Herzlichen Glückwunsch, wenn potentiell sinkende Performance dein einziges Problem damit ist. Da geht es vielen etwas anders :)Das eine schließt das andere doch nicht aus. ;)

Will Heise hier trollen?

1) Es gibt CVEs? Ja, wo sind die? Gebt die Nummern her...
2) Nettes Video. Sieht so aus, wie bei AMDFlaws und da wurde auch nur gelabert.
3) Heise ist die Hauptquelle? Nice. Siehe AMDFlaws und wie Heise versucht hat, alles breitzutreten.

Einen Artikel zu veröffentlichen, der keinerlei Basis hat, ist einfach lächerlich.

Heftige Worte wenn ich lese was Heise schreibt:

c't liegen exklusive Informationen zu Spectre NG vor, die wir auf mehreren Wegen verifizieren konnten, sodass wir an deren Echtheit keine Zweifel mehr hegen. Technische Details werden wir jedoch noch nicht veröffentlichen, solange noch eine Chance besteht, dass die Hersteller ihre Sicherheits-Updates vor dem Bekanntwerden der Lücken fertig bekommen. Wir werden unsere Informationen jedoch nutzen, um kommende Veröffentlichungen von Patches und Hintergrundinformationen journalistisch zu begleiten.

https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html

Ich wäre mit pauschaler Kritik vorsichtiger, sonst tut man das, wofür man den anderen gerade kritisiert...

hier mal die die aktuelle Liste
https://www.cvedetails.com/vulnerability-list/vendor_id-238/year-2018/Intel.html
wieso gibt heise die CVE Nummern nicht raus?
Auf der Seite sind diese nicht zu finden
Weil das nicht die 8 "neuen" Lücken sind.

Das, was Du da ausgegraben hast:
3x Meltdown/Spectre vom 4.1.
2x Grafiktreiber
1x was völlig anderes
1x was vom 27.3. mit einem Score von 4.7 - meinst Du das?
Sorry...
Weil die Lücken bisher noch unter Verschluss gehalten werden und dementsprechend sind auch die CVE Einträge nicht öffentlich.
Danke.
Und ja, anscheinend sind von diesen CVEs hauptsächlich Intels betroffen.
Und die Quelle Deiner "Erleuchtung" :confused:
Ich wäre mit pauschaler Kritik vorsichtiger, sonst tut man das, wofür man den anderen gerade kritisiert...
Das gibt mir den Glauben an die Vernunft zurück...
Danke!

Razor

Update bei CB: (https://www.computerbase.de/2018-05/spectre-next-generation-sicherheitsluecken/)

Intel hat sich zu den Veröffentlichungen geäußert. Der Konzern erklärt: „Die Daten unserer Kunden zu schützen und die Sicherheit unserer Produkte sicherzustellen hat für uns höchste Priorität. Wir arbeiten fortlaufend mit Kunden, Partnern, anderen Chip-Herstellern und Forschern zusammen, um Probleme zu verstehen und zu entschärfen; Und zu diesem Prozess gehört auch, CVE-Nummern-Blöcke zu reservieren. Wir glauben fest an den Nutzen einer koordinierten Veröffentlichung [von Sicherheitslücken] und werden weitere Details zu jedem potentiellen Problem veröffentlichen, während wir an der Fertigstellung der Schutzmaßnahmen arbeiten.“

Intel scheint damit einerseits aktuelle Arbeiten an Schutzmaßnahmen gegen neue Sicherheitslücken indirekt zu bestätigen, lässt andererseits aber durchblicken, dass es am Ende weniger als acht Lücken sein könnten, weil die CVE-Nummern lediglich vorsorglich reserviert wurden.

AMD hat wiederum gegenüber Heise erklärt, den Berichten über weitere Sicherheitslücken in der Sprungvorhersage nachzugehen und weitere Informationen zum gegebenen Zeitpunkt zu teilen. ARM hat einen Kommentar bisher abgelehnt.

Ein klares Dementi sieht anders aus.

Jetzt geht das schon wieder los?

Die Admins werden sich freuen, alles nochmal patchen. :freak:

Yop, nächste Runde Spectre/Meltdown Exploits...

Ist halt das schöne an Monokultur, hast einen Einfallspunkt gefunden, ist der Schaden besonders groß...

https://mobile.twitter.com/aionescu/status/991675604469669890/

ref: https://m.heise.de/newsticker/meldung/Kommentar-Hallo-Intel-mein-Vertrauen-schwindet-4041485.html

Ich lach' mich grad' scheckig. Da wird das Meltdown-"Loch" mit einem Patch für Windows 10 "umplatziert" und niemanden wird davon etwas mitgeteilt. DAS Überfeature! ;p Stattdessen wird es still und leise mit 1803 gefixt. Wohl dem der v1803 erst einmal schieben wollte. :(

Für Meltdown gibt es jedenfalls PoCs. Wirklich nachweisen kann man das wahrscheinlich auch nicht, dass eine Schadsoftware eine der beiden Lücken ausnutzt. Man würde davon jedenfalls nichts mitbekommen.Wieso nicht? Bei anderer Malware wird doch auch analysiert welchen Exploit sie ausnutzt.

MfG
Rooter

Wieso nicht? Bei anderer Malware wird doch auch analysiert welchen Exploit sie ausnutzt.

MfG
Rooter

Ich glaube eher es geht eher darum, das man erstmal erkennen muss das es Malware ist. Insbesondere wenn man es dazu nutzt benachtbarte VMs anzugreifen. Es ist ja nichts was du z.b. mit Valgrind analysieren kannst um zu sehen das da ein Bufferoverflow genutzt wird.

https://www.au-ja.de/aktuell-news-4-Kolumne%3A_Meltdown_und_Spectre_-_Das_Gest%C3%BCmper_wird_immer_schlimmer

Meine Güte, da bleibt einem echt das Lachen im Halse stecken...

...kommt noch besser.

Für die Beseitigung der gefährlichsten Spectre-NG-Lücke müssen sich Intels Kunden sogar noch länger gedulden. Sie betrifft ebenfalls die Core-i- sowie Xeon-Prozessoren und erlaubt es, etwa aus einer Virtuellen Maschine heraus deren Wirt oder andere VMs zu attackieren. Das ist insbesondere bei der Nutzung von Cloud-Systemen fatal. Derzeit plant Intel dazu Patches erst im dritten Quartal. Konkret steht der 14. August im Raum.

Quelle:
https://www.heise.de/security/meldung/Spectre-NG-Intel-verschiebt-die-ersten-Patches-koordinierte-Veroeffentlichung-aufgeschoben-4043790.html

Ich gehe mittlerweile davon aus, dass Spectre insbes. auf Intel CPUs mittelfristig nicht mehr gefixt werden kann. Irgendwann sind die Möglichkeiten mit Microcode Updates zu agieren auch erschöpft.
Das spümperhafte "fixen" von Meltdown seitens Microsoft kann einen nur erschrecken. Die hatten ein halbes Jahr Zeit und bauen direkt eine Zero-Day-Lücke in den Fix und teilen es niemanden mit. Die Höhe ist dann noch, dass es den Fix dafür nur für Version 1803 gibt. :freak:
Mein privater Server läuft mittlerweile mit RavenRidge. Dort gibt es wenigstens kein Meltdown. Spectre v2 ist bisher nur theoretisch möglich bzw. "Near-Zero-Risk" ... Die Cloud-Anbieter abseits von MS, Google und Amazon können einem nur leid tun. Theoretisch müssten diese jetzt überlegen neu zu investieren. Können sie aber nicht, da es keine leistungsmäßig entsprechenden und zu 100% Spectre-freien CPUs am Markt gibt.

Theoretisch müssten diese jetzt überlegen neu zu investieren.
Na ja, was sollte man denn kaufen? AMD?
Ja, Stand heute könnte man das als Möglichkeit akzeptieren. (wird allerdings auch lustig da man die Teile nicht in bestehende HV Cluster reinbringt und allgemein die Möglichkeit von live Migration weg von Intel Systemen nicht besteht)

Nur, wer sagt denn dass AMD nicht auch von SpectreNg betroffen ist? Also bis das geklärt ist, kann man imho mit keinem guten Gewissen einen Neukauf von irgendwelcher Hardware aufgrund der Spectre Problematik empfehlen.
Und selbst danach wird ja kaum Schluss sein mit möglichen Problemen, da keine aktuelle Architektur darauf ausgelegt ist, der Ursache an der Wurzel zu begegnen...daher kanns sein dass du heute eine Hardware kaufst, die in einem halben Jahr genau gleich schlecht dasteht wie 5 Jahre alte Intel Kisten.

Im Moment gar nicht.
...da es keine leistungsmäßig entsprechenden und zu 100% Spectre-freien CPUs am Markt gibt.

Ich gehe mittlerweile davon aus, dass Spectre insbes. auf Intel CPUs mittelfristig nicht mehr gefixt werden kann. Irgendwann sind die Möglichkeiten mit Microcode Updates zu agieren auch erschöpft.
Das spümperhafte "fixen" von Meltdown seitens Microsoft kann einen nur erschrecken. Die hatten ein halbes Jahr Zeit und bauen direkt eine Zero-Day-Lücke in den Fix und teilen es niemanden mit. Die Höhe ist dann noch, dass es den Fix dafür nur für Version 1803 gibt.
Na dann "erhelle" uns mal...

Mein privater Server läuft mittlerweile mit RavenRidge. Dort gibt es wenigstens kein Meltdown. Spectre v2 ist bisher nur theoretisch möglich bzw. "Near-Zero-Risk" ... Die Cloud-Anbieter abseits von MS, Google und Amazon können einem nur leid tun. Theoretisch müssten diese jetzt überlegen neu zu investieren. Können sie aber nicht, da es keine leistungsmäßig entsprechenden und zu 100% Spectre-freien CPUs am Markt gibt.
Wenn Du Dich mit dem Marketing-BlaBla besser fühlst :rolleyes:
Ich würde jedem erst einmal raten, sich gaaaanz ruhig zu kalnieren.
Kommt Zeit, kommt Erleuchtung... vielleicht auch zu Dir.

Razor

Bisher ist AMD jedenfalls kaum betroffen, außer von Spectre V1, wie eben alle. V2 ist nur theoretisch möglich, praktisch aber extrem unwahrscheinlich, die neuen SpectreNG ist AMD offenbar nicht betroffen, bei Ryzenfall sind nur mit Rootrechten Angriffe möglich, also eigentlich auch sicher. AGESA PR-1003a müsste v2 und Ryzenfall auch endgültig fixen. Ich würd momentan jedenfalls jedem empfehlen einen großen Bogen um Intel zu machen, wenn Sicherheit ne Rolle spielt. Lieber AMD. Im Moment jedenfalls.


Razor
Du kannst noch so viel relativieren, das ändert an den Fakten gar nichts. Es gibt Lücken, die sind nicht gefixt und das trifft nur auf Intel zu. Und lass mal die Arroganz, das ist einfach furchtbar.

Wer daran Schuld ist dabei ebenfalls unerheblich.

Na dann "erhelle" uns mal...

Ich will niemanden erhellen. Das ist nur meine Meinung. Du kannst die gegenteilige Meinung vertreten und sagen, dass Intel das locker stemmt.

Wenn Du Dich mit dem Marketing-BlaBla besser fühlst :rolleyes:
Ich würde jedem erst einmal raten, sich gaaaanz ruhig zu kalnieren.
Kommt Zeit, kommt Erleuchtung... vielleicht auch zu Dir.

Razor
Das ist richtig. Aber Intel bläst Dir auch nur Zucker in den Arsch. An irgendetwas muss man sich orientieren. Könnte genauso gut sagen. Ich kauf jetzt nur noch RaspberryPi. Die sagen auch sie wären nicht betroffen. Nachprüfen kann ich, du oder jeder andere hier es aber genauso wenig.

Deswegen sollte man bei der Bildung einer "voreiligen" Meinung vorsichtig sein... und Sie schon gar nicht als "Wahrheit" verkaufen.
Ich "glaube" weder an Intel, noch viel weniger an AMD... und schon gar nicht an RaspberryPI.

In der IT gibt es für logische Probleme noch immer Lösungen... auch wenn sie manchmal auf sich warten lassen - "Nullen und Einsen" halt.
Und daran, dass milliardenschwere Konzerne gleich die Fline ins Korn werfen... "glaube" ich noch viel weniger.

VW, Facebook und hier Intel - wir haben KRIEG - einen Wirtschaftskrieg... und das ist erst der Anfang!

Razor

Könnte genauso gut sagen. Ich kauf jetzt nur noch RaspberryPi. Die sagen auch sie wären nicht betroffen. Nachprüfen kann ich, du oder jeder andere hier es aber genauso wenig.

Die Lücke basiert auf spekulativer Codeausführung. Der Raspberry Pi 2/3 benutzt ARM A53 Kerne, welche keinen Code spekulativ ausführen. Entsprechend sind sie auch immun gegen Meltdown/Spectre.

Da gibt es nicht viel nachzuprüfen oder irgendwelche Verschwörungstheorien aufzubauen.

Wenn SpectreNG ebenfalls auf spekulativer Codeausführung beruht, dann sind sie auch weiterhin immun. Aber bisher weiß ja kaum einer was nun genau die neuen Lücken sind.

Deswegen sollte man bei der Bildung einer "voreiligen" Meinung vorsichtig sein... und Sie schon gar nicht als "Wahrheit" verkaufen.
Ich "glaube" weder an Intel, noch viel weniger an AMD... und schon gar nicht an RaspberryPI.

In der IT gibt es für logische Probleme noch immer Lösungen... auch wenn sie manchmal auf sich warten lassen - "Nullen und Einsen" halt.
Und daran, dass milliardenschwere Konzerne gleich die Fline ins Korn werfen... "glaube" ich noch viel weniger.

VW, Facebook und hier Intel - wir haben KRIEG - einen Wirtschaftskrieg... und das ist erst der Anfang!

Razor


Dann ersetzen wir das Glauben durch das Wort Vertrauen. Irgend jemanden muss man vertrauen oder "mehr" glauben als dem anderen. Darauf basiert das menschliche Handeln. Man kann nicht alles überprüfen. Das scheitert schon an dem was sich ein Mensch im Laufe seines Lebens an Wissen aneignen kann.

Ich denke schon, dass es am Ende eine oder mehrere Softwarelösungen geben wird. Retpoline kann ich mir unter Windows durchaus vorstellen. Wenn ich mir aber den Meltdown Patch von Microsoft ansehe und weiß, dass keine Software fehlerfrei sein kann, sehe ich nicht ein warum ich dieser CPU-Technik mit solch einem gravierenden Design-Fehler jemals wieder vertrauen sollte. Insbesondere wenn man als Unternehmen/Staat "wertvolle" Daten sichern möchte. Das perfide an Meltdown/Spectre ist nämlich die fehlende Möglichkeit festzustellen ob und wann jemand Zugriff hatte.

Wenn mir jetzt Intel und Microsoft erneut erzählen, dass Spectre und Meltdown gefixt sind, sage ich mir, dass Intel gleich zu Beginn hätte sagen können (Trump macht es ja wunderbar vor), dass da nichts ist bzw. das Risiko fast Null ist. Ich könnte ihnen das Gegenteil nicht beweisen und müsste das was Googles-Zero-Team sagt bewerten und entscheiden wem ich mehr glauben möchte.

Ergo kann ich mich gleich hinstellen und sagen, dass das Zero-Team mit AMD zusammengearbeitet hat und bei den Versuchen das ganze mit AMD-CPUs nachzustellen nichts finden wollte. Ja jetzt wirds "Verschwöhrungs-theoretisch".

Möchte ich Intel und AMD Glauben/Vertrauen, würde ich dennoch immer noch die CPU ohne Meltdown-Lücke und "Near-Zero-Risk" bevorzugen.
So in etwas kann eine Bewertung Aussehen. Nicht mehr und nicht weniger. Und das ist weder voreilig noch unvorsichtig.

Die Lücke basiert auf spekulativer Codeausführung. Der Raspberry Pi 2/3 benutzt ARM A53 Kerne, welche keinen Code spekulativ ausführen. Entsprechend sind sie auch immun gegen Meltdown/Spectre.

Da gibt es nicht viel nachzuprüfen oder irgendwelche Verschwörungstheorien aufzubauen.

Wenn SpectreNG ebenfalls auf spekulativer Codeausführung beruht, dann sind sie auch weiterhin immun. Aber bisher weiß ja kaum einer was nun genau die neuen Lücken sind.

Das weiß ich. ;) Ich wollte nur darauf hinaus, dass jede Firma alles erzählen kann. Im Zweifel kann ich nur die Dokumentation von ARM heranziehen und Angestelle interviewen. Das war es dann aber schon. In den Chip hineinsehen kann ich nicht. Nichts desto trotz glaube ich es ihnen. Eben genauso wie ich AMD glaube/vertraue.

Ich finde es mindestens merkwürdig (erschreckend ist auch ein Wort, dass mir in den Sinn kam), dass immer gleich so getan wird, als wäre AMD genauso betroffen.

Stand heute ist das nicht so. Man kann darüber nachdenken/spekulieren, ob das stimmt, aber allein aufgrund dessen, dass sie spekulativen Code ausführen und Spectre (wohl ebenfalls) darauf basiert, ist nun wirklich noch keine Evidenz.
Es gibt vermutlich einige Methoden das in einem Design umzusetzen und die von Intel ist fehleranfällig (IIRC auch deshalb, weil sie "Abkürzungen" zugunsten von Performance gegangen sind).
Welches Design AMD genutzt hat, und ob dieses und wenn ja in welcher Form, anfällig ist, wissen wir nicht. Wobei man auch mal als Indiz nehmen sollte, dass die entsprechenden Möglichkeiten bei Intel gefunden wurden, bei AMD aber (scheinbar) bisher nicht.
Damit will ich nicht sagen: Kauft AMD um sicher zu sein, aber dieses suggerieren, als wäre AMD genauso betroffen, ist schlicht unsachlich.

Das weiß ich. ;) Ich wollte nur darauf hinaus, dass jede Firma alles erzählen kann. Im Zweifel kann ich nur die Dokumentation von ARM heranziehen und Angestelle interviewen. Das war es dann aber schon. In den Chip hineinsehen kann ich nicht. Nichts desto trotz glaube ich es ihnen. Eben genauso wie ich AMD glaube/vertraue.

Na so eine Chain of Trust hast du ja immer irgendwo. Gibt aber auch genug Wege "raus".

-> RISC-V liefert dir eine offene ISA, die du in was auch immer und wie auch immer implementieren kannst. Fertige CPUs in VHDL/Verilog finden sich auf github
-> OpenSPARC hat diverse Varianten T1/T2 in Verilog auf github
-> OpenPOWER liefert dir soweit ich weiß keine Verilog-Daten "frei Haus" aber den Sourcecode zu sämtlicher Firmware.

Die letzten Beiden sind jedoch in ihrer jetzigen Form auch von Spectre und ggf. Meltdown betroffen. Bei RISC-V wärst du dann schuld :D

Wobei man auch mal als Indiz nehmen sollte, dass die entsprechenden Möglichkeiten bei Intel gefunden wurden, bei AMD aber (scheinbar) bisher nicht.

Im Falle von SpectreNG hat man aber scheinbar bei AMD noch gar nicht nachgesehen. Von daher sollte man an dem Punkt eher gar keine Aussage treffen. Auch AMD hat noch nichts dazu gesagt, außer "wir schauen mal".

Eine der Lücken wurde von Googles Project Zero entdeckt und die 90-Tages-Frist soll heute ablaufen, aber man hat noch gar nicht bei AMD nachgeschaut? Halte ich für ausgeschlossen.

Zudem gibt es laut Heise bzgl. ARM auch Hinweise, nur bei AMD anscheinend noch nichts. Auch deswegen bezweifle ich, dass man ausgerechnet bei AMD in der Hinsicht überhaupt nicht tätig war.

Na so eine Chain of Trust hast du ja immer irgendwo. Gibt aber auch genug Wege "raus".
Ja, das ist richtig. Aber am Ende braucht es, um das zu Bewerten, mehr Brain als ich alleine habe. :D Ich bin also wieder auf andere angewiesen die mir helfen das alles einzuordnen. Das kostet alles enorm viel Zeit, die ich nicht habe, und ich muss diesen Personen auch vertrauen. Letztlich tue ich das auch bei z. B. Linux. Als Student als gerade Gentoo und LFS "In" waren hatte ich diese Zeit teilweise. Danach nie mehr. Und selbst zu der Zeit habe ich es nie geschafft mehr vom Code zu lesen als nötig. :D

Eine der Lücken wurde von Googles Project Zero entdeckt und die 90-Tages-Frist soll heute ablaufen, aber man hat noch gar nicht bei AMD nachgeschaut? Halte ich für ausgeschlossen.

Zudem gibt es laut Heise bzgl. ARM auch Hinweise, nur bei AMD anscheinend noch nichts. Auch deswegen bezweifle ich, dass man ausgerechnet bei AMD in der Hinsicht überhaupt nicht tätig war.

Ich kann mich hier auch nur auf den Heise-Artikel beziehen und der sagt:


Konkrete Informationen liegen uns bisher nur zu Intels Prozessoren und deren Patch-Plänen vor. Es gibt jedoch erste Hinweise, dass zumindest einzelne ARM-CPUs ebenfalls anfällig sind. Weitergehende Recherchen dazu, ob und in welchem Maß etwa die eng verwandte AMD-Prozessorarchitektur für die einzelnen Spectre-NG-Lücken anfällig ist, laufen bereits.



Die Firma AMD prüft derzeit intern, welche Informationen vorliegen. AMD erklärte auf eine heise-Anfrage: "Security and protecting users’ data is of the utmost importance to AMD and we work closely across our ecosystem to evaluate potential vulnerabilities as they are discovered and develop mitigations. We are aware of recent media reports related to speculative execution exploits. We are looking into the matter and will share information as appropriate."


Da steht halt nirgends was von "AMD ist nicht betroffen" oder "Es konnte auf AMD nicht nachvollzogen werden" oder sonst was in der Art. Da steht im Endeffekt nur: "Keine Angaben zu AMD. Es wird gerade geprüft".

Daraus kann man weder ableiten, dass AMD betroffen ist noch kann man daraus ableiten, dass AMD nicht betroffen ist. Man muss hier einfach warten bis die entsprechenden Lücken veröffentlicht werden.

edit:
Außerdem muss man schon genau prüfen ob eine CPU nun genau und in welcher Art anfällig ist. Es ist nicht unbedingt so, dass man einfach einen Algorithmus hat und den dann einfach auf alle CPUs abfeuern kann und dann dabei rauskommt: "Verwundbar" oder "Immun". Prinzipiell stellt man fest, dass eine CPU hier und dort "schlampt" und dann schaut man nach ob andere CPUs das auch tun. Beispielsweise sind IBMs POWER CPUs auch von Meltdown betroffen, aber das nötige Verfahren ist hier ein anderes. Und das hat nicht das Forscherteam selbst rausgefunden, sondern afaik IBM Mitarbeiter, die durch die Intel Lücke auf eine Lücke in ihren CPUs gebracht wurden.

Dann ersetzen wir das Glauben durch das Wort Vertrauen. Irgend jemanden muss man vertrauen...
Falsch... "muss man" nicht, tue ich auch nicht (bei "Technik" ;-).
"Vertrauen" ist das gleiche wie "Glauben"... man gibt Verantwortung ab.
That's it!

An Deiner Stelle würde ich mir mal die Frage stellen, warum "Googles Zero Team" (oder die anderen) AMD nicht angehen.
Es ist das Gleiche, wie bei VW seinerzeit: nimm den Größten und hänge ihn!
Gleiches gilt übrigens für Facebook...

Welches Design AMD genutzt hat, und ob dieses und wenn ja in welcher Form, anfällig ist, wissen wir nicht.
Interessant, oder?
Noch viel interessanter: niemand berichtet darüber.
Und woraus schließt Du nun, dass AMD "sicher" ist... weil nichts Gegenteiliges berichtet wird?
Denk' mal darüber nach.

Im Falle von SpectreNG hat man aber scheinbar bei AMD noch gar nicht nachgesehen. Von daher sollte man an dem Punkt eher gar keine Aussage treffen. Auch AMD hat noch nichts dazu gesagt, außer "wir schauen mal".
Danke... DAS ist exakt das, was ich meine!

Razor

Allen Verschwörungstheorien zum Trotz:

Es gibt Stand 08.05.2018 keine Beweise für eine Betroffenheit von AMD-CPUs.

Das ist die Realität. Alles andere ist Spekulation.

Allen Verschwörungstheorien zum Trotz:

Es gibt Stand 08.05.2018 keine Beweise für eine Betroffenheit von AMD-CPUs.

Das ist die Realität. Alles andere ist Spekulation.

Von den alten Lücken ist AMD bis auf Variante 1, von der alle betroffen sind, auch nicht betroffen. Dass nirgends AMD erwähnt wird liegt daran, dass es hier nicht um AMD geht sondern um Intel. Dieses dauernde AMD mitbezichtigen halte ich für nichts anderes als Getrolle. Bei Ryzenfall fragt schließlich auch keiner ob Intel davon betroffen ist.

Falsch... "muss man" nicht, tue ich auch nicht (bei "Technik" ;-).
"Vertrauen" ist das gleiche wie "Glauben"... man gibt Verantwortung ab.
That's it!
Mehr als Arroganz und Anmaßung fällt mir dazu nicht ein. Du gehörst sicher zu den Menschen die jeden Wissensbrereich 100%-ig abdecken können. ... Ich habe mehrere Jahre in der Produkt- und Prozesstechnik verbracht und ich würde nie behaupten, dass ich alles verstanden habe. Auch ich musste Verantwortung "abgeben" und Aussagen von Kollegen glauben schenken. Aber lebe du weiter in deiner Welt ... Du kannst sicher jeden Implanter mit links erklären. An dir ist bestimmt ein teschisches Genie verloren gegangen.


An Deiner Stelle würde ich mir mal die Frage stellen, warum "Googles Zero Team" (oder die anderen) AMD nicht angehen.
Es ist das Gleiche, wie bei VW seinerzeit: nimm den Größten und hänge ihn!
Gleiches gilt übrigens für Facebook...
Mag sein, mag nicht sein. Das ist eine Behauptung deinerseits ohne jegliche Grundlage.


Interessant, oder?
Noch viel interessanter: niemand berichtet darüber.
Und woraus schließt Du nun, dass AMD "sicher" ist... weil nichts Gegenteiliges berichtet wird?
Denk' mal darüber nach.

Danke... DAS ist exakt das, was ich meine!

Ich habe das Interesse bereits nach deinem ersten Satz verloren. Ich habe nie behauptet, dass AMD absolut sicher sei. Außerdem klingst du jetzt so, als ob das was Heise oder andere über Intel schreiben richtig wäre bzw. nimmst es für bare Münze ohne es je nachgeprüft zu haben bzw. ohne dass du es "selbstverantwortlich" jemals nachprüfen konntest (das gilt auch für Meltdown oder Spectre v1,v2). Du nimmst es einfach hin, dass die Meltdown, Spectre/NG Lücken existieren (ohne direkten Beweis, ja Heise hat was geschrieben, Intel hat etwas eingestanden) und willst anderen sagen, dass in Bezug auf AMD diese Lücken auch existieren könnten.
Mehr als Spekulation ist das auch nicht. So wirst du deiner "Verantwortung" nicht gerecht .... Orientiert man sich an den veröffentlichten Fakten, existiert SpectreNG derzeit nur auf Intel CPUs. Auf allen anderen möglicherweise. Man beachte: Ich konnte dies nicht unabhängig und selbstverantwortlich verifizieren.

Falsch... "muss man" nicht, tue ich auch nicht (bei "Technik" ;-).
"Vertrauen" ist das gleiche wie "Glauben"... man gibt Verantwortung ab.
That's it!

An Deiner Stelle würde ich mir mal die Frage stellen, warum "Googles Zero Team" (oder die anderen) AMD nicht angehen.
Es ist das Gleiche, wie bei VW seinerzeit: nimm den Größten und hänge ihn!
Gleiches gilt übrigens für Facebook...

Thesen (und ich verwende bewusst nicht das Wort Theorie) sind noch keine (bewiesenen) Fakten.


Interessant, oder?
Noch viel interessanter: niemand berichtet darüber.
Und woraus schließt Du nun, dass AMD "sicher" ist... weil nichts Gegenteiliges berichtet wird?
Denk' mal darüber nach.

1. Ich schließe nicht daraus, dass AMD sicher ist. Lies meine Text noch einmal. Ich sage, dass es kaum Hinweise gibt, und diese sind nur sehr allgemein (sie nutzen halt auch spekulative Codeausführung). so dass ich es für unlauter erachte so zu tun, als hätte man es nur noch nicht herausgefunden, aber es würde sie sicher auch betreffen.

Auch die Aussage, dass man bei AMD noch nicht überprüft hätte, ist lediglich eine These (s.o.) - das wird nirgends in einer Primärquelle (Stichwort: Heise) erwähnt.

Also: Wollen wir mal bei den Fakten bleiben?

Von den alten Lücken ist AMD bis auf Variante 1, von der alle betroffen sind, auch nicht betroffen.
Natürlich ist AMD auch von SpectreV2 betroffen, hör auf hier solchen Schwachsinn zu verbreiten!
Gibts einen öffentlichen PoC für AMD? Nein, aber das heisst nicht dass es auf deren CPUs nicht auch möglich ist über eine spekulative Ausführung unerlaubt an Daten zu kommen.
Ist halt nur schwieriger als bei der Core Architektur von Intel und bei <1% Verbreitung entsprechender Hardware im für Spectre interessanten/kritischen Bereich, macht es weder für Forscher noch Hacker viel Sinn, irgendwelche Resourcen reinzustecken.

Das ist definitiv krass, das ganze scheint ja ein Fass ohne Boden zu sein. Sicherlich wird bei den meisten eh nichts passieren, dennoch ist es traurig, dass solche Lücken so viele Jahre nicht entdeckt werden. Noch viel trauriger ist das Verhalten von Intel, man merkt dass defakto Monopole eine ganz schlechte Idee sind.

Ob wir in den nächsten 2-3 Jahren zumindest einen akzeptablen Sicherheitsstand hinbekommen?

Eigentlich müsste man Intel (sowie den OEMs) eine Frist zu Fixes setzen und bei Nichteinhaltung müssen die CPUs gegen gefixte Varianten getauscht werden. Ihr glaubt nicht wie schnell es dann Fixes auch für ältere CPUs geben würde.

Edit: Zu AMD: Solange eine Schuld (Anfälligkeit gegen Spectre (NG)) nicht bewiesen ist, ist man unschuldig. Es ist elementar wichtig, dieses Rechtsgrundprinzip zu achten. Könnten Sie betroffen sein? Ja klar. Solange es aber keinen konkreten Beweis/ PoC gibt, sind sie sicher.

Eigentlich müsste man Intel (sowie den OEMs) eine Frist zu Fixes setzen und bei Nichteinhaltung müssen die CPUs gegen gefixte Varianten getauscht werden. Ihr glaubt nicht wie schnell es dann Fixes auch für ältere CPUs geben würde.

Da du einen Hersteller nicht verpflichten kannst ein Produkt auf Lebenszeit zu unterstützen, geht schon das mit der "Frist setzen" nicht.

Natürlich ist AMD auch von SpectreV2 betroffen, hör auf hier solchen Schwachsinn zu verbreiten!
Hast du irgendwelche Belege zu dieser Behauptung oder ist das nur das übliche Nebelkerzengewerfe??


Zeige doch mal, wie jemand diesen Exploit auf AMD Hardware vorführt.

Da du einen Hersteller nicht verpflichten kannst ein Produkt auf Lebenszeit zu unterstützen, geht schon das mit der "Frist setzen" nicht.

Und bei den üblichen Entwicklungzeiten von CPUs muss die Frist auch relativ lange ausfallen, sodass die zu ersetzende Hardware eh schon Elektroschrott ist.

Natürlich ist AMD auch von SpectreV2 betroffen, hör auf hier solchen Schwachsinn zu verbreiten!
Gibts einen öffentlichen PoC für AMD? Nein, aber das heisst nicht dass es auf deren CPUs nicht auch möglich ist über eine spekulative Ausführung unerlaubt an Daten zu kommen.
Ist halt nur schwieriger als bei der Core Architektur von Intel und bei <1% Verbreitung entsprechender Hardware im für Spectre interessanten/kritischen Bereich, macht es weder für Forscher noch Hacker viel Sinn, irgendwelche Resourcen reinzustecken.
Nur ist es kein Schwachsinn, weil es annähernd unmöglich ist, das auf AMD hinzubekommen, es ist pure Theorie.
Fakt ist: Die AMDs sind sicher, die Intels nicht, Punkt.
Auch wenns dir noch so unangenehm ist.

@ StfanV @ HOT:

Ihr sagt (im Kern) nichts anderes als Birdman, nur die Bewertung ist eine andere.

Hast du irgendwelche Belege zu dieser Behauptung oder ist das nur das übliche Nebelkerzengewerfe?
Deine Ignoranz und Dummheit (ja, anders kann man das leider nicht sagen) ist manchmal echt zum Haareraufen....

While we believe it is difficult to exploit Variant 2 on AMD processors, we actively worked with our customers and partners to deploy the above described combination of operating system patches and microcode updates for AMD processors to further mitigate the risk

Beschreibt zu 100% exakt genau das was ich geschrieben hat.
Dass dein AMD Shareholder Gen hier wieder eine Anti-AMD Verschwörung riecht, ist echt nicht feierlich....

@HOT
Bitte geh mit deinen Pro-AMD Trollversuchen woanders hin, wir möchten hier eine technische Diskusion führen und das ist mit Leuten wir Dir unmöglich.

Dass Du Deine eigene Aussage innerhalb von 4h von nicht betroffen auf annähernd unmöglich ändern musst, sagt schon alles darüber aus wie viel Ahnung Du von der Materie hast und was deine Intentionen bei solchen Posts sind.
Du darfst ja gerne bei solchen Threads mitlesen, aber wenn Du ausser Beissreflexen nichts konstruktives beizutragen hast, lass doch einfach das sammeln von Forenposts sein...

Wie bereits geschrieben verwendet AMD den Terminus "difficult" in Bezug auf die bisher bekannten Spectrev2 Exploits und ist damit deutlich von deinem "annähernd unmöglich" weg.
Und da AMD wie jede andere Firma versucht die eigenen Produkte möglichst gut dastehen zu lassen (ist ja auch legitim), ist man tendenziell eben eher noch einfacher verwundbar als es der Ausdruck "difficult" beschreibt.

Beschreibt zu 100% exakt genau das was ich geschrieben hat.
Dass dein AMD Shareholder Gen hier wieder eine Anti-AMD Verschwörung riecht, ist echt nicht feierlich....
So wie du argumentierst scheint AMD genau so unsicher wie Intel, dem ist aber nicht so.

AMD sagt near zero risk und nun wird das Risiko "nur" weiter minimiert.

to deploy the above described combination of operating system patches and microcode updates for AMD processors to further mitigate the risk
Dabei geht es auch ledeglich um das grundsätzliche funktionieren von Spectre 2, dass du gezielt mit Spectre 2 auf AMD Daten abgreifen kannst, ist unmöglich und da besteht bei allen eigentlich Konsens.

AMD nutz auch den Terminus "near Zero risk" (https://www.google.de/search?q=amd+spectre+near+zero+risk&oq=amd+spectre+near+zero+risk&aqs=chrome..69i57.9230j0j7&client=ms-android-huawei&sourceid=chrome-mobile&ie=UTF-8) und das ist im Sprachgebrauch eben fast unmöglich.

Wir können uns darauf einigen, dass beide Parteien unrecht haben. Wie Screemer schon sagte, behauptet AMD es gäbe ein zwar nicht auszuschließendes Restrisiko was Spectre 2 betrifft, aber die Wahrscheinlichkeit, dass man die Lücke bei aktuellen AMD-Prozessoren ausnutzen kann ist sehr gering.

Dennoch hat hier AMD Patches und Updates entwickelt um sich rechtlich abzusichern, zumal ja schon ein paar Geier versuchen daraus Profit zu schlagen und mehrere Anklagen vorbereitet haben (und vor ein paar Wochen fast jeden Tag eine neue PM veröffentlicht haben in der sie verzweifelt nach "Geschädigten" gesucht haben).

Ich will gar nicht wissen wie viele Sicherheitslücken nicht gestopft werden, weil der Aufwand der betrieben werden müsste es nicht rechtfertigt. Ein potentieller exploit muss es ja auch aus der "Labor-Umgebung" heraus schaffen. Und hier scheitert man doch recht oft. Deshalb wendet man sich leichteren Opfern zu.

Das ist wie beim Fahrrad-Diebstahl. Theoretisch kann man jedes Schloss "öffnen" wenn man unbegrenzt Zeit und die entsprechende Ausrüstung hat. Stattdessen widmet man sich dem Schloss, das den geringsten Widerstand zeigt und knackt nicht ein Schloss sondern unzählige.:freak:

Intel hat hier das deutlich leichtere Einfallstor, deswegen hat man die ganze Misere ja auch so lange geheim gehalten.

Intel hat aufgrund ihrer CPU-Architektur das große Problem, aber AMD ist hier ständig das Thema...

Mir ist immer noch nicht ganz klar, ob die Intels gegen die Ryzen 2000 immer mit "vollem Schutzstatus" getestet wurden und was genau nun endgültig die Auswirkungen der Patches bei Intel im Desktop und bei Servern sind.


Am 21. Mai gibts die Infos und erste Patches zu "Spectre-NG". https://www.hardwareluxx.de/index.php/news/hardware/prozessoren/46344-fehlende-patches-koordinierte-veroeffentlichung-zu-spectre-ng-verschoben.html

Ich seh das ganz genau so, das ist lächerlich. Sprecht über Intel, solange es Intel betrifft und über AMD, wenn es AMD betrifft. Es betrifft AMD eben nicht, als bitte.

Unicous
Nicht Fisch nicht Fleisch, natürlich kann man auch so weichspülen. Und nein, nur eine Partei hat unrecht. Ein Restrisiko gibt es schließlich bei jeder Maschine, wenn man so anfängt herumzuargumentieren führt das zu gar nichts. Man kann auch alles zu Tode relativieren.

Es geht hier eben darum, dass die Sicherheitslücken in Intel-CPUs wirklich nutzbar sind für einen Angriff/Malware (natürlich auch dank M$). In der Betrachtung hat AMD momentan nichts verloren, weil das eben auf AMD-CPUs derzeit nicht zutrifft. Natürlich kann jemand morgen eine kritische Lücke in AMD-CPUs finden, das ist aber faktisch einfach nicht der Fall. Wir müssen uns schon irgendwo an die Fakten halten. Und da ist AMD momentan als sicher zu betrachten und Intel eben nicht, so einfach ist das. Ein Restrisiko gibts natürlich immer, bei jeder CPU. Aber diese Scheunentor-Löcher sind eben schlicht und ergreifend inakzeptabel.

Eine Lücke gibt es wenn ein PoC vorliegt und nicht vorher. Ob man nun vermutet irgendwann bestimmt einen PoC zu finden, kann kaum Relevanz haben in einer Beurteilung der derzeitigen Situation und Realität.

Also für den Serverbereich ist es auf jeden Fall ein Thema. Insbesondere für Storage. Wenn es stimmt, was ich so am Rande mitbekomme, dann weren Storage Server auch eher nicht gepatcht, weil man die Performanceeinbußen nicht hinnehmen kann/will und sich auf den Standpunkt zurückzieht, dass das ja normal geschlossene Systeme (Appliance) sind, auf die keiner drauf kommt...

Die Argumentation finde ich interessant, zeigt aber, das man den Ball bei AMD mal wirklich flach halten sollte. Denn bei Ihnen ist es weit weniger Schlimm im Vergleich zu Intel.

und sich auf den Standpunkt zurückzieht, dass das ja normal geschlossene Systeme (Appliance) sind, auf die keiner drauf kommt...


Die Argumentation bitte mal Oracle hinsichtlich ihrer Lizenzmetrik näher bringen...:biggrin:

Eigentlich müsste man Intel (sowie den OEMs) eine Frist zu Fixes setzen und bei Nichteinhaltung müssen die CPUs gegen gefixte Varianten getauscht werden. Ihr glaubt nicht wie schnell es dann Fixes auch für ältere CPUs geben würde.
Die Schwierigkeit ist ein Fix rauszubringen welcher so gut wie möglich keine Leistungsverluste bringt und dabei die Lücke nahezu schließt, eine 100% Sicherheit gibt es ja bekanntlich nicht.

Für die neuen Spectre Ableger hätte ich noch schöne Namen im Angebot: Blinky, Pinky, Inky & Clyde. ;)