News Downfall & Inception: Neue CPU-Schwachstellen gefährden Intel- und AMD-Systeme

[amorosa]

Verstehe ich das richtig,dass das Update dann per Windows-Update ausgeliefert wird ? Oder bereits wurde ?

LG

 

[AlPharazone]

Korrigiert mich bitte, sollte ich falsch liegen, aber nutzt Teams nicht ausgiebig AVX2 in den Calls, gerade bei eingeschaltetem Hintergrund?
Wäre echt ärgerlich wenn die Business Laptops da jetzt schlapp machen ...

 

[tomgit]

So relevant wie Android-Updates für den End-Anwender relevant sind. Einer kann mit Android 9 durch die Gegend laufen, weil er nebst WhatsApp und TikTok nichts macht, während der nächste mit v14 auf "virus.io/hitler-lebt" Links klickt, weil der Teaser große Brüste hatte.

Die Analogie kannst spätestens dann über den Haufen werfen, sobald die Injection von Malware über Werbung möglich ist. Dann kannst auch über "vertrauenswürdige" Webseiten Schadcode erhalten, weil die Werbeagentur jede Werbung durchwinkt, die genügend Geldscheine vorzeigt.
Und dann hat man wieder die Grundsatzdiskussion Adblock vs. Webseitenfinanzierung.
Solange Werbung Schadcode verteilen kann oder einen auf eine Webseite weiterleitet, welche Schadcode beinhaltet, kann es nicht sein, dass man für jede x-beliebige Webseite Abos braucht um wenigstens halbwegs sicher unterwegs zu sein.

Ergänzung (11. August 2023)

Korrigiert mich bitte, sollte ich falsch liegen, aber nutzt Teams nicht ausgiebig AVX2 in den Calls, gerade bei eingeschaltetem Hintergrund?

Nur der Hintergrund benötigt AVX2. Wie sehr sich das hier auf die Performance auswirkt, wird man sehen müssen.
Im Zweifel müsste auf andere Hardware-Acceleration mitigiert werden, oder auf andere Software zurückgegriffen um den Hintergrund auszutauschen (Nvidia Broadcast, OBS Virtual Webcam) oder zu blurren (CPUs mit NPUs, wie etwa Qualcomms 8cx Gen 3 (vielleicht auch früher) und AMDs Phoenix APUs)

 

[MalWiederIch]

Mal schauen, wie stark die Performanceeinbußen bei Zen4/Phoenix ausfallen… Wär schon ärgerlich wenn sich der 7840HS durch die Patches gegenüber einer aktuellen Intel-CPU als Fehlkauf herausstellen sollte.

Die Performanceeinbußen bei den betroffenen Intel-CPUs sind jedenfalls extrem. Und dummerweise sind die Lücken per Malware ausnutzbar… Die Patches abschalten wäre da schon etwas dämlich.

Sind die Einbußen bei AMD Zen 4 ähnlich extrem, würd ich die Patches, vorausgesetzt, sie lassen sich nur per physischem Zugriff ausnutzen, abschalten…

Bei AMD sieht es leider nicht besser aus, auch hier lassen sind die Sicherheitslücken per Malware ausnutzen, hier kommt ein AGESA Update, das ebenfalls zu verringerter Leistung in speziellen Szenarien führen wird:

AMD plant nach eigenen Angaben zum Schutz vor Inception neue AGESA-Versionen zu veröffentlichen. Einen Überblick dazu bietet der CPU-Hersteller in einem Security Bulletin. Dort erklärt das Unternehmen außerdem, dass sich die Angriffstechnik auch unter Einsatz einer Malware ausnutzen lasse – ein physischer Zugriff auf das Zielsystem ist also nicht erforderlich.

Zumindest bei Intel klingt das jetzt für Consumer recht irrelevant:

but at least AVX2/AVX-512 workloads without using the VGATHER* instructions (or not within any hot code paths) are not impaired and showing the same level of performance as with prior microcode revisions. However, there still are certainly some workloads like various AI software and some Intel oneAPI open-source components that do indeed carry very measurable overhead now as a result of the Downfall mitigations.

 

[ThirdLife]

Zumindest bei Intel klingt das jetzt für Consumer recht irrelevant:

Wobei das dann ja auch Games beeinflusst die AVX nutzen und das tun einige. AMD hat hier evtl. sogar unterm Strich zumindest im Desktop evtl. Glück das mit viel Cache zu mitigieren ?

Sehr schade das alles.

 

[MalWiederIch]

@ThirdLife Welche Spiele gibt es denn außer Uncharted, die AVX2 nutzen? Ich meine gelesen zu haben das wäre das erste Spiel, das AVX2 voraussetzt.

AVX nutzen einige für Anticheat etc., aber das ist ja nicht betroffen:

Intel selbst hatte für den Einsatz der Befehlssatzerweiterungen AVX2 und AVX-512, die beide den für Downfall verantwortlichen Gather-Befehl nutzen, nach Installation der bereitgestellten Microcode-Updates einen Leistungsverlust von bis zu 50 Prozent prognostiziert.

 

[Hito360]

11bis39% bei Avx nutzung. das waer dann doch ein klarer fall von alltagsnutzer sind auch betroffen. bisher hiess es jedoch im alltag fuer die masse kein unterschied bemerkbar....

 

[MalWiederIch]

11bis39% bei Avx nutzung. das waer dann doch ein klarer fall von alltagsnutzer sind auch betroffen. bisher hiess es jedoch im alltag fuer die masse kein unterschied bemerkbar....

Richtig lesen - nur bei AVX-2 und AVX-512, die zumindest in Spielen so gut wie nicht genutzt werden. Lediglich Uncharted ist mir bekannt und das soll wohl das erste gewesen sein, das AVX-2 genutzt hat.

Oder was genau stellst du dir unter dem Alltagsnutzer vor? Der nutzt vielleicht AVX, aber nicht -2 oder -512.

 

[HaRdWar§FreSseR]

Jeder, der mein Raptor angreift, ist lebensmüde, so genug gelacht zurück zum Thema.

Als ich das hier gelesen habe: Ein 16 Zeichen langes Passwort lasse sich damit innerhalb von einer halben Sekunde auslesen, für einen RSA-Schlüssel benötige ein Angreifer rund 6,5 Sekunden.
Habe ich natürlich sofort reagiert und mir ein 17 Zeichen langes. Passwort erstellt die Hacker aus Nigeria soll etwas schwitzen.

Downfall ist echt gefährlich, da es einem vorgaukelt, ein ganz normaler Befehlssatz zu sein.
Bei der AMD variante kann man schneller reagieren, da ein Eingriff sich mit einer PC last bemerkbar macht.
Also, ein ganz normaler Virus, kennen wir schon seit dem Athlon/ Pentium Zeitalter.

Intel-Prozessoren, die unbeabsichtigt interne Hardwareregister für Software offenlegen“.
Bei dem Satz musste ich laut lachen, ja nee ist klar der Code, der von menschengeschrieben wird, hat ein Bewusstsein entwickelt und handeln von selbst.

 

[Pleasedontkill]

Dann solltest du das lesen nochmal wiederholen: https://security.googleblog.com/2021/03/a-spectre-proof-of-concept-for-spectre.html

Super.
Der Typ in dem Video (von deinem Link) hat doch Zugriff auf dem Rechner?

Kennst du Wiki?: https://en.m.wikipedia.org/wiki/Spectre_(security_vulnerability)

Mir gefällt folgendes:
Nonetheless, according to Dell: "No 'real-world' exploits of these vulnerabilities [i.e., Meltdown and Spectre] have been reported to date [26 January 2018], though researchers have produced proof-of-concepts."[24][25] Dell further recommended: "promptly adopting software updates, avoiding unrecognized hyperlinks and websites, not downloading files or applications from unknown sources ...

Also, es ist von 2017 auf 2018 nie ein Fall aufgetaucht, in welchem diese extrem hypothetischen Lücken ausgenutzt wurde.
Empfohlen wird standard Sicherheitsvorkehrungen zu wahren.
Auch zu beachten, wahren/sind viele Chipdesignes davon betroffen, bis hin zu IBM und Apple M1.

Moll, das ändert meine Meinung.

Ergänzung (12. August 2023)

Von welcher Lücke redest du?

Meltdown und Spectre :
https://www.techrepublic.com/articl...ined-a-comprehensive-guide-for-professionals/

Das ist die beste Seite die ich finden konnte.
Da wird auch erwähnt, dass die Lücken im Zusammenhang mit Schadsoftware ihr Potential entfallten.
Performance-Einbussen, können Besitzer von HW vor 2015, also mein Haswell, erwarten.

 

[ThirdLife]

Welche Spiele gibt es denn außer Uncharted, die AVX2 nutzen? Ich meine gelesen zu haben das wäre das erste Spiel, das AVX2 voraussetzt.

Ich sagte nicht voraussetzen - ich sage unterstützen. Ein eventueller Performance-Boost geht so halt verloren in Games die es nutzen. Spontan fällt mir da Baldurs Gate 3, TLOU, FIFA 23, Warframe, Horizon Zero Dawn ein. Atomic Heart auch noch. BG3 setzt es glaub sogar in den System Reqs voraus - also nichtmal optional.

Gibt noch viele mehr. Ist ja auch eigentlich alte Technik die fast zehn Jahre ist und in jeder CPU seit 2014 eigentlich enthalten.

 

[MalWiederIch]

Ich sagte nicht voraussetzen - ich sage unterstützen. Ein eventueller Performance-Boost geht so halt verloren in Games die es nutzen. Spontan fällt mir da Baldurs Gate 3, TLOU, FIFA 23, Warframe, Horizon Zero Dawn ein. Atomic Heart auch noch. BG3 setzt es glaub sogar in den System Reqs voraus - also nichtmal optional.

Gibt noch viele mehr. Ist ja auch eigentlich alte Technik die fast zehn Jahre ist und in jeder CPU seit 2014 eigentlich enthalten.

Bitte nochmal die News genau lesen, aber es ist ja auch schon spät bzw. noch früh - es gibt einen Unterschied zwischen AVX-2 und AVX …
Nur letzteres wird in den von dir genannten Spielen vorausgesetzt.
Bei AVX gibt es jedoch keinen Leistungsverlust, nur bei AVX-2 bzw. AVX-512 - die aber in so gut wie keinen Spiel verwendet werden, mir ist wie gesagt nur Uncharted bekannt.

Somit für Spiele recht irrelevant.

 

[DavidG]

Die neuen Intel-CPUs sind sicher, während Zen 4 betroffen ist. Damit dürfte Ryzen in aktueller Generation schlussendlich deutlich langsam als Core sein.

 

[Miuwa]

Meltdown und Spectre :
https://www.techrepublic.com/articl...ined-a-comprehensive-guide-for-professionals/

Und wo steht, der Angreifer bräuchte physischen Zugriff um diese Lücken auszunutzen?

 

[BloodReaver87]

Verstehe ich das richtig,dass das Update dann per Windows-Update ausgeliefert wird ? Oder bereits wurde ?

LG

würde ich auch gerne wissen, danke!

 

[Miuwa]

11bis39% bei Avx nutzung. das waer dann doch ein klarer fall von alltagsnutzer sind auch betroffen.

Es geht konkret um die AVX2/512 Gather Instruktion. Nicht um generelle AVX Nutzung.

 

[mae]

AUA! 50%! Krass... Das ist ja schlimmer als bei Meltdown und co.

Naja, 50% auf einzelne Benchmarks. Allgemein erwarte ich nicht, dass die Gather-Befehle viel genutzt werden; es ist besser, die Daten oder Berechnungen so zu arrangieren, dass man sie nicht braucht, wenn moeglich. Abgesehen davon, dass AVX2 und AVX-512 sowieso nicht viel genutzt werden. Wer meint, dass Alder/Raptor Lake eine tolle Wahl sind, weil sie keinen Leistungsverlust auf code haben, der die gather-Befehle verwendet, sollte daran denken, dass Alder/Raptor Lake gar kein AVX-512 unterstuetzen, dass also Software, die von AVX-512 profitiert, auf diesen Prozessoren ohnehin einen Leistungsverlust hat.

Was den moeglichen Leistungsverlust von Zen-Zen4-Prozessoren durch Inception-Mitigations betrifft, sollten wir wohl auch entsprechende Benchmarks warten.

Und ist es jetzt schlimmer als Meltdown und co? Bezueglich Meltdown kann ich mich an eine Meldung erinnern, dass die Mitigations auf einem Game-Server die CPU-Last um 50% erhoeht haben. Bezueglich Spectre V2 kann man in #84 ein Beispiel nachlesen, wo Spectre-Mitigations einen Faktor 2-9 kosten.

 

[Hito360]

Es geht konkret um die AVX2/512 Gather Instruktion. Nicht um generelle AVX Nutzung.

Haarspalterei - rendern Videos langsamer? wenn ja, um wieviel? 3-5% ist fuer 0815 kein Beinbruch

 

[tomgit]

Also, es ist von 2017 auf 2018 nie ein Fall aufgetaucht, in welchem diese extrem hypothetischen Lücken ausgenutzt wurde.
Empfohlen wird standard Sicherheitsvorkehrungen zu wahren.

Du willst gerade wirklich als Argument für deine Position verkaufen, dass es keine real-world Ausnutzung einer Sicherheitslücke zwischen den Jahren 2017 und 2018 gab, welche 2017 entdeckt und 2018 publiziert wurde?
Anhand einer Nachricht im Januar 2018?
Nachdem die Lücke 2018 veröffentlicht wurde?
Das ist dein Argument?
Dass deine These stützen soll?
Und zu dem es seither lokale und online PoC gibt? Selbst in deinem tollen Wiki-Artikel wird explizit darauf hingewiesen, und bereits im Januar 2018 hat Mozilla bestätigt, dass die Javascript-Injection ausreicht, um Spectre auszunutzen: https://www.bleepingcomputer.com/ne...tion-vector-for-meltdown-and-spectre-attacks/
Bist du dir da wirklich 100% sicher, dass du auf all das deine Position stützen magst, es wäre unnütz?

 

[Snoop7676]

weil kaum noch jemand solche betagte Hardware im Einsatz hat

Bei uns in der Firma läuft noch eine Maschine mit dem AMD K6.
Und die ist noch täglich im Einsatz.