Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsLinux-Spectre-V2-Patch: 50 Prozent weniger Leistung oder SMT deaktivieren
Nein, das tangiert den Privatanwender so gut wie nicht. Es kann allerdings auf Unternehmen gewaltige Auswirkungen haben, wenn eine solche Sicherheitslücke dort ausgenutzt wird.
Naja Systemhäuser die viele Kunden VMs Hosten bräuchten theorteisch um das zu kompensieren plötzlich ein viel größer aufgestelltes Rechenzentrum. Das sind immense Kosten und unzufriedene Kunden.
das ist aktuell die gretchenfrage und genau kann es mMn auch keiner sagen. architektur von cpu´s ist mitlerweile so unfassbar komplex geworden, dass vom originalen SMT kaum noch etwas übrig geblieben ist. die intel lösung mit HT unterscheidet sich tatsächlich so signifikant von der amd lösung, dass sogar die forscher nix 100% tiges dazu sagen können und wollen.
gerade wenn es um die möglichkeiten für die zukunft geht, das problem aus der welt zu schaffen.
Ein Schelm der Böses bei denkt, in Anbetracht dessen dass W10S auf einem 12 Jahre alten Laptop mit 2GB und SSD läuft wundert es mich irgendwie nicht. Es müssen doch auch mal neue Prozessoren verkauft werden, versteht das doch bitte.
Spannend wie hier einige nicht das Potential der Lücke erkennen und was es für "hippe" Firmen und ihre VMs in der Klaut bedeutet.
Mit dem Fehler können ganze Firmennetzwerke samt deiner Kundendaten leer geräumt werden. HT aus ist die einzig praktikable Lösung bis ein neuer Fix da ist.
Top Kommentar war auf jeden Fall weniger Sicherheit in kauf zu nehmen. Leute! Systeme sind entweder sicher oder unsicher! Sobald die Tools automatisiert bei den Skriptkiddies laufen brennt eh die Bude.
Wie stell ich das nun nach? Ich hab hier am Server SMT an + Windows + Debian VMs. Jetzt darf mir gern mal jemand nen funktionierenden Angriff von außen erklären - und natürlich muss dieser sinnvoll sein. Also zb ka, mein Debian Root Passwort im Klartext erbeuten.
Zwischen der Theorie eines möglichen Angriffe und dessen wirtschaftlich praktikabler Nutzung sollte man schon unterscheiden. Wenn nun der eine Browser Tab vom anderen das Banking Passwort auslesen kann, dann wirds haarig. Geht sowas damit oder wie genau sieht denn ein Angriff aus?
Schon lustig, im Privatbereich interessiert diese Lücke keine Sau, dort bringt SMT aber auch keine Leistung und sorgt regelmäßig für Leistungsverluste.
Das ist eine spannende Entwicklung, genau hier zeigt sich wieder die Marktmacht von Intel.
Mittlerweile ist man soweit, dass man nicht mehr differenziert wer in welchem Maße Sicherheitslücken in seinem Produkt hat.
Nein, man entscheidet aufgrund der Marktpräsenz, dass SMT an sich ein Sicherheitslücke darstellt.
Es wird nicht in Betracht gezogen für die wenigen Sicherheitslücken der AMD Prozessoren eine Patch zu entwickeln und für diese SMT per se zu erhalten.
Anscheinend - und verständlicherweise - haben die Softwareentwickler vom vielen Patchen so die Nase voll, dass sie generell das Abschalten von SMT fordern.
Im übrigen ist es auch Microsoft egal hier etwas für AMD herauszuschlagen, da ist die Linuxgemeinde nicht allein.
Mit dem Fehler können ganze Firmennetzwerke samt deiner Kundendaten leer geräumt werden. HT aus ist die einzig praktikable Lösung bis ein neuer Fix da ist
Dann erkläre mal wie? Kritisch ist das doch eher dann wenn ich zb beim Webhoster nen virtuellen Server anmieten kann um dann aus diesem Auszubrechen und zb von Amazon den Admin Zugriff erbeute (wie mach ich das, is doch sicher selten im Klartext angreifbar oder) und damit auch ggf andere Kunden mit angemieteten Servern zum Opfer werden. Ganz theoretisch. Aber wie übertrage ich das jetzt auf unseren typischen Mittelständler oder privat Personen?
Theretisch ist nämlich auch der Amazon super Admin als Geisel zu nehmen und wenn man ihn mit dem Seitenschneider die Finger abnimmt rückt er sicher auch das Passwort raus. Ggf einfacher als Mio in einen Angriff zu stecken.
Edit: Was ich sagen will ist dass es wohl wahrscheinlicher ist der Dummheit der Entwickler zum Opfer zu fallen als einer solchen Lücke. Siehe Instragam und Klartext Passwörter.
AMD ist von den SMT-Problemen nur in sehr geringem Maß/gar nicht betroffen da nicht anfällig für Meltdown. Selbst die unwahrscheinliche Chance auf Spectre V2 sollte per Microcode gestopft sein.
Was an mir als Laie bei der gesamten Berichterstattung bisher vorbeigegangen ist: Ist das alles ein Problem für Privatnutzer für ihren Spiele- und Heimbüro-Rechner?
Auf Desktops hat man die Programme die man laufen lässt gut unter Kontrolle. Es laufen nur die Programme die man laufenlassen will.
Ein Problem wird daraus wenn man diese Kontrolle abgibt. Darunter dürften alle Cloudanbieter fallen die Hardware vermieten worauf der Kunde alles laufen lassen kann was er will. Unter anderem auch Software die jemand extra geschrieben hat, um andere VMs die auf der selben Maschine laufen auszuhorchen/manipulieren. Also Software die ein Virenscanner auf Desktop geblockt hätte.
Vielleicht mal ein Auto-Vergleich der noch mehr hinkt als üblich: Auf Desktops stehen durchgehend Leitplanken und die Autos müssen auf der Straße bleiben. Auf Server sind keine Leitplanken weil man dem Kunden überlassen will ob er Leitplanken will oder nicht. Da nimmt dann ein böswilliger Zeitgenosse eine Abkürzung, um beim Nachbarn zu stören.
In wie weit aber?
Soweit ich weiß, nutzt die Sicherheitslücke aus, dass ein Thread die Daten eines anderen Threads auslesen kann. D.h. doch:
1. Es ist ziemlich Random, was ausgelesen werden kann
2. Ist die Lese-Geschwindigkeit recht gering (irgendwas im byte/s oder kbyte/s-Bereich)
3. Als Hacker kommt man da bei Privatanwendern doch mit anderen Methoden viel schneller und besser zum Ziel
Das sind sehr spezielle Lücken, die deswegen so gefährlich sind, weil man aus einer ganz anderen virtuellen Umgebung Daten auslesen kann. Auf einem Privatrechner läuft in der Regel genau ein Betriebssystem mit einem DAU davor. Da nutze ich als Hacker doch lieber irgendwelche Zero-Day-Exploits, Social-Engineering oder sonst was, um gezielt Daten zu klauen oder den Rechner zu blocken, um Geld zu erpressen, als mit so einer lahmen Sicherheitslücke auf Zufall irgendwelche Daten auszulesen und zu hoffen, dass ich damit Geld verdienen kann...
Wie stell ich das nun nach? Ich hab hier am Server SMT an + Windows + Debian VMs. Jetzt darf mir gern mal jemand nen funktionierenden Angriff von außen erklären - und natürlich muss dieser Sinnvoll sein. Also zb ka, mein Debian Root Passwort im Klartext erbeuten.
Zwischen der Theorie eines möglichen Angriffe und dessen wirtschaftlich praktikabler Nutzung sollte man schon unterscheiden. Wenn nun der eine Browser Tab vom anderen das Banking Passwort auslesen kann, dann wirds haarig. Geht sowas damit oder wie genau sieht denn ein Angriff aus?
Wie Angriffsvektoren sein können, weiß ich nicht, und die die es wissen, stehen entweder in Kontakt mit Intel/AMD oder verkaufen diese an zwielichtige.
Es mag sein, dass es in den nächsten Tagen öffentlich nur sehr komplizierte oder gar theoretische Angerifsszenarien gibt - das kann sich aber sehr schnell ändern.
Denn wie du in einem anderen Post sagtest, es gibt gewiss andere Sicherheitslücken - und in der Regel bildet eine Reihe von Lücken erst ein Einfallstor.
Vielleicht wird es dann bei CB in zukunft eine News darüber gegeben, dass es nun über JS ausgeführt werden kann, oder ein kompromentiertes PNG oder ein skript im PDF etc ...
Aber vielleicht kommt solche eine Meldung auch nicht, und deine Kiste ist dann nach wie vor ungepatched
Schon lustig, im Privatbereich interessiert diese Lücke keine Sau, dort bringt SMT aber auch keine Leistung und sorgt regelmäßig für Leistungsverluste. ...
nach langem grübeln ist mir ein denkbares fiktives scenario eingefallen....
falls ich einen ge*hust* (computerspiel hier einsetzen) server auf meinem 8+8kern in einer vm laufen lassen würde wollen und dann auch noch zeitgleich auf dem selben computer in 120hz flüssig zocken würde wollen, dann könnte es sein, dass eine verseuchte server version meines computerspieles meine bankdaten durch die vm ausließt, ohne dass mein virenscanner anschlagen würde. unwahrscheinlich aber denkbar
Na für Windoze gibt es momentan nur die Möglichkeit, HT komplett zu deaktivieren. Unter Linux würde STIBP ermöglichen, HT zu nutzen und trotzdem ("komplett") geschützt zu sein. Lohnt sich natürlich nur in Szenarien, wo HT mehr Leistung bringt als STIBP kostet. Daher ja auch Linus Kritik, dass der Schalter default auf "An" stehen sollte, wird jetzt wohl eher umgedreht und muss entsprechend bewusst aktiviert werden.
Was an mir als Laie bei der gesamten Berichterstattung bisher vorbeigegangen ist: Ist das alles ein Problem für Privatnutzer für ihren Spiele- und Heimbüro-Rechner?
Jede Anwendung, jede Smartphone-App, jede Website, die auf VMs in Cloud-ähnlichen Servern gehostet wird, betrifft dieses Problem theoretisch und damit praktisch fast jeden, der beliebte Onlinedienste und -Anwendungen verwendet.
Wenn ich SMT deaktiviere dann habe ich doch auch schon 50% weniger Leistung in entsprechenden Anwedungen. Ist also gehupft wie gesprungen (wie man in Bayern sagen würde)
![[wege]mini](https://pics.computerbase.de/forum/avatars/m/778/778975.jpg?1575883542){kind=avatar}
der lebt von SMT.
