News Downfall & Inception: Neue CPU-Schwachstellen gefährden Intel- und AMD-Systeme

[Miuwa]

Warum soll man kleine User auf´s Korn nehmen wenn man über große Konzerne bei fast selben Aufwand xxx.xxx.xxx mal so viele Daten von xxx.xxx.xxx Usern abgreifen kann anstelle nur 1 Datensatz.

Wieso gehst du überhaupt davon aus, dass irgendwer gezielt aufs Korn genommen wird? Gibt's natürlich auch (z.B. Industriespionage), Aber ganz viele Angriffe treffen schlicht jeden, der z.B. eine bestimmte kompromitierte Website oder Email Anhang öffnet - völlig egal wer das ist und ob derjenige Zuhause am privaten PC sitzt oder in der Firma am Arbeitsgerät.

Und nicht vergessen: Überleg mal, auf wie vielen online Diensten sich der Durchschnittsnutzer Tag täglich einloggt, die alle in irgendwelchen Rechenzentren gehostet werden. Dass es eine Firma trifft ist nur so lange ein Trost, solange es nicht deine Firma ist und sie auch keine Daten von dir hat.

 

[Ferax]

zwischen pest ( Schwachstelle) und Cholera ( merklichen Performance Einbußen ) entscheiden.

So macht IT doch echt Spaß //nicht

Da gibt es keine Frage im geschäftlichen Umfeld. Die stellst du dir nur privat weil du die Leistung fürs Zocken brauchst.

 

[Suspektan]

Nur wird man als Privatnutzer auch nicht gefragt und erhält das Update zwangsweise oder auch nicht.

 

[Der Puritaner]

Intel hat in extremen Fällen bis zu 50 % Leistungsstrafen gemeldet

Das wäre natürlich der Hammer, stell dir vor, dein PC hat nach einem BIOS Flash nur noch 50 % der vorherigen Leistung. Wirtschaftlicher Totalschaden nenne ich so etwas.

 

[_roman_]

Der Nachfolger von meiner Wegwerfcpu Ryzen 7600X wird hoffentlich die aktuelle Lücke geschlossen haben.

Die Frage ist auch, ist es ein Windows Problem?

Welche Software läuft unbefugt mit welchem Code?

Sollte es ein Browser Problem sein, dann ist es wieder das Thema, welche Webseiten besuche ich.

 

[tomgit]

Die Frage ist auch, ist es ein Windows Problem?

Es ist ein Plattform-Problem, also quasi egal, was du drauf laufen lässt.

Wirtschaftlicher Totalschaden nenne ich so etwas.

Die größten Auswirkungen hatte es, nach Phoronix, im OSPRay Benchmark - einer Raytracing-Lösung für CPUs. Die restlichen Tests waren nicht so gravierend, und auch bei Spectre und co waren die Mitigationen unterm Strich nicht übermäßig bemerkbar.

Nur wird man als Privatnutzer auch nicht gefragt und erhält das Update zwangsweise oder auch nicht.

Was für ein Aufschrei das wäre, wenn die Lücke nicht mitigiert werden würde. "NSA-Backdoor!", "Unfähigkeit!", etc.
Egal, wie es gemacht wird, es ist falsch

 

[andi_sco]

Was mich bei den Meldungen über Sicherheitslücken stört, ist, dass die Frage unbeantwortet bleibt, was es jetzt für mich als Endverbraucher bedeutet und wie hoch das Risiko überhaupt ist.

Kann wahrscheinlich kaum einer richtig abschätzen

Beim Pentium F00F-Bug war da ein Riesen-Bahoe, beim K6 hat das keinen interessiert.

Der K6 war auch nicht ansatzweise so stark verbreitet

Neues Bios kommt bei meinen AMD-Kisten auch nicht infrage, weil: "never change a running system."

Echt jetzt?

So kann man natürlich auch Obsoleszenz erzeugen. "Wir "forschen" mal schön rum und "huch" da ist ja ein Securityproblem, das gefixed werden muss.

Autsch

Da muss man doch konzeptionell ansetzen können, um solche Probleme zu minimieren.

Du, wir reden von Milliarden Transistoren und extrem aufwändigen CPUs. Irgendwo wird immer eine Schwachstelle sein. Und wenn es nach dem Motto "die wird so schnell keiner finden" geht...

 

[Suspektan]

Was für ein Aufschrei das wäre, wenn die Lücke nicht mitigiert werden würde. "NSA-Backdoor!", "Unfähigkeit!", etc.
Egal, wie es gemacht wird, es ist falsch

Nö, man könnte dem Nutzer ja das Update empfehlen und auf die Änderungen hinweisen ohne es ihm aufzuzwingen.

 

[_roman_]

Es ist ein Plattform-Problem, also quasi egal, was du drauf laufen lässt.

Eben nicht.

Ich denke wir reden von einem schlechten Silizium im Prozessor oder?
Dass war auch der Hinweis mit der Wegwerf CPU 7600X. Das Thema Sicherheitslücke Prozessor und Performance-Verlust wiederholt sich immer wieder. Ein Grund warum ich auch B550 / 5800X entsorgt habe auf dem elektronischen Müllberg

Oder ist der Chipsatz betroffen?

--

2tens

Windows lässt keine Eingriffe zu, speziell W11Pro. da läuft Zeug, das sich nicht einmal beenden laesst mittels Task Manager.

--

Ein FREEBSD wird sicherlicher um einen Faktor X sicherer sein als mein gnu gentoo linux vom Quellcode.
Beim Browser verwende ich den binärbrowser von google und firefox.

Das Einfalltor - Werbung im Browser - unktrolliert auf computerbase.de ist mir bewusst. Ich bezweilfle diese Seite kontrolliert den Werbe - Schadcode dauerhaft manuell.

 

[dernettehans]

Ich hoffe doch mal es wird einen Hebel geben die Mitigations zu deaktivieren. Es ist immer noch mein PC und ich entscheide, ob ich diese Mitigations will oder brauche. Auf einem reinen Gaming PC will ich die garantiert nicht haben. Es wird Zeit, dass CPU Pläne nicht mehr von Menschen sondern KI erzeugt werden, die solche Probleme per Simulation von vorne rein unwahrscheinlich machen.

 

[_roman_]

Dafür gibts ja die Abos.

Das garantiert dir auch keine Schadcode in Bilder / Text / Code usw.
Oder die Haftungsfrage unlimitiert durch Computerbase.de für diese Schäden.

Ergänzung (9. August 2023)

Ansonsten muss man vor dem Eingeben sicherheitsrelevanter Daten eben alle weiteren Tabs schließen oder gleich einen eigenen Browser für verwenden.

Das ist der Grund warum ich 2 Browser verwende in gnu gentoo linux.
War eh ein altes Thema. 1 Brower fürs Private und 1 Browser für das Geschäftliche

 

[dev/random]

Ich hoffe doch mal es wird einen Hebel geben die Mitigations zu deaktivieren.

Die AMD Inception Mitigations im Linux kernel kann man über den kernel parameter spec_rstack_overflow je nach Bedarf abschalten oder in mehreren Stufen aktivieren.
Für Intel Downfall gibt es glaube ich einen weiteren kernel parameter gather_data_sampling.

 

[tomgit]

Oder ist der Chipsatz betroffen?

CPU

Windows lässt keine Eingriffe zu, speziell W11Pro. da läuft Zeug, das sich nicht einmal beenden laesst mittels Task Manager.

Da gibt es außerhalb des Task Managers auch noch andere Möglichkeiten, allen voran natürlich die Registry.
Und selbst dann - würde ich mal frech behaupten - ist eine Standard-Windows-Einrichtung sicherer als eine laienhaft aufgebaute Arch-Installation anhand von alten Blog-Einträgen.

Ein FREEBSD

Man kann auch irgendwelche esotherischen OS laufen lassen, das wird sicherlich auch sicherer sein als eine Ubuntu- oder Windows-Installation von der Stange. Aber die Frage ist auch, warum man für esotherische OSs Schadsoftware schreiben möchte, wenn da vielleicht 3 Nutzer im Netz mit unterwegs sind.
Nicht um es zu sehr ins lächerliche ziehen zu wollen, und es gibt sicherlich auch Produktivumgebungen, die auf FreeBSD laufen, aber auch bei Schadsoftware muss ein ROI erzielt werden - sofern das nicht durch "for the lulz" abgedeckt werden kann.

wird sicherlicher um einen Faktor X sicherer sein als mein gnu gentoo linux vom Quellcode.
Beim Browser verwende ich den binärbrowser von google und firefox.

Und die laufen nicht Containerisiert?

Nö, man könnte dem Nutzer ja das Update empfehlen und auf die Änderungen hinweisen ohne es ihm aufzuzwingen.

Und dann verstehen es die Normalnutzer eh wieder nicht und im Internet werden irgendwelche Pseudo-Wahrheiten verbreitet, etc. Ist ja kein neues Thema, und ich würde von einem OS-Anbieter auch erwarten, dass er Lücken schließt. Wie sehr sich die Mitigation wirklich auf die Leistung auswirkt, muss man vermutlich eh erst noch sehen - oder hat man im Falle Intels vielleicht schon sehen können, wurde aber nicht bemerkt? Oder waren die Einbußen durch die Spectre-v2-Mitigation so gravierend? https://www.notebookcheck.net/Spect...hips-come-out-largely-unscathed.607925.0.html

 

[EinsteinXXL]

Das wird sicherlich die Sicherheitsbehörden freuen und auch der Staatstrojaner wird davon profitieren, gerade, wenn es um das Abgreifen von Passwörtern und Verchlüsselung geht.

 

[Pleasedontkill]

Was mich bei den Meldungen über Sicherheitslücken stört, ist, dass die Frage unbeantwortet bleibt, was es jetzt für mich als Endverbraucher bedeutet und wie hoch das Risiko überhaupt ist.

Die richtige Frage!
Weiter will ich wissen wie man den "Fix" von Meltdown und Spectre wieder rückgängig machen kann?

Ich brauche jede Performance die ich kriegen kann und keinen "Schutz" von etwas, von dem ich nie betroffen wäre.

Manchmal könnte man meinen, die Hersteller freuen sich auf das Runterstufen, schon verkaufter Produkte.

 

[dernettehans]

Das zeigt nun mal auch, dass in kritischen System von Behörden und Militär keine CPUs von Intel und AMD eingesetzt werden dürfen.

 

[andi_sco]

Es ist immer noch mein PC und ich entscheide, ob ich diese Mitigations will oder brauche

Ah ja. Am besten noch den Defender deaktivieren, weil den ja kein Mensch braucht.
Wenn dann aber etwas passiert, heulen wieder alle...

Ich brauche jede Performance die ich kriegen kann und keinen "Schutz" von etwas, von dem ich nie betroffen wäre.

Mein Gott, dieses höher, weiter schneller um jeden Preis 🙄

und Militär

Und du glaubst, das die IBM und ARM CPUs fehlerfrei sind?


Einerseits möchten einige die Sicherheitsfeatures deaktivieren andererseits gibt es einen riesen Aufschrei, wenn man mit Windows 7 oder einer 486 CPU online geht

 

[Vitec]

Sollen sich doch die E-Cores um die Sicherheit kümmern, haben diese wenigstens einen Nutzen .

 

[Muntermacher]

Vielleicht eine blöde Frage:
wenn nur 39 Bytes je Sekunde ausgelesen werden können, wie kann der Angreifsr,si herstellen, daß das PW in diesen ist, oder ist es eher Zufall?

 

[tomgit]

Ich brauche jede Performance die ich kriegen kann und keinen "Schutz" von etwas, von dem ich nie betroffen wäre.

Woher möchtest du wissen, dass du nicht davon betroffen sein könntest? Auch wenn das Return of Interest an Einzelpersonen niedriger ist, ist doch längst nicht ausgeschlossen, dass hier nicht auch Privatpersonen angegriffen werden könnten.
Wäre ja nicht das erste Mal, dass großflächig Hackingangriffe auf Privatpersonen durchgeführt werden. Phishing ist da so ein Beispiel. Und dann ist es ein weiterer Foren-Thread mit "Hilfe, bin gehacked worden".

Manchmal könnte man meinen, die Hersteller freuen sich auf das Runterstufen, schon verkaufter Produkte.

Genau, weil es ja nicht das Potenzial hat auch Auswirkungen auf die Folgegenerationen zu haben, und die Architektur teilweise komplett umgeschrieben werden müsste.
Nur mal so als Beispiel: Spectre wurde 2017 bekannt und hatte Auswirkungen auf sämtliche Skylake-Prozessoren. Erst mit Ice Lake konnte die von Intel breitflächig mitigiert werden, also 2019 auf mobilen Prozessoren, 2021 mit Rocketlake auf Desktops. Was soll Intel es denn bitte bringen, wenn sie genau wissen, dass sie in kurzer Zeit kein Ersatzprodukt liefern können?
Weniger Alu-Hüte bitte.

Das zeigt nun mal auch, dass in kritischen System von Behörden und Militär keine CPUs von Intel und AMD eingesetzt werden dürfen.

Und wie groß ist nochmal die Verteilung von ARM oder vielleicht anderen x86-Prozessoren in Produktivumgebungen, Workstations und Servern?
Achja, verschwindend gering bis nicht vorhanden. Warum sollte das dann analysiert werden? Das Interesse an Lücken bei Intel und AMD ist einfach weitaus größer und wird von den Herstellern ja teilweise gefördert.