News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[xexex]

Wäre der Patch für die typische Dauer in der Insider Preview geblieben, was in der Regel wohl 4 Wochen sind, wäre dieser Fehler schon dort aufgefallen.

Wie ich bereits angemerkt habe, ist der Patch seit Dezember in der Insider Preview 17063 drin gewesen und die Probleme sind niemandem aufgefallen, also behaupte bitte keinen Unsinn. Microsoft durfte zu diesem Zeitpunkt nur noch nicht darüber sprechen.

One thing that isn't a known issue in build 17063 is the security flaw that was found recently in just about all chipsets and operating systems, now called Spectre and Meltdown. This was already fixed in the most recent builds, so Insiders were protected by the time it was announced.
https://www.neowin.net/news/microsoft-adds-six-known-issues-to-windows-10-build-17063

AMD hat fehlerhafte Dokumentation geliefert. Selbst wenn Abstürze aufgefallen sein sollten, haben die Entwickler vermutlich anhand der Dokumentation versucht nach Fehlern zu suchen, bis man letztlich festgestellt hat, dass die Dokumentation selbst fehlerhaft war.

Vielleicht hätte Microsoft sich mehr Zeit lassen sollen, was wäre dann hier wohl im Forum los? Die Ursache war aber (diesmal) nicht schlampige Arbeit von Microsoft, sondern schlampige Arbeit durch AMD.

 

[northly]

@Aldaric87
signed
Genau so sehe ich das nämlich auch

 

[kisser]

zu 1. Meltdown betrifft Intel seit Sandy (oder früher) und einige ARM- CPUs. AMD sehr wahrscheinlich nicht. Offizielle AMD statements (und auch für und mit AMD arbeitende IT'ler) behaupten AMD ist nicht betroffen der KPTI-Patch für Linux muss für AMD nicht "aktiviert" werden.
(es wird derzeit aber wohl dennoch gemacht....?)

Sicher ist sicher.
Siehe Kap. 6.4 der Doku zu Meltdown. Nur weil der dort beschriebene Angriff nicht funktioniert (auf ARM auch nicht, mittlerweile weiß man, dass einige ARM-Cores auch anfällig sein), heißt dass nicht, dass dies nicht ein anderer Angriffsvektor ermöglichen könnte.

We also tried to reproduce the Meltdown bug on several
ARM and AMD CPUs. However, we did not manage
to successfully leak kernel memory with the attack de-
scribed in Section 5, neither on ARM nor on AMD. The
reasons for this can be manifold. First of all, our im-
plementation might simply be too slow and a more opti-
mized version might succeed. For instance, a more shal-
low out-of-order execution pipeline could tip the race
condition towards against the data leakage. Similarly,
if the processor lacks certain features, e.g., no re-order
buffer, our current implementation might not be able to
leak data. However, for both ARM and AMD, the toy
example as described in Section 3 works reliably, indi-
cating that out-of-order execution generally occurs and
instructions past illegal memory accesses are also per-
formed.

Ergänzung (10. Januar 2018)

Das reduziert die Möglichkeit jeglicher Angriffe über Javascript, da ohne genaue Timer kein Sidechannel Angriff möglich ist.

Genaue Benchmarks vermutlich auch nicht.

 

[aldaric]

Vielleicht hätte Microsoft sich mehr Zeit lassen sollen. Was wäre dann hier wohl im Forum los? Die Ursache war aber (diesmal) nicht schlampige Arbeit von Microsoft, sondern schlampige Arbeit durch AMD.

Lass mal die Kirche im Dorf.

Die schlampige Arbeit war nicht von Microsoft sondern von Intel, die überhaupt erst diese Schnellschuss-Reaktionen ausgelöst haben durch ihren Meltdown-Fehler.

Lieber xexex, dann erklär doch mal warum so viele von Fehlern auf INTEL-System betroffen sind. Wow, die Preview war also im Dezember drin, und weiter ? Waren das 4 Wochen bis zum Release ? Nein.

Also halte weniger deine schützende Hand über Intel, und behaupte keinen Unsinn.

 

[xexex]

Die schlampige Arbeit war nicht von Microsoft sondern von Intel, die überhaupt erst diese Schnellschuss-Reaktionen ausgelöst haben durch ihren Meltdown-Fehler.

Du drehst dich mit deiner Argumentation im Kreis. AMD ist von Spectre ebenfalls betroffen und der Patch beinhaltet Änderungen am Kernel. Was davon AMD nicht schmeckt und zu Abstürzen führt ist mir nicht bekannt, die Ursache jedoch schon, inklusive der Bestätigung durch AMD.

Also was willst du uns erzählen? Das AMD sich irrt, die Welt schlecht ist und an allem nur Intel Schuld ist?

Lieber xexex, dann erklär doch mal warum so viele von Fehlern auf INTEL-System betroffen sind.

Microsoft hat Änderungen am Kernel durchgeführt. AV Hersteller haben bis heute nicht geschafft ihre Software an diese Änderungen anzupassen, andere Softwarehersteller vermutlich auch nicht. Da nützen auch keine Insiderversionen was, alles kann man nicht testen.

 

[cbtestarossa]

Ich komme nun wieder einmal zur Erkenntnis dass Javascript in der Form nichts in einem Browser zu suchen hat.
Und eine weitere Erkenntnis dass ein Browser isoliert gehört.

Da baut man in einer kritischen Software Dinge ein die auf Hardware Zugriff hat.
Das kann ja nur schief gehen oder?

 

[The_Void]

ich möchte euch mal was erzählen, über ARM und android im speziellen:

ich habe die pin bei meinem huawei smartphone eingegeben, aber das gerät sagte "falsche pin". ich gab sie ein zweites mal ein, und es ging. ab da passierten sehr merkwürdige dinge. daten wurden auf dem handy einfach gelöscht und weitere, solche dinge passierten, etwa kontakte gelöscht.

das ding ist, die PIN war richtig, aber der angreifer hat mir eine modifizierte version des sperrbildschirms geschickt. scheinbar geht das recht einfach. damit hatte er die PIN und vollzugriff.

ein hacker braucht weder meltdown, noch spectre, da gibts ganz andere möglichkeiten.

 

[aldaric]

Du drehst dich mit deiner Argumentation im Kreis. AMD ist von Spectre ebenfalls betroffen und der Patch beinhaltet Änderungen am Kernel. Was davon AMD nicht schmeckt und zu abstürzen führt ist mir nicht bekannt, die Ursache jedoch schon inklusive der Bestätigung durch AMD.

Also was willst du uns erzählen? Das AMD sich irrt, die Welt schlecht ist und an allem nur Intel Schuld ist?

Der Kernel beseitigt aber nicht den Fehler von der Spectre Variante, denn es mildert auch nur ab. AMD verteilt dagegen aber Microcode-Updates. Das Update wurde vor allem wegen der Dringlichkeit für Meltdown rausgedrückt. Wie man ja sieht brauchen ab Skylake die CPU's ja gegen Spectre trotzdem noch ein Microcode-Update, denn sonst sind die Gegenmaßnahmen ja teilweise nichtmal aktiv (wie hier im Thema zu lesen).

Deine Argumentation beruht darauf, dass keiner etwas negatives über Intel sagen darf, was bei dir ja nichts neues ist.

Klar hat AMD anscheinend ne fehlerhafte Dokumentation gesendet, ändert ja aber nichts daran das dieses Update noch nicht reif war für die Live-Systeme. Überall haben Leute, vor allem mit Intel Systemen mit Freezes / Bluescreens und Reboots zu kämpfen. Die Dringlichkeit war wegen Meltdown (Intel eigens geschaffenes Problem) aber so groß, dass ein Update welches offensichtlich nicht lange genug getestet wurde auf den Markt geschmissen worden ist.

 

[xexex]

Deine Argumentation beruht darauf, dass keiner etwas negatives über Intel sagen darf, was bei dir ja nichts neues ist.

Meine Aussage bezog sich einzig auf die Schuldfrage bezüglich Microsoft und AMD. Wie du dir da Intel dazu reimst, weiß ich nicht.

Nochmal für dich!

Microsoft hat am 03.01 einen Patch für Spectre und Meltdown veröffentlicht. Von Spectre ist AMD genauso betroffen. Auf älteren AMD Systemen hat dieser Patch aber wegen fehlerhafter Dokumentation seitens AMD zu Abstürzen geführt.

Nach deiner Meinung hätte Microsoft also AMD Systeme doch lieber gar nicht patchen sollen?

Die Dringlichkeit war wegen Meltdown (Intel eigens geschaffenes Problem) aber so groß, dass ein Update welches offensichtlich nicht lange genug getestet wurde auf den Markt geschmissen worden ist.

Das Update wurde früher veröffentlicht, weil einige angefangen haben zu plappern, als sie die vielen Änderungen im Linux Kernel sahen. Ist nun also Linux an all dem Schuld?

Die NDA für Meltdown sollte eigentlich bis 09.01 gelten. Spectre ist bis heute unter Linux nicht gepatcht. Insider Version von Windows hatte die Patches seit Dezember. AMD hätte genug Zeit gehabt ihre Systeme ausführlich mit der Insider Version zu testen, im Gegensatz zur Öffentlichkeit wussten die Verantwortlichen dort höchstwahrscheinlich von der Problematik.

 

[BmwM3Michi]

MSI Releases BIOS Updates To Address Recent Vulnerabilities

http://www.guru3d.com/news-story/msi-releases-bios-updates-to-address-recent-vulberabilities.html

 

[inge70]

so bei mir ist das Bios-Update für meine Hauptkiste (siehe Sig) da.

 

[aldaric]

Tja xexex,

du siehst halt nur die Problematik von AMD's Dokumentationsfehler und den Problemen mit älteren AMD CPU's, aber nicht das dieses Update auch auf Intel Systeme für große Probleme sorgt. Tellerrand und so, aber das du dich natürlich auf die AMD Problematik einschießt war zu erwarten.

Du kannst noch 100 mal schreiben, dass die Insider Preview im Dezember online war, aber wann im Dezember ?

Wie du so schön sagst, warum hat Intel denn nicht intern die Preview mit ihren CPU's getestet, warum gibt es dort so viele Probleme ?

Dort ist die Anzahl der betroffenen um ein vielfaches höher. Ich sehe das generelle Problem von zu frühen Updates, du siehst wie zu erwarten nur das Problem von AMD.

Intel kannte die Problematik seit Juni, warum müssen dann jetzt halbfertige Updates auf den Markt ? War MS frühzeitig eingeweiht ? Oder hat man das grade ein wenig verschlafen bei Intel, weil man CFL noch schnell auf den Markt werfen musste?

 

[DogsOfWar]

bringt das nun was mit dem vmware microcode update oder sollte ich lieber wieder auf das image von gestern früh(noch mit orginal Windows MCode) zurücksetzten und warten das MS was unternimmt?

 

[aldaric]

@dogsofwar:

Du musst nicht warten bis MS was unternimmt, du musst darauf hoffen zeitnahe ein Update für dein Bios zu kriegen. Wenn du das Windows Update hast + Bios (Microcode Update), dann solltest du abgesichert sein.

 

[The_Void]

so bei mir ist das Bios-Update für meine Hauptkiste (siehe Sig) da.

gratuliere, das ist ja super. für mein 970er kommt wohl nix mehr. habe ein ticket bei MSI eröffnet, mal sehen, ob wer antwortet.

bringt das nun was mit dem vmware microcode update oder sollte ich lieber wieder auf das image von gestern früh(noch mit orginal Windows MCode) zurücksetzten und warten das MS was unternimmt?

der microcode wird zu spät geladen, was die vmware lösung unfunktional macht.

 

[inge70]

@The_Void,

leider gibts für meinen Laptop Acer Aspire S3-391 mit Core i3 3217U und dem guten alten Acer Aspire Z5610 mit Core2Quad Q8299 nix biostechnisch. Da wird man wohl dann mit leben müssen. Microcode-Update mittels VMWare brachte ja nix. Zumal ich daovn ausgehe, das darin eh nur der alte Code drin steht.

Aber wurst. habs versucht und brachte nix. Muss meine Frau mit Leben bei ihrem Z5610

 

[BetA]

meltdown also works for data that is NOT in L1 cache (uncached data)..Says this Video

https://www.youtube.com/watch?v=6ViS_YOvmpg

oh, wow. reconstructing IMAGES via Meltdown..

https://www.youtube.com/watch?v=L1N1P2zxaZE

 

[DogsOfWar]

@Aldaric87: ok. werds trotzdem mal eben zurücksetzten. CB schreibt ja selber das es nix bringt. kann ja jederzeit neu patchen. wer weiss was noch kommt.

@The_Void: werd mit nemem z170 brett sicher auch von Asus sitzen gelassen..

@inge70: freut mich für dich!

 

[The_Void]

hat vielleicht wer ne anleitung, wie man ein bestehendes MSI BIOS mit aktuellem microcode ausstatten kann? sollte MSI mir nicht helfen, lege ich halt selber hand an. aber ich weiß nicht, wie. kann mir da wer helfen?

 

[BetA]

hat vielleicht wer ne anleitung, wie man ein bestehendes MSI BIOS mit aktuellem microcode ausstatten kann? sollte MSI mir nicht helfen, lege ich halt selber hand an. aber ich weiß nicht, wie. kann mir da wer helfen?

https://forums.guru3d.com/threads/w...pu-microcode-without-modding-the-bios.418806/


das sollte weiterhelfen


edit:
ooops, hab dich falsch verstanden, obwohl das auch geht haha..

ist aber nicht geeignet. MSI sollte da eine flash option haben?