News Downfall & Inception: Neue CPU-Schwachstellen gefährden Intel- und AMD-Systeme

[tomgit]

Ich habe mal selber Benchmarks mit Cinebench R23 durchgeführt, aber meine Ergebnisse sind genauso fragwürdig, wie die von einem gewissen anderen User (😉, nicht böse nehmen).

Manchmal muss man provokant sein, um konstruktiv zu sein

Die Frage dürfte sein, wie Intel die Mitigationen integriert hat. Bei AMDs Ryzen 5000er Serie gab es ja auch Performance-Gewinne beim Deaktivieren von Spectre-Mitigationen: https://www.phoronix.com/news/AMD-Zen-4-Mitigations-Off#

 

[dec7]

Ich find das nicht so interessant, Meltdown und Spectre hab ich auch aus.

 

[Darkman.X]

Wer die Mitigationen deaktivieren möchte:

Ich hatte ja in #292 die Frage geäußert, ob man die Mitigationen für Meltdown & Spectre und die hier für Downfall kombinieren kann.

Zur Erinnerung:
Für Meltdown & Spectre musste man in der Registry im Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management die Einträge FeatureSettingsOverride und FeatureSettingsOverrideMask mit dem Hex-Wert "0x00000003" setzen.

Für Downfall muss man den Eintrag FeatureSettingsOverride mit dem Hex-Wert "0x02000000" setzen.

Ich habe jetzt testweise die beiden Hex-Werte miteinander kombiniert -> "0x02000003" und bei den Reg-Einträgen FeatureSettingsOverride und FeatureSettingsOverrideMask den neuen Hex-Wert gesetzt. Es scheint zu funktionieren, denn zumindest die Powershell-Befehle zum Prüfen von Meltdown & Spectre zeigen an, dass deren Mitigationen deaktiviert sind.

Ich vermute, dass die Downfall-Mitigation damit auch deaktiviert ist. Aber es gibt wohl noch kein Powershell-Befehl zum Prüfen.

Basis meiner Vermutung: Die Hex-Werte werden als Bit-Masken ausgelesen. Und die Bit-Werte von den Hex-Werten "0x00000003" und "0x02000000" haben keine Überschneidungen / identischen Bits.
Für Windows ist nur wichtig, dass bei Meltdown & Spectre die Bits 0 & 1 auf "1" stehen.
Daher gehe ich davon aus, dass bei Downfall für Windows auch nur wichtig ist, dass Bit 26 auf "1" steht.

So kann nun jeder Betroffene selber entscheiden, ob er Sicherheit und einen Performanceverlust in unbekannter Höhe haben möchte oder nicht. Die Empfehlung geht natürlich klar in Richtung Sicherheit.

 

[andr_gin]

Also ich habe das so verstanden (bitte korrigieren wenn ich falsch liege):
.) Mit den neuen Microsoft Updates wird das Problem umgangen/abgeschwächt. Wieviel Performance das kostet wissen wir noch nicht.
.) Wenn man will kann man diese Umgehung auf Systemen ohne Hyper-V deaktivieren
.) Wenn Hyper-V aktiviert ist, dann ist diese Umgehung immer aktiv
.) Um das Problem zu lösen muss man selbst das Microcode Update einspielen (in Form von BIOS Updates). Ein Microcode Update über Windows wie bei Spectre/Meltdown wird es nicht geben.
.) Das Microcode Update wurde von Phoronix getestet und kostet bei AVX2/512 Applikation die erwähnten 10-20% Performance (manchmal mehr, manchmal weniger).
.) Bei Applikationen ohne AVX2/512 (oder nur sehr sporadischer) Nutzung gibt es keine messbaren Unterschiede

Dass die 12./13. Generation nicht davon betroffen ist wirkt etwas verdächtig. Ich will Intel hier nichts unterstellen aber es fühlt sich fast so an als hätte man von dem Problem schon länger gewusst und es bei der 12. Generation ausgebessert und solange die 11. Generation noch im Handel war brav verschwiegen. Und nun hat man einen schönen Vorwand die alten Generationen runter zu patchen, dass die Kunden sich bald wieder was Neues kaufen dürfen und wie schon bei Meltdown/Spectre zwingt man die Updates zwangsweise jedem Clientbetriebsystem auf auch wenn bei diesen gar keine praktische Gefahr ausgeht.

 

[MC´s]

Schutz geht für mich immer vor Leistung, gut das da gefixt wird. Merke da auf meinem Laptop keine großen Unterschiede, läuft alles wie vorher (Word, Excel usw.).

 

[Intruder]

...schön, dass meine CPU nicht betroffen ist, der Patch wird ja aber allem Anschein nach trotzdem installiert, auch wenn ich ihn nicht brauche. Die Frage ist, ob mein System erkennt, dass ich eine nicht betroffene CPU habe und die Entschärfung selbst deaktiviert oder ich selbst noch Hand anlegen muss.

wenn die CPU nicht betroffen ist, müsste dann nicht auch automatisch der Reg-Eintrag

FeatureSettingsOverride

schon vorhanden sein?
Oder gibt es einen Befehl, wo man das überprüfen kann ob die Entschärfung aktiviert/deaktiviert ist?

Ergänzung (24. August 2023)

hmm... wenn die letzten beiden Intel Generationen nicht betroffen sein sollen - hört sich ja erst mal gut an aber kann mir mal jemand verraten was mir die Liste von Intel beim Raptor Lake mir dann bei den Zellen mit den Einträgen "Software" - "Software + Hardware" - dann sagen soll? :
Haben die Raptor Lakes Sicherheitslücken oder keine?


haben die neuen CPU´s nun auch Sicherheitslücken die man schließen sollte, die automatisch geschlossen sind? Muss ich nun tätig werden oder passiert alles automatisch?

 

[Donnerkind]

Ich erwarte, dass es reicht, wenn Du den Linux-Kernel auf einen upgradest, der die neue Firmware enthaelt.

Firmware ≠ Microcode. Prozessor-Microcode ist ein separates Paket, das man unabhängig vom verwendeten Kernel installieren kann (aber nicht muss) und das gibt es sowohl für Intel wie AMD. Der Inhalt wird beim Booten vom Kernel geladen, damit dieser ihn in die CPU einspielen kann. Das geht nämlich nur früh im Boot-Prozess, nicht zur normalen Laufzeit. Und weil der Code flüchtig ist, muss das bei jedem Boot passieren.

Mit „Firmware“ ist i.d.R. das UEFI gemeint. Und wenn ich das mit diesem Satz:

Und Firmware Updates über Linux gibt es nur bei ThinkPads

kombiniere, kann man wohl neue UEFI-Versionen einspielen. Wusst ich noch nicht. Das geht dann vermutlich über fwupd, dem zentralen Tool zum Updaten von Firmwares in allen möglichen Komponenten, von Bluetooth-Mäusen bis SSDs.

(Mal davon abgesehen, dass es ein Sicherheitsrisiko darstellt, wenn man aus dem normalen OS heraus das UEFI updaten kann, denn dann ist es auch aus dem OS heraus durch Schadsoftware kompromittierbar.)

 

[AlphaKaninchen]

(Mal davon abgesehen, dass es ein Sicherheitsrisiko darstellt, wenn man aus dem normalen OS heraus das UEFI updaten kann, denn dann ist es auch aus dem OS heraus durch Schadsoftware kompromittierbar.)

Das ist ja grade mein Problem, bei den ThinkPads gibt ed Updates über fwupd, und ein ISO mit Updater, bei allen anderen nur eine exe für Windows... Ich finde das Flash Tool des AsRock Boards am besten, funktioniert unabhängig vom OS und ist auch noch einfacher. Danach kommt für mich Odroid, dort werden die Updates zusammen mit einem nsh Script ausgeliefert, welches man dann auf der EFI Shell startet, dann kommt ISO wie bei Samsung SSDs oder den ThinkPads, dann kommt fwupd und dann mit weitem Abstand die exe Dateien, als mMn schlechteste Variante.

PS: Bei guten Implementierungen hätte man mMn den Updater im UEFI und standardmäßig ist der Zugriff durchs OS gesperrt...

 

[DerNiemand]

wie kann man das für AMD deaktivieren? Für den unwahrscheinlichen Fall, dass ein Homeuser sowas trifft (da ist es wahrscheinlicher, dreimal auf der Flugzeugtoilette von einem Meteoriten getroffen zu werden, während man im Internet liest, dass man den Jackpot im Lotto gewonnen hat) sehe ich nicht ein da auch nur ein Quäntchen an Leistung einzubüßen, die ich bezahlt habe.

 

[TenDance]

Seh ich das richtig dass die Lücke (wie auch der Fix) nur AVX2/512 betrifft? Denn dann muss ich sagen: wüsste nicht dass meine Software das nutzt...

 

[_roman_]

Siehe PC Games Hardware und der geteilte Google Beitrag.

Ich habe es nur für die AMD durchgelesen.

Es wird etwas spekuliert berechnet, dann wird es verworfen. Scheinbar kann man das verworfene wieder herstellen und deshalb kann es "jeder" Process dann auslesen. Betrifft eine Instruktion von den besseren AVX Instruktion. Eine der beiden neue Instruktionen die mein jetziger Ryzen 7600X hat, aber der 5800X bzw. Ryzen 3 3100 nicht hatte.

Bei Gentoo kann man den Compiler parametrieren. Was ich oft mache. Windows hat man Pech gehabt.
Aber, das Proof of Concept wurde für Linux programmiert für die AMD Schwachstelle.

 

[DogsOfWar]

schon praktisch diese "Lücken" um neues Silizium an Security bewusste User abzusetzen

 

[LeckerRK]

Solange sich die Hersteller die Performance von CPUs durch entsprechend höhere Kaufpreise teuer bezahlen lassen, geht jeder Securityfix, der die Performance verschlechtert, rein auf Kosten des Verbrauchers.

Nicht gut!!

Vor allem regt mich diese Intransparenz extrem auf.

In den BIOS Updates steht immer nur, dass irgendwas mit Security gepatcht wurde. Bei Windows weiß man nicht, ab wann der Fix enthalten ist oder ob er schon ausgerollt wurde und vor allem kann man ihn nicht einfach deaktivieren.

Und dann fehlt weiterhin die Information, ob man mit dem Windows Fix + Bios Update eine bessere Performance erreicht, als mit dem Windows Fix alleine und wie viel Leistung es überhaupt in welchen Anwendungen kostet.

Alles viel zu schwammig und undurchsichtig.

Ich hoffe, dass dazu irgend wer aussagekräftige Benchmarks machen wird.


So kann man natürlich auch Obsoleszenz erzeugen. "Wir "forschen" mal schön rum und "huch" da ist ja ein Securityproblem, das gefixed werden muss. Das macht dann -5% Leistung. Was für ein Pech aber auch... Wie wärs mit ner neuen CPU, die das Problem nicht hat. Jetzt kaufen."

Mir ist schon bewusst, dass securityprobleme irgendwie gefixed werden müssen. Aber wenn wer weiß wie viele Probleme in aktuellen CPUs schlummern und man nur danach suchen muss, um sie zu finden, dann ist der Ansatz einfach uferlos und nicht zielführend.

Da muss man doch konzeptionell ansetzen können, um solche Probleme zu minimieren. Man geht ja hier wie immer davon aus, dass es schadcode aufs System schafft. Aber oberstes Ziel sollte es doch sein, dass Schadcode gar keine Möglichkeit hat, aufs System zu kommen, indem man die möglichen Einfalltore schließt und die kommen eben ausschließlich von Außen, sprich von Netzwerkebene. Denn ich kann so oder so nicht erwarten, dass ein system trotz aller securityfixes immun gegen schadcode ist. Das erreichen zu wollen wäre doch lächerlich oder nicht?

Aber gut, ich maße mir nicht an, wirklich etwas von security zu verstehen. Trotzdem bin ich mit der Situation und der Art und Weise wie damit umgegangen wird extrem unzufrieden.

Es gibt kein System was nicht gehackt werden kann auf der Erde das eine Internetverbindung hat.Was Inetl und AMD Ihre CPU`s angeht die durch Sicherheitslücken mit Fixes an Leistung teilweise über 50% verlieren könnten alle Welt weit Ihre CPU`s bei Intel und AMD umtauschen gegen CPU`s mit der selben Leistung vor den Sicherheitslücken,denn auf einer CPU steht die Leistung drauf die aber nicht mehr gegeben ist und damit wird die CPU Mangelware und die Leistung die sie bringen soll ist nicht mehr vorhanden so etwas nennt man Betrug denn es kauft sich niemand einen Porsche der einen Trabant Motor hat.Rechtlich würde das Intel und AMD in die Insolvenz treiben man kann ja Welt weit eine Massenklage einreichen.

 

[frazzlerunning]

So ohne Punkt und Komma in einer Wurst ist das etwas schwer für mich, deinen Kommentar zu verstehen.

die Leistung die sie bringen soll ist nicht mehr vorhanden so etwas nennt man Betrug

Wenn es Absicht wäre, wäre ich bei dir. Ich würde hier aber weder Intel, noch AMD, IBM, ARM, Qualcomm, Apple oder Samsung oder sonst einem CPU-Entwickler Absicht unterstellen.

Aber wenn du eine Idee für einen absolut sicheren Prozessor hast, der dann auch die Leistung bringt um hier Konkurenzfähig zu sein, würdest du ihn bitte Patentieren und mit den Lizenzkosten gut leben?

es kauft sich niemand einen Porsche der einen Trabant Motor hat.

Wieviele Leute haben sich nach dem (VW-)Diesel Abgas Skandal trotzdem ein solches Fahrzeug geholt? Ach, war ja egal, der Motor hat ja die Leistung gebracht, war ja nur nicht so sauber wie angegeben.

 

[dernettehans]

Finde die Art wie man unter Windows die Mitigations abstellt sehr unübersichtlich. Der selbe registry Eintrag FeatureSettingsOverride gilt ja für alle mitigations gleichzeitig. Zb auch für Spectre v1 v2 und Meltdown. Und wer weiß wie viele andere es da noch gibt.

Gibt es keine übersichtliche Seite wo alle Werte für FeatureSettingsOverride als auch FeatureSettingsOverrideMask angezeigt werden für alle Mitigations? Es gibt ja auch das Tool InSpectre, leider nur für Meltdown und Spectre, gibt es da ein up to date Tool welches alle Mitigations anzeigt und man alle einzeln an und aus schalten kann und es automatisch den richtigen Registry Eintrag setzt?

 

[Postman]

Gigabyte hat nun auch ein neues Bios F11 für mein Z790 AORUS MASTER mit dem Microcode Update für die 13. CPU Generation meines 13900KF herausgebracht:

1. Checksum : B8C3
2. Follow Intel to upgrade Microcode CPUID ver. 0x11D
3. Introduction of new BIOS user interface for user-centered intuitive UX with quick access function
   https://www.gigabyte.com/Press/News/2115

Vmtl. werden andere Boards noch folgen, zumal das Bios Layout visuell komplett anderes designt wurde.