News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

nudelaug

Lt. Junior Grade
Dabei seit
Okt. 2007
Beiträge
370
#61
News um und über Intel lesen sich in letzter Zeit nicht gerade positiv. Was ist da los?
die fäule kommt halt langsam an die oberfläche. es gab schon in der vergangenheit beiträge die in diese richtung gingen aber irgendwie auch ganz schnell wieder verschwanden. für mich persönlich hat sich intel in den letzten monaten zu einem der unsympathischsten und - ja auch - gefährlichsten playern entwickelt. man hat ja auch seitens intel kürzlich getönt, dass man in zukunft weitaus aggressiver mitmischen möchte (markttechnisch, big-data, etc. pp.).

im großen und ganzen wird aber auch dieses "malheur" untergehen. nicht zuletzt auch dank "schnelllebiger" medien und unmündiger user.
 
Dabei seit
Sep. 2004
Beiträge
2.710
#62
warum sind AMDs nicht betroffen, wo doch die jahrzehnte lang zugrunde liegende Architektur dieselbe ist?
Naja, sie ist eben nicht die selbe, nicht mal die gleiche. Sie verwenden natürlich beide den x86 Befehlssatz aber dieses Problem hat eher mit der Implementierung bestimmter Strukturen zu tun, bei der natürlich jeder Hersteller seinen eigenen Werg geht, sonst wären taktnormiert ja alle CPUs gleich schnell. Intel geht wohl mit dem TLB anders um als AMD.

AMD sagt dazu:
The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault.
Möglicherweise haben sie einfach genauer gearbeitet was die Security Layer angeht. Bisher ist es meines Wissens nur eine Aussage, ich weiss nicht ob es schon genau getestet wurde.
 
Dabei seit
Juni 2007
Beiträge
1.013
#63
Also ich bin grade verwirrt... einerseits heißt es, AMD CPUs seien nicht betroffen. Jetzt werden in Linux (und wohl auch in Windows) Patches bereitgestellt, die bei AMD die Performance im Extremfall um knapp 50% einbrechen lassen?! Ist das nur noch nicht fertig implementiert oder wird das jetzt nun doch ein Patch für ALLE CPUs nur weil Intel "zu dämlich zum CPUs bauen"* ist? :o

Regards, Bigfoot29

* Mir ist bewusst, dass auch AMD derzeit genug mit seinen Prozessoren zu kämpfen hat. Ryzen ist seit einem Jahr bei Systemherstellern und noch immer gibt es Probleme, dass ein Linux-System z.B. unvermittelt einfrieren kann, wenn man nicht alle Energiesparmaßnahmen abstellt. Ist mir selber in den letzten 3 Monaten 2x passiert. Vom "Compiling-Bug" bis zum AGESA-Fix will ich da noch nichtmal reden... :/
 

Roche

Lt. Commander
Dabei seit
Mai 2017
Beiträge
1.458
#64
News um und über Intel lesen sich in letzter Zeit nicht gerade positiv. Was ist da los?
Was soll schon groß los sein? Genau DAS (und ähnliches) passiert halt, wenn ein Unternehmen über Jahre ein quasi Monopol besitzt und sich nicht einen Meter anstrengen, innovativ sein oder aufpassen muss.
Hat doch so gut wie jeder den überteuerten Intel Kram gekauft. Was interessieren Intel da irgendwelche Hardware Bugs, ein nicht funktionierender 10nm Prozess oder sonstwas?

Man konnte den Kunden über Jahre hinweg irgendwelche 5-10% Leistungssteigerungen als völlig neue CPU Generation zu Wucherpreisen verhökern und hat Milliarden an Gewinn eingefahren.
 
Dabei seit
Dez. 2017
Beiträge
685
#65

iamunknown

Lt. Commander
Dabei seit
Feb. 2005
Beiträge
1.189
#66
Was interessieren Intel da irgendwelche Hardware Bugs, ein nicht funktionierender 10nm Prozess oder sonstwas?
Genauso wie alle Bugs: Erst wenn sie gefunden wurden kann an einer Lösung gearbeitet werden.

Wobei es ja angeblich zumindest in der Automotiv-Branche einen kleineren Konzern in Deutschland gibt, der das bei der Abgasnachbehandlung lange ignoriert hatte (was aber nie ein Bug war und damit wieder nicht vergleichbar).
 
Dabei seit
März 2006
Beiträge
3.803
#67
Weiß ich doch. Deswegen auch der Smilie. Die ironische Idee dahinter haben aber anscheinend einige User nicht erkannt. Wohl noch Kater von Silvester....

Wollte eigentlich damit nur den Leuten vorgreifen, die dann immer gleich nach "Sammelklage" schreien bevor eigentlich genau klar ist, welches Problem besteht und wie es gelöst werden kann. Und selbst wenn dem User ein Schaden entstanden sein sollte, ist der US Bürger eh wieder besser gestellt als wir hier in der EU. Da sollte man sich nichts vormachen. Denke die meisten (normalen) User werden noch nicht einmal die Lücke in der IME gepatcht haben weil Ihnen schlichtweg die Kenntnisse fehlen, ein BIOS upzudaten (sofern ein gepatchtes BIOS überhaupt verfügbar ist).
 
Dabei seit
Dez. 2007
Beiträge
981
#68
Laut Wiki ist ASLR sowieso nicht all zu sicher:

ASLR lässt sich durch sogenanntes Spraying umgehen. Dabei wird der Schadcode über hunderte Megabyte im Speicher dupliziert (großflächiges „Sprayen“). Dadurch steigt die Wahrscheinlichkeit, dass trotzdem (irgendwann) ein Bibliotheksaufruf Schadcode ausführt.
 
Dabei seit
Sep. 2004
Beiträge
2.710
#69
Weiß ich doch. Deswegen auch der Smilie. Die ironische Idee dahinter haben aber anscheinend einige User nicht erkannt. Wohl noch Kater von Silvester....
Nein, Kater ist es bei mir nicht, ich habe nur meine Ironieerkennung zurückgefahren, weil sie leider immer weniger Menschen erkennen und korrekt anwenden, dafür aber ultraschnell im Enrage Modus sind. Und bevor ein ganzes Heer mit Fackeln und Mistgabeln loszieht um Unschuldige aufgrund eines Witzes aufzuknüpfen, stelle ich Dinge mittlerweile lieber einmal zu viel als einmal zu wenig richtig ;) Aber ich entschuldige mich trotzdem bei Dir, daß ich Dir Unwissenheit unterstellt habe :)

Stimmt (es ist eher "besser als nix"), aber der Bug betrifft nicht nur ASLR meines Wissens, dort fällt er nur als erstes auf. Ohne ALSR oder mit einer sichereren Implementierung ist trotzdem nicht gesagt, daß dann Ruhe wäre.
 
Zuletzt bearbeitet:

Herdware

Fleet Admiral
Dabei seit
Okt. 2011
Beiträge
12.472
#71
Also ich bin grade verwirrt... einerseits heißt es, AMD CPUs seien nicht betroffen. Jetzt werden in Linux (und wohl auch in Windows) Patches bereitgestellt, die bei AMD die Performance im Extremfall um knapp 50% einbrechen lassen?!
Ich habe das so verstanden, dass jemand den Patch auf einer AMD-CPU ausprobiert und den Performance-Unterschied gemessen hat. Vielleicht weil er grade nur diesen AMD-Rechner dafür zur Verfügung hatte.
Das müsste dann nicht heißen, dass man den Performance-fressendenen Patch auf AMD-Systemen auch installieren muss. Den braucht man dann (hoffentlich) nur bei Intel. (Er läuft aber natürlich auch mit AMD.)

Ich hoffe, AMD hat vorher ganz genau überprüft, dass all ihre CPUs auch wirklich nicht von dieser Sichereitslücke betroffen sind. Intel hätte das vor dem Bekanntwerden bestimmt auch voller Überzeugung gesagt. Schließlich ist ja eigentlich extra vorgesehen, dass man nicht auf diese Weise auf Kernel-Speicherbereiche zugreifen kann, nur funktioniert die entsprechende Sicherheitsfunktion nicht wie sie eigentlich soll. Ein Blick in die theoretischen Sicherheitsfeatures reicht also nicht.

Naja. Mal sehn, wie schlimm diese Sache wird.
Ich habe sowieso immer mehr das Gefühl, dass letztlich alle Computer (PCs aber auch Smartphones, Router, Smart-TVs usw. usw.) immer von unzähligen, schwersten Sicherheitslücken betroffen sind und auch nur ansatzweise Sicherheit nur eine Illusion ist.
Man ist genau so lange sicher, bis ein fähiger Hacker/Bot/Schädling es auf das Gerät abgesehen hat.
Man muss also alle Geräte, die irgendwie online sind, als grundsätzlich kompromitiert ansehen und alle darauf befindlichen oder darüber zugänglichen Daten als Freiwild für alle die sich dafür interessieren.
 
Dabei seit
Juli 2016
Beiträge
2.186
#72
Ja da wäre ich mal gespannt auf der Leistungsverlust von Intel CPUS im vergleich zum AMD Ryzen gespannt.

Hoffentlich testet dass CB sobald da von Win und Linux was verfügbar ist, denn ich glaube dass würde viele interessieren hier auf CB.
 
Dabei seit
Feb. 2007
Beiträge
745
#73
63% Leistungsverlust auf einem Skylake i7-6700!

No older systems here to test, but just to get a sense of how much PCID helps the PTI performance hit on post-Westmere (in our experience with UDEREF and using PCID since 2013, it about halved it): 63% hit on the same Skylake i7-6700 w/ the du -s benchmark and nopcid/noinvpcid
AMD kann dann wieder die Performancespitze übernehmen.
 

Steini1990

Lt. Commander
Dabei seit
Okt. 2011
Beiträge
1.775
#74
Wenn das wirklich so einen massiven Einfluss auf die Leistung hat dann kann das Intel speziell am Servermarkt das Genick brechen. Denn genau da ist ja der Bug am Relevantesten.
Geschieht diesem verschlafenen Konzern aber recht. Das kommt davon wenn man über 10 Jahre das gleiche Produkt aufgewärmt verkauft.
 
Dabei seit
Sep. 2004
Beiträge
2.710
#75
Ich habe sowieso immer mehr das Gefühl, dass letztlich alle Computer (PCs aber auch Smartphones, Router, Smart-TVs usw. usw.) immer von unzähligen, schwersten Sicherheitslücken betroffen sind und auch nur ansatzweise Sicherheit nur eine Illusion ist.
Man ist genau so lange sicher, bis ein fähiger Hacker/Bot/Schädling es auf das Gerät abgesehen hat.
Man muss also alle Geräte, die irgendwie online sind, als grundsätzlich kompromitiert ansehen und alle darauf befindlichen oder darüber zugänglichen Daten als Freiwild für alle die sich dafür interessieren.
Sehe ich ähnlich. Daher wird mir z.B. auch das Smart-Home Konzept zunehmend suspekter. Bei Heizungen und Licht käme ich noch halbwegs klar, aber wie man Türschlösser und Zugangskontrolle ans Internet anbinden kann ist mir rätselhaft, schließlich zählt die Wohnung zum persönlichen Sicherheitsbereich wie Angaben über Traumatisierungen nach Einbrüchen immer wieder zeigen. Trotzdem scheinen für immer mehr Menschen die vermeintlichen Vorteile diese Nachteile zu überwiegen bzw. die NAchteile werden gleich ausgeblendet oder schöngeredet. Und viele dieser Smart-Home Module sind zudem noch von Features her gedacht und und nicht von Sicherheit her, wie ebenfalls Beispiele über Hacks, verbuggte Firmware und dDoS anfällige Sicherheitskameras zeigen.

Für mich reicht es jedenfalls nicht mehr sich ausschließlich darauf zu verlassen das es schon einen anderen treffen wird oder sich niemand für das eigene System interessiert. Ich betrachte alle meine extern erreichbaren Systeme als grundsätzlich kompromitiert und kümmere mich sehr aktiv um bestmögliche Sicherheit sowie kritischer Bewerterung dessen was zwingend von außen erreichbar sein muss um für mich von Nutzen zu sein. Der Rest fällt dann unter akzeptiertes Restrisiko, 100%ige Sicherheit gibt es eh nicht und auch ich kann ohne manche Funktionen zugegebenermaßen nur schwer leben.
 
Dabei seit
Sep. 2014
Beiträge
3.960
#76
63%? Glaube ich nicht dran. Die werden das irgendwie anders machen, oder bei Intel können sich viele gleich das Hirn wegblasen.
 

Hito360

Lieutenant
Dabei seit
Apr. 2017
Beiträge
703
#77
Ob hier nun die bereits vor Wochen bekanntgewordene ME-Lücke gemeint ist, wird nicht klar kommuniziert (oder ich bin zu schnell durchn Text?).
 
Dabei seit
Juli 2010
Beiträge
4.159
#78
Haha, ein klassischer Intel, mit dem Unterschied das es diesmal jemand bemerkt hat.
 
Dabei seit
Jan. 2008
Beiträge
4.617
#79
Gibts in Deutschland leider (noch) nicht.



Musste zugegebenermaßen Fefe erst mal googeln. Und auch danach wäre das für mich keinen Grund mich wieder hinzulegen. Diese Lücke ist ernst, eben weil das Aushebeln von ALSR nur der Anfang ist. Bin echt gespannt was jetzt kommt. Mal sehen, was das jetzt mit dem Aktienkurs von AMD macht :D
Ja scheint wohl echt etwas dramatischer als angenommen.
Aber dass du Fefe nicht kanntest find ich irgendwie lustig.
Ich empfehle den Fnord-Jahrsrückblick von Frank Rieger und Fefe.

Aber entweder gab es dieses Jahr keinen, oder der ist noch nicht online.
Der von 2016 war aber auch gut ;)
https://media.ccc.de/v/33c3-7960-fnord-jahresruckblick
 
Top