Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSpectre: Intels zukünftige CPUs sind nur optional sicher
Was ist das Wesen der logischen Implikation? Aus Falschem folgt Beliebiges. Jede physikalische Theorie hat Rand- und Anfangsbedingungen, die gewählt werden müssen. Der verlinkte FAZ Artikel zeigt das sehr schön... und wenn du dir mal Seite zwei anschaust, dann siehst du, dass die gewählten Anfangsbedingungen meist unrealistisch sind: negative Masse, eine Wolke mit unendlicher Ausdehnung etc. Theoretische Überlegungen sind aber nur mit Theorie + Rand- und Anfangsbedingungen möglich. Ansonsten handelt es sich um bloße Phantasie, aber nicht um Physik.
Das so nebenbei, mehr werde ich dazu nicht sagen, außer du möchtest dich gerne per PM darüber austauschen.
@Hotstepper
Sorry, aber ich habe ebenso Kopfschmerzen bekommen... und die Beiträge von Kisser lese ich nicht.
Hat zwar mit Spectre und Meltdown nix zu tun.
Aber nutzen eine Firefox Sicherheitslücke von 2013...
Ja neeeee, isss klar.
Sonst noch irgendwelche Strohhalme zum Festhalten?
Apple hat heute in seiner ChangeLog plötzlich neue CVE genannt.
Entweder, Apple hat für die gleiche Lücke einen eigenen Eintrag erstellt (was ich nicht glaube, bzw. geht das eigentlich nicht ohne weiteres). Dann wäre weiterhin unlogisch, dass die Einträge 2018 erstellt wurden.
Apple wurde als Soft- und Hardware Vendor doch vorher informiert..? Dann sollten die Einträge 2017er sein.
Oder, nicht zu wünschen, es handelt sich bereits um neue Ableitungen von Spectre und Meltdown.
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Impact: An application may be able to read restricted memory
Description: A memory initialization issue was addressed through improved memory handling.
CVE-2018-4090: Jann Horn of Google Project Zero
Kernel
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Impact: An application may be able to read restricted memory
Description: A race condition was addressed through improved locking.
CVE-2018-4092: an anonymous researcher
Kernel
Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation
Impact: An application may be able to read restricted memory
Description: A validation issue was addressed with improved input sanitization.
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
Linus hat absolut Recht.
Wenn die wie ein Haufen Idioten agieren, darf man sie einen Haufen Idioten nennen.
Das ganze politisch korrekt in verbaler Watte zu verpacken, ist ineffizient und eine Seuche der Millenials.
Das war aber beim AMD Bulldozer auch nicht anders. Erweiterung von K10 war gesetzt.
@TheLastHotfix
Hast du Infos diesbezüglich und gibt's dafür einen Grund? Was machen denn nun die Board-Hersteller mit ihren neuen Microcode-BIOS? Oh man das nimmt noch Züge an hier.
Ich verstehe auch nicht ganz wie man eine Bezeichnung als "Idiot" als effizient einstufen kann. Andersherum: Was versteht man denn unter einem "Idiot"? Ich sage einfach mal, "Du bist ein Idiot", dann fragst du dich sicher: "Warum?" Liegt daran dass das Wort "Idiot" so präzise ist wie eine Streubombe. Und nur weil jemand mal EINEN Fehler gemacht hat, ist er noch kein Idiot, denn dann sind wir alle welche. Stattdessen stellt man erstmal Leute bloß und fördert nur noch mehr Trotzreaktionen.
Nichtsdestotrotz möchte ich das Handeln von INTEL nicht gutreden, aber diese Haltung nicht bei einzelnen Mitarbeitern begründen.
Linus ist ein Verbaler Idiot, so müsste er sich zumindest selbst nennen.. dieses rumgefluche ist so unreif wie die Leute die das verteidigen. Und nein, ich verteidige Intel nicht, aber diesen Wutheini Linus muss man für sowas nicht hypen
Kindergartenniveau ist es, Intels CPU-Designer mal eben als (Halb-)Idioten zu bezeichnen. Ich wette Linus selbst weiß das auch besser, denn er wird wohl einige der Intel-CPU-Entwickler von verschiedenen Gelegenheiten (Tagungen usw.) kennen. Ich gehe jede Wette ein, dass das keine Idioten sind, sondern zu den besten gehören, die es in der Branche gibt.
Ich bezweifle nicht, dass Linus Torvalds sich in vielen Bereichen auskennt. Er hat sicher auch eine Menge Ahnung von CPU-Design. Aber ich kann mir wirklich nicht vorstellen, dass gegenüber seinem strahlenden Genie die gesamte Designabteilung von Intel wie sabbernde Trottel dasteht und es wirft umgekehrt nicht gerade ein gutes Licht auf ihn selbst, wenn er versucht das so darzustellen.
Torvalds hätte die selbe Aussage leicht viel weniger kindisch formulieren können. Wenn es nicht ganz ohne Profanitäten geht z.B. so: "Das Design des Hardware Interface kommt mir idiotisch vor. (Nähere Begründung siehe unten.) Ich wüsste gerne was Intels Entwickler sich dabei gedacht haben."
Denn irgendwas anderes, als sich nur darauf zu konzentrieren weiter zu atmen, haben sich Intels unbestreitbar kompetente Designer garantiert dabei gedacht.
Ich bin sicher nicht dazu in der Lage, in den Kopf oder hier wohl besser in das Herz von Linus hineinzusehen.
Und dennoch wage ich anzunehmen, dass es Linus hier nicht primär darum geht, Intel und seine Entwickler de facto oder grundsätzlich als Idioten, auch in diesem speziellen Sicherheits/CPU-Design-Thema, hinzustellen.
Denn Linus geht es wohl eher darum, mehr oder möglichst viele Menschen, insbesondere auch CPU-Entwickler, zu sensibilisieren.
Leider ist es aber so, dass seit einiger Zeit das gemeine Volk nicht mehr an normal und allein sachlich formulierter Kritik Interesse zeigt.
Und hier hat dann Linus wohl abgewogen und sich für eine drastische Formulierung entschieden. Das ist aber nur meine kleine Meinung im speziellen hierzu.
Linus ist ein Verbaler Idiot, so müsste er sich zumindest selbst nennen.. dieses rumgefluche ist so unreif wie die Leute die das verteidigen. Und nein, ich verteidige Intel nicht, aber diesen Wutheini Linus muss man für sowas nicht hypen
Und ist es reifer seine Fehler nicht einzugestehen?
Ist es reif um den heißen Brei herumzulabern?
Manchmal ist es vollkommen okay einfach mal auf den Tisch zu hauen.
…
@TheLastHotfix
Hast du Infos diesbezüglich und gibt's dafür einen Grund? Was machen denn nun die Board-Hersteller mit ihren neuen Microcode-BIOS? Oh man das nimmt noch Züge an hier.
Offensichtlich weist Intel die letzten Tage und Stunden die OEMs an, die jeweiligen Mikrocode-Updates, welche die Spectre-fixes beinhalten sang- & klanglos zurück zu ziehen – und damit die Kunden im Regen stehen zu lassen. Intel rät aktuell ohnehin von der Nutzung der Fixes ab (via Heise).
Nach dem ausrollen der ersten Mikrocode-Updates, haben zuerst Haswell- und Broadwell-CPUs Symptome gezeigt, indem sie instabil wurden und sich mit einem Soft-Reset verabschiedeten (via Heise) (O-Ton Intel: 'older Broadwell and Haswell processors to reboot more often than normal') „öfter als normal neustarten“ können. Intel hat das Problem erkannt, sprach von CrashesHardware-Freezes „unerwarteten Neustarts“ (O-Ton Intel: 'unexpected reboots'), nur um wenige Stunden später einzuräumen, daß neben erst genannten nun ebenfalls auch Ivy Bridge-, Sandy Bridge-, Skylake- und selbst Kaby Lake-Prozessoren von einem Reboot-Fehler auf Hardware-Ebene betroffen sind (via Heise) unter Umstanden plötzlich zu einer höheren Neustart-Rate neigen könnten (O-Ton Intel: „may show a sudden change in reboot-frequency').
Möge der unser aller bekannter Crash in Frieden ruhen! Trotzdem heißen wir 'Unerwarteter Neustart' ('unexpected reboots'), 'Außerplanmäßiger Reboot' ('unscheduled reboot') und natürlich unser aller Favorit 'Abrupte Änderung der Reboot-Frequenz' (sudden change in rebooting-frequency') herzlich willkommen!
Cisco beispielsweise hat seit gestern sämtliche neue Firmware (3.2(2e) für ihr UCS-Equipment zurückgezogen, welche die Spectre-Fixes beinhalteten – und wurde angeblich dazu seitens Intel angehalten.
Oh oh … sind das bereits die kapitalen Skylake-Bugs, über die Keiner freiwillig redet?
Sun_set_1 schrieb:
Entweder, Apple hat für die gleiche Lücke einen eigenen Eintrag erstellt (was ich nicht glaube, bzw. geht das eigentlich nicht ohne weiteres). Dann wäre weiterhin unlogisch, dass die Einträge 2018 erstellt wurden.
Man kann (glaube ich!) nicht für ein und den selben Exploit mehrere CVE-IDs anmelden, da es schlicht dem Prinzip der einwandfreien Identifizierbarkeit einer Schwachstelle zuwiderläuft. Das ist ja gerade der Sinn der einzigartigen Normierung durch die National Vulnerability Database!
Sun_set_1 schrieb:
Apple wurde als Soft- und Hardware Vendor doch vorher informiert..? Dann sollten die Einträge 2017er sein.
Natürlich wurden sie informiert, deswegen konnten sie ja bereits letztes Jahr die Patches integrieren, ohne daß Jemand wußte, daß sie schon gegen Meltdown/Spectre schützen würden.
Sun_set_1 schrieb:
Oder, nicht zu wünschen, es handelt sich bereits um neue Ableitungen von Spectre und Meltdown.
Dann wären es ja trotzdem die Meltdown respektive Spectre CVEs, da ja glaube ichnicht die Wege des Ausnutzens (Exploit) einer Schwachstelle genormt ist, sondern die Schwachstelle an und für sich.
Ich denke, dabei handelt es sich um neuere Schwachstellen in der Art von und nach Spectre, da ja bei den CVEs bezüglich beispielsweise Meltdown steht: „Impact: An application may be able to read kernel memory (Meltdown)“.
Edit: Wie sagte Stiller noch so schön, mit Meltdown/Spectre habe man die berühmte Büchse der Pandora geöffnet … Nachtijal, ick hör dir trapsen! Tot/blanko. G+-Cache sagt Folgendes;
Skyfall and Solace
More vulnerabilities in modern computers.
Following the recent release of the Meltdown and Spectre vulnerabilities, CVE-2017-5175, CVE-2017-5753 and CVE-2017-5754, there has been considerable speculation as to whether all the issues described can be fully mitigated.
Skyfall and Solace are two speculative attacks based on the work highlighted by Meltdown and Spectre.
Full details are still under embargo and will be published soon when chip manufacturers and Operating System vendors have prepared patches.
Watch this space...
Die entsprechenden Fixes betreffen offensichtlich laut Apple allesamt a) den Kernel und b) sollen ein Lesen eines eigentlich geschützten Speicherbereichs verhindern; „Impact: An application may be able to read restricted memory“.
Kernel
Available for: macOS High Sierra 10.13.2
Impact: An application may be able to read restricted memory
Description: A memory initialization issue was addressed through improved memory handling.
CVE-2018-4090: Jann Horn of Google Project Zero
Kernel
Available for: macOS High Sierra 10.13.2
Impact: An application may be able to read restricted memory
Description: A race condition was addressed through improved locking.
CVE-2018-4092: an anonymous researcher
Kernel
Available for: macOS High Sierra 10.13.2
Impact: An application may be able to read restricted memory
Description: A validation issue was addressed with improved input sanitization.
CVE-2018-4093: Jann Horn of Google Project Zero
Interessante Einsichten, die da gefunden werden!
Sun_set_1 schrieb:
@smartcom
Du musst ein wenig spezifischer sein.
Theoretisch unternimmt jeder Körper, welcher sich bewegt, eine Zeitreise.
Zumindest im Vergleich zu dem beobachtendem, stillstehenden Element.
…
Es ging doch bei dem Beispiel Zeitreise (Zurück in die Zukunft) lediglich darum, den Unterschied zwischen 'zumindest theoretisch möglich', 'praktisch/faktisch wahrscheinlich' und 'in Realität umsetzbar' aufzuzeigen.
LOLinger78 schrieb:
Made my day
Wobei mir sehr missfällt, wie du hier mit den Intel-Fanboys umgehst.
Intel hatte doch schon lange bekannt gegeben, dass AMD auch betroffen ist !
Und jetzt kommst du mit solchen Details und Spitzfindigkeiten?
Ich bin ja eigentlich immer für konstruktive Kritik an meinen Beiträgen offen, aber trotz allen darf mir hier folgende Frage erlaubt sein; Hast Du überhaupt verstanden, in welchem Kontext ich diese Aussage getätigt habe?
Scheinbar nicht, denn dann würde sich Dein Beitrag nicht wie ein aus dem Zusammenhang gerissener Post lesen, der krampfhaft versucht etwas darzustellen, was ohnehin seit Wochen bekannt ist. In dem von Dir zitierten Teilbeitrag geht es weder um Intel, Fanboys oder gar Spitzfindigkeiten – sondern es ist ein versuchtes Aufzeigen und Eruierung von Wahrscheinlichkeiten.
… und im Übrigen interessiert Niemanden mehr, was oder ob Intel sagt, Wer von irgendetwas betroffen ist, da diese überaus schlechten Nebelkerzen der ersten Stunden und Tage seitens Intel nicht einmal als bitterbös-sarkastisches trollen durchgehen konnten, sondern schlicht allerfeinste Propaganda und Agitation waren, um AMD ebenfalls in den Schmutz zu ziehen, damit der Dreck doch ein wenig von ihnen abfallen möge.
Aber ich bin gar nicht nachtragend.
Wenn Du also irgendeine Spitzfindigkeit oder gar Unwahrheit in meiner Darlegung von mathematischen Statistiken oder Wahrscheinlichkeitstheorien ausfindig gemacht haben solltest, versuche ich gerne, Dir meine Sichtweise nahe zu bringen, die mich dies hat schreiben lassen – allerdings wüßte ich jetzt nicht, was an dem Erklären von Wahrscheinlichkeits- oder Unwahrscheinlichkeitsgrößen verwerflich sein sollte …
Alte CPU mit altem OS ist in der Tat ein Konstellation, wo man das schon mal merken kann.
Wenn´s stört kann man ja auf Win10 upgraden, da ist die Leistung selbst mit Patch höher als unter Windows 7 ohne Patch.
Welche CPUs sind denn nun betroffen? Alle mit OoO und speculative Execution, also seit K6?
rg88 schrieb:
Was interessiert dich als Privatanwender mehr, als dass die Probleme analysiert werden und zusammen mit den jeweiligen Softwareherstellern behoben werden, bzw. "nahezu null Risiko" in "null Risiko" gepatched wird?
Ich sehe derzeit nicht, dass AMD überhaupt aktiv etwas tut. DAS interessiert mich.
Intels Krisenmanagement mag alles andere als optimal sein, bei AMD weiß man nicht einmal, ob es so etwas dort gibt.
Ergänzung ()
TrueAzrael schrieb:
Wieso erwähnt jede Newsseite den aggressiven Post von Torvalds, vergisst aber zu erwähnen, dass er sich in Teilen einfach bei den Kürzeln vertan hat
Das ist ein berechtigte Frage!
Vermutlich hat man das Ende diese Mail-Dialogs gar nicht abgewartet, sondern ist gleiche auf das erste Losgebrülle von Torvalds angesprungen, weil man den ja anscheinend für unfehlbar hält.
Meine Frage ist:
Wenn Intel es seit Sommer 2017 bis jetzt nicht geschafft hat diese Sicherheitslücken per Microcode zu fixen, wie sollen die es denn in den nächsten 12 Monaten schaffen?
Das ändern des MC für CPUs ist alles andere als eine triviale Angelegenheit.
Der MC ist quasi das Steuerprogramm für die Einheiten in der CPU.
Jetzt kommt es immer mal wieder vor, dass unter ganz bestimmten Bedingungen bestimmte Befehlssequenzen nicht zum gewünschten Ergebnis führen.
Das komplett (für alle Fälle) zu testen ist völlig unmöglich. Andernfalls gäbe es ja keine fehlerhaften CPUs und man bräuchte diese MC-Updatemöglichkeit ja gar nicht.
Die meisten Fehler in CPUs fallen erst während des Betriebs auf, oft erst Jahre später, weil die Fehler extrem selten auftreten.
Viele Systeme laufen mit dem aktuellen MC-Patch ja fehlerfrei, andere eben nicht.
Also muss man da nochmal ran, Ursachenforscheung betreiben, Lösungsmöglichkeiten entwicklen, testen, etc.... das dauert eben.
/edit:
Das letzte MC-Update enthielt Updates für mehrere CPU-Generationen, man muss die Tests natürlich für all diese CPUs separat durchführen/validieren.
Ich sehe gerade, dass diese Updates zurückgezogen wurden.
Ergänzung ()
Sun_set_1 schrieb:
Ich verlinke mal auf meinen Post in einem anderen Thread.
Ich denke, wir sollte hier beim Thema bleiben und nicht noch sonstige Baustellen hier aufmachen.
Thema ist, wie Intel die Probleme derzeit angeht.
Und da ist nach wie meine Frage unbeantwortet, wieso CB von zukünftigen CPUs redet.
Ergänzung ()
dMopp schrieb:
Linus ist ein Verbaler Idiot, so müsste er sich zumindest selbst nennen.. dieses rumgefluche ist so unreif wie die Leute die das verteidigen.
„Ich war ein Freak. Ein Nerd. Ein Geek. Praktisch von klein auf. Ich habe meine Brille nicht mit Klebeband zusammengehalten, aber ich hätte es ebenso gut tun können, denn alle anderen Merkmale waren vorhanden. Gut in Mathe, gut in Physik, null soziale Kompetenz.“
Welche CPUs sind denn nun betroffen? Alle mit OoO und speculative Execution, also seit K6?
...
Ich sehe derzeit nicht, dass AMD überhaupt aktiv etwas tut. DAS interessiert mich.
Intels Krisenmanagement mag alles andere als optimal sein, bei AMD weiß man nicht einmal, ob es so etwas dort gibt.
Vielleicht sind die Ingenieure bei Intel nicht blöd. Aber dann haben die rein gar nichts zu sagen. Das was die dürfen, sind idiotische Vorgaben der Pseudo-Intelektuellen BWLer umsetzen.
Das ist überall so. Diejenigen, die die Ahnung haben werden immer überhört, wenn es dem BWL Schwachmaten im Weg steht.
"Wir sollten die Architektur den kommenden Umständen und bestehenden Veränderungen anpassen. Das kostet bis zu 30% Leistung, kann aber in 1-2 Jahren kompensiert werden, dafür wären wir dann auf Höhe der Zeit."
BWL: Das kostet uns ohne Not 20 Milliarden Dollar, NEIN!
Früher oder später, am besten früher sollten wir das Konzept überdenken, das ist eine Sackgasse, dessen Ende wir vor Jahren nicht sehen konnten.
BWL: Noch geht es doch, also bleibt es dabei. Für die Benchmarks bleibt alles beim Alten.
1. Also wenn man wirklich etwas von jemanden will, ist es schon saublöd, diesen als Idioten zu beschimpfen. Das macht jeden eher bockig als willig.
2. Gab es mal nicht den Spruch: "Linux is about choice"? Insofern finde ich so eine aktivieren/ deaktivieren-Option völlig korrekt. Ich kann bei Windows ja auch ein Update wieder deinstallieren. Und wenn der Patch sowieso nichts taugt ...
3. Habe ich das richtig verstanden, dass diese Sicherheitslücke unter nicht sehr wahrscheinlichen Umständen mit vieel Ausdauer evtl. einen Speicherbereich findet und ausliest, in dem was Interessantes drinsteht? Wenn es dem Angreifer gelingt, eine entsprechende Schadsoftware auf meinem Rechner zu installieren?
Also, wenn es einem gelingt, unbemerkt Schadsoftware zu installieren, gibt es dann nicht einfachere Wege, mir zu schaden als nach Zufallsmuster meinen Speicher durchzuscannen?
Für Privatuser heißt das doch: Virenscanner an und obacht, wo man so rumsurft. Business as usual?
@bernd:
1. du bringst da was gewaltig durcheinander: Intel will etwas von Torvalds und zwar, dass die Änderungen in den Kernel aufgenommen werden.
2. Warum soll man die Sicherheit und damit den Ruf des Linux-Kernels gefährden, durch einen halbgaren Workaround, der standardmäßig abgeschaltet ist, um eine höhere Leistung zu erreichen auf Kosten der Sicherheit anstatt das Problem einzugestehen und nach einer brauchbaren Lösung zu suchen? Genau das ist es nämlich, was Torvalds bemängelt.
3. Das ist ein Bug auf Hardwareebene. Lies dich doch einfach in die Problemantik ein, zB auf heise, dann verstehst du die Zusammenhänge vielleicht und stellst fest, dass die nicht wirklich durch einen Virenscanner oder sonstiges abgefangen werden kann. Das ist ein grundsätzlicher konzeptioneller Fehler
