CPU-Sicherheitslücken im Jahr 2019

[Grohli]

Hallo zusammen,

ich überlege derweil meinen PC umzubauen um meine Betagte i5 3570K CPU in den Ruhestand zu schicken. Nun habe ich im letzten Jahr immer wieder Artikel über Hardware-Sicherheitslücken (Spectre, Meltdown, Rowhammer, ...) gelesen die sich Schwachstellen in der spekulative Befehlsausführung zu Nutze machen. Hierbei scheint Intel im Fokus der Sicherheitsforscher. Wohl aber wegen des Prestiges bei den Veröffentlichungen, denn aufgrund von schlechtem Design. Oder unterscheidet sich AMD so massiv in diesem Bereich?

Hat hier jemand eine Ahnung oder Übersicht, welche CPU-Generationen davon betroffen sind - oder spielt es im Prinzip keine Rolle ob man einen Intel aus der 7er oder 9er Generation bzw. Ryzen 1, 2 oder demnächst 3 hat?

Auch ist es schwer die CPUs miteinander zu vergleichen, wenn man gar nicht weiß ob die Systeme nun entsprechend gepatcht wurden oder eben nicht.

Ich freue mich auf eure Antworten
grohli

 

[Stuntmp02]

AMD Ryzen Prozessoren sind bisher weitestgehend nicht betroffen, auch die Patches kosten dort praktisch keine Leistung. Es ist dort eher ein theoretisches Risiko ohne einen funktionierenden PoC. Bei Intel ist die Lücke zumindest in Labor-Bedingungen ausnutzbar und es sind mehr oder weniger alle Prozessoren sowohl von Meltdown, als auch von Spectre betroffen, deren Patches durchaus Leistung kosten. Die 9000er Serie von Intel hat wenigstens teilweise eine Verbesserung in Hardware, dennoch braucht man auch dort die Patches gegen Meltdown und Spectre nach wie vor.

Alle Benchmarks von Computerbase beinhalten bereits die Patches.

 

[benneq]

Bei Intel sind alle Generationen betroffen, auch dein Ivy Bridge i5 3570K. Für so alte CPUs bieten die Mainboard Hersteller oftmals nicht mal mehr Microcode Updates an, obwohl diese von Intel bereitgestellt werden.

Bei AMD sind im Prinzip auch alle CPUs betroffen, allerdings von deutlich weniger Lücken. Aber hier kann es natürlich auch sein, dass dort in Zukunft noch mehr bekannt wird und/oder dass es Lücken gibt, von denen wiederum Intel nicht betroffen ist. Wer weiß. Ich glaube, dass die Forscher sich bisher auf Intel konzentriert haben und dann geschaut haben, ob es dieselben Fehler auch bei AMD gibt - aber eben (noch?) nicht umgekehrt.

Bei Intel wird angeblich der Großteil der Lücken mit der nächsten Generation (Ice Lake - vermutlich diesen Sommer) behoben sein. Wobei es auch hier und da Gerüchte gibt, dass sich auch mit Ice Lake nichts an der aktuellen Situation ändern wird.

Ansonsten gibt's bei Intel natürlich noch die Intel Management Engine, mit haufenweise ungestopfter Löcher. AMD hat etwas ähnliches in ihren CPUs verbaut, aber da ist bisher (glaube ich) noch keine Schwachstelle bekannt.

Und es werden auch weiterhin im Monatsrythmus neue Lücken bzw. Schwachstellen bekannt. Vor ein paar Tagen erst diese:
https://www.heise.de/security/meldu...ationsleck-SPOILER-in-Intel-CPUs-4326566.html

 

[hroessler]

Die CPU Lücken sind sowas von overhyped geworden. Sie sind weitestgehend bedeutungslos, weil es zu viel Aufwand ist an zuwenige Datenkleckse zu kommen. Das Ausnutzen der nächsten Sicherheitslücke in z.B. einem Browser verspricht deutlich mehr (zusammenhängende) Daten mit deutlich geringerem Aufwand.

greetz
hroessler

 

[Piak]

@hroessler : da ist nichts overhyped.

Intel erkauft Leistung mit mangelnder Sicherheit. Man könnte es auch unlautere Geschäftsmethoden nennen. So wie Doping im Sport, oder einfach Betrug.

 

[Mr.Baba]

Der 7nm Zen2 wird wohl am 7.07 zu kaufen sein

Zen-2-Prozessoren werden Hardware-Anpassungen enthalten, die sie sicherer gegen Spectre-ähnliche Lücken machen sollen

und Meltdown betrifft glaub hauptsächlich Intel.

Denke mit den 10nm CPUs dürfte Intel das auch alles großteils gefixt haben Ende des Jahres.

Außerhalb von Server/VM's waren die meisten Lücken aber nicht Interessant (für den Normalen User), außer die Performanceverluste durch die verschiedenen Fixe.

 

[hroessler]

@Piak Es ist unschön, da bin ich schon bei dir, aber es jetzt nicht so, dass du da zielgerichtet massenweise an Daten abgreifen kannst. Wie bereits geschrieben ist das Ausnutzen der nächsten Browserlücke für den Angreifer deutlich einfacher und "effizienter".

greetz
hroessler

 

[0x8100]

Die CPU Lücken sind sowas von overhyped geworden. Sie sind weitestgehend bedeutungslos, weil es zu viel Aufwand ist an zuwenige Datenkleckse zu kommen. Das Ausnutzen der nächsten Sicherheitslücke in z.B. einem Browser verspricht deutlich mehr (zusammenhängende) Daten mit deutlich geringerem Aufwand.

selbst wenn man die security-bedeutung der lücken auf desktopsystemen außer acht läßt muss man die performanceeinbußen betrachten. denn kernel- und microcodeupdates werden sowohl auf linux als auch auf windows eingespielt. und je nach einsatzzweck kann das erhebliche auswirkungen haben, siehe z.b. https://www.phoronix.com/scan.php?page=article&item=linux50-spectre-meltdown&num=1

ob das auswirkungen aufs eigene nutzungsverhalten hat, muss jeder selbst entscheiden. btw: es gibt die nächste lücke -> https://www.phoronix.com/scan.php?page=news_item&px=Intel-SPOILER-Attack

 

[hroessler]

@0x8100 Ich habe mir wo es ging keine Patches eingespielt. Wie gesagt, ich glaube nicht wirklich daran, dass es sich für jemand lohnt hier groß anzusetzen...

greetz
hroessler

 

[Mr.Baba]

@0x8100 Ich habe mir wo es ging keine Patches eingespielt...

Hast du windows10 updates aktiv nicht eingespielt? Und auch deinem Board neue Biose enthalten? Bei einem OC 7900x halte ich die Performance Verluste für vertretbar.

 

[Stuntmp02]

@0x8100 und @hroessler

Man kann selbstverständlich trotz aktuellem BIOS und Windows Updates die performancefressenden Patches deaktivieren, zwei Registry-Keys und man hat wieder die original Leistung. Damit einhergend ist natürlich kein Schutz vor Meltdown und Spectre, das muss jeder mit seinem eigenem Gewissen ausmachen - bei meiner Frau und mir ists auf jeden Fall deaktiviert und wir haben beide die original Leistung von unseren CPUs und SSDs.

Spoiler: Anleitung zum Aktivieren oder Deaktivieren der Meltdown / Spectre Patches

1: Erstellt eine neue Textdatei und kopiert den nachfolgenden Code zum Deaktivieren oder Reaktivieren hinein
2: Ändert die Dateiendung der Textdatei von .txt zu .reg
3: Führt die Datei aus und lässt die Registry überschreiben.

1: Meltdown + Spectre Patches aktivieren (Standard unter Windows 10)
Meltdown-Fix: Aktiviert (Sicher)
Spectre-Fix: Aktiviert (Sicher)
Performance: Schlecht

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000000
"FeatureSettingsOverrideMask"=dword:00000003

2: Spectre Patch allein deaktivieren
Meltdown-Fix: Aktiviert (Sicher)
Spectre-Fix: Deaktiviert (Unsicher)
Performance: Mittel

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000001
"FeatureSettingsOverrideMask"=dword:00000003

3: Alle Patches deaktivieren
Meltdown-Fix: Deaktiviert (Unsicher)
Spectre-Fix: Deaktiviert (Unsicher)
Performance: Hoch

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000003
"FeatureSettingsOverrideMask"=dword:00000003

Die Änderungen durch die oben genannten Registry-Werte werden erst nach einem Neustart des Computers aktiv.

Spoiler: SpeculationControl Result

 

[Piak]

@hroessler : Ja ich bin da auch bei dir. Das Ausnutzen ist in der Tat (derzeit noch) relativ schwer. Wollte dir auch nicht an der Stelle widersprechen.

 

[hroessler]

Hast du windows10 updates aktiv nicht eingespielt? Und auch deinem Board neue Biose enthalten? Bei einem OC 7900x halte ich die Performance Verluste für vertretbar.

Hallo,
das sehe ich nicht so! Ich habe meinen 7900x nicht geköpft und OC damit die Mehrleistung dann von Patches gefressen werden.

greetz
hroessler

 

[benneq]

Ja, du hast ihn geköpft und übertaktet, damit schlecht optimierte Software trotzdem noch halbwegs ordentlich läuft Als ob das jetzt so einen Unterschied machen würde. Irgendwem kann man immer die Schuld in die Schuhe schieben - wenn man nur will.

Und ich glaube nicht, dass Intel diese Lücken absichtlich übersehen hat, um Performance rauszuholen. Man sieht ja, dass diese Lücken in Hardware ohne Performanceverlust gestopft werden können. Da ist der Image Verlust durch die Lücken sicherlich deutlich größer, als die läppische paar Millionen, die man für die zusätzlichen Entwicklungskosten nun ausgeben muss.

 

[MK one]

Sicherheitslücken bei Intel und nur Intel... gutes Stichwort ...
https://winfuture.de/news,107711.html
Spoiler: Gegen diese Lücke in Intel-CPUs ist kein Patch gewachsen
Betroffen von dem Problem sollen im Grunde alle Intel-Prozessoren ab der ersten Generation von Intel Core sein. Die Schwachstelle kann dabei unabhängig vom eingesetzten Betriebssystem und sogar aus Sandboxes und virtuellen Maschinen heraus genutzt werden.

https://www.heise.de/security/meldu...ationsleck-SPOILER-in-Intel-CPUs-4326566.html

im Grunde reicht bereits ein Klick im Internet auf einen Javascript Button aus .... ( aus der Javascript Sandbox heraus nutzbar ... ) und schwupps kann man Passwörter oder Verschlüsselungskeys auslesen , na super ...
https://arxiv.org/pdf/1903.00446.pdf
5 SPOILER from JavaScript
Microarchitectural attacks from JavaScript have a high impact as drive-by attacks in the browser can be accomplished without any privilege or physical proximity. In such attacks, colocation is automatically granted by the fact that the browser loads a website with malicious embedded JavaScript code.

Da wird Intel wohl ein bisschen dran zu schlucken haben ..... , wird wohl nicht einfach werden das Speichermanagment des IMC per Bios/ Agesa zu patchen .
Der alte Intel Trick mit den Finger auf andere zu zeigen funktioniert hier nicht ... , Intel only ...

https://www.zdnet.com/article/all-i...r-non-spectre-attack-dont-expect-a-quick-fix/

All Intel chips open to new Spoiler non-Spectre attack: Don't expect a quick fix