News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Maxminator]

Danke Smartcom für deine Bestättigung und den Stiller-Link!
Werde ich gleich durchlesen!

 

[aldaric]

Das einzig Naive ist deine realitätsferne Vorstellung, die Hardware würde durch AMD Produkte ersetzt oder erweitert.

Da liegst du mMn ziemlich falsch. Meistens sind es VM's die auf den Servern laufen und einen dedizierten Gameserver starten (wenn wir schon bei Online-Shootern sind). Dort kann man eigentlich recht einfach Hardware von verschiedenen Herstellern (AMD u. Intel) in einem Server-Park kombinieren da es keine hochoptimierten Anwendungen sind.

Es bleibt aber naiv zu glauben das man einfach beliebig jetzt überall die Hardware erweitert und weiter beim lichterloh brennenden Intel-Baum kaufen möchte, vor allem in solchen Größenordnungen.

Niemand hat behauptet das jetzt überall die Hardware sofort getauscht werden soll, aber solche Sachen werden für künftige Investitionen schon in den Köpfen der Firmen stecken bleiben.

 

[cbtestarossa]

keine Ahnung wie es unter win10 aussieht
ich hab mal die 2 Patches fürs 7er installiert und dann manuell die 2 Registry Einträge angelegt.

Aber da der AV noch nicht so weit ist wird das alles noch nicht geladen.
Microcode ist auch noch was auf das ich warten muss.

 

[m.Kobold]

@cbtestarossa und mr.malcom
Danke

Im umkehrschluß wäre das system sicher wenn es so aussehen würde?

SpecuCheck v1.0.3 -- Copyright(c) 2018 Alex Ionescu
https://ionescu007.github.io/SpecuCheck/ -- @aionescu
-------------------------------------------------------

Mitigations for CVE-2017-5754 [rogue data cache load]
-------------------------------------------------------
[-] Kernel VA Shadowing Enabled: yes
├───> with User Pages Marked Global: yes
├───> with PCID Support: yes
└───> with INVPCID Support: yes

Mitigations for CVE-2017-5715 [branch target injection]
-------------------------------------------------------
[-] Branch Prediction Mitigations Enabled: yes
├───> Disabled due to System Policy: no
└───> Disabled due to No Hardware Support: no
[-] CPU Supports Speculation Control MSR: yes
└───> IBRS Speculation Control MSR Enabled: yes
[-] CPU Supports Speculation Command MSR: yes
└───> STIBP Speculation Command MSR Enabled: yes
--------------------------------------------------------------------------------------------------------------------

Leider gibt es von Gigabyte noch kein Biosupdate

 

[janeeisklar]

AMD ist nicht schneller, mitnichten.
Nur hatten sie es bei der Konstruktion jeweiliger Designs kurioserweise für durchaus sinn·voll erachtet, von unten kommende, niedriger privilegierte Prozesse etwaige Zugriffe auf Speicherbereiche höher privilegierter Anwendungen und Prozesse abschlägige Bescheide beim entsprechenden Versuch desselben zu erteilen.¹

Oder anders ausgedrückt:
Zugriffe von Userspace-Prozessen in Kernel-Speicherbereiche ist bei AMD eine Sicherheitseinrichtung vorgeschaltet, welche dies entsprechend ver·bie·tet.¹

Nochmal die EMail von Tom Lendacky:
https://lkml.org/lkml/2017/12/27/2

AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against. The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.

Disable page table isolation by default on AMD processors by not setting
the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI
is set.

Das war ein heftiger seitenhieb auf "Intels" Insecure By Design. Und was Intel nun betreibt ist das aller letzte, Schadensbegrenzung bedeutet wohl nur noch den Aktionkurs hoch halten und die Investoren zu "vernebeln". Echt erbärmlich was Intel hier "leistet".

 

[Smartcom5]

@ Smartcom5

so wie ich das verstanden habe hat das Intel auch,
Nur merkt die CPU das auch aber bis der Schutz greift kann der Angreiffer schon Dinge veranstalten.
[…]

Wenn das der Fall wäre, gäbe es dieses Thema hier nicht.
Intel's Implementierung prüft de facto nicht zur Laufzeit, ob der Zugriff berechtigt ist – sondern kann lediglich feststellen, daß ein Zugriff unberechtigt war, eben weil keine Rechte-Überprüfung zum Zeitpunkt des Zugriffs erfolgt.

Das ist in etwa so, als wenn Österreich grundsätzlich alle Asylsuchenden an der Grenze abfängt und guckt, ob Derjenige durch ein gültiges Visum einreisen darf. Deutschland hingegen würde erst einmal alle herein lassen, um im Anschluß zu schauen, Wer denn überhaupt das Recht hatte und einreisen durfte. … oh warte!


In diesem Sinne

Smartcom

 

[cbtestarossa]

with PCID Support: yes
with INVPCID Support: yes

beides CPU Features.
glaub muss gar nicht vorhanden sein aber dürfte schneller gehen damit oder sicherer vllt.

ja mal abwarten
der AV wollte sich einfach nicht auf die schnelle deinstallieren lassen zum testen.

Wird immer doofer. Früher war so etwas in 5 Minuten erledigt.
Und nun wartest 20 Minuten bis 3% und weisst nicht ob sich was tut.

@Smartcom5
Ah doch so großer Unterschied
Somit ist dann auch klar warum aktive Grenzkontrolle länger dauert..

 

[Trochaion]

@computerbase @steffen
falls es hier noch nicht erwähnt wurde: asus hat eine liste veröffentlicht


Thank you for reaching out to us. Yes, ASUS is working to provide solutions to affected models. Please view the link below. https://www.asus.com/News/q5R9EixxfAqo1anZ

Das scheint aber die Liste zur Intel ME zu sein.

 

[I'm unknown]

Der große Unterschied ist, daß die betroffenen Autobauer "nur" ihr Produkt zahlenmäßig aufgehübscht hatten. Definitiv falsch, aber ihr Produkt hat keinen technischen Bug. Die Motoren an sich laufen keinen Deut schlechter wegen der Fantasiezahlen ihrer Erbauer.

Einer der Autobauer hat sich in den USA unter anderem zu den Anschuldigungen des Betrugs schuldig bekannt. Das heißt die angegebenen technischen Eigenschaften werden nicht eingehalten und die Motoren laufen nicht so wie es laut Datenblatt verkauft wurde. Noch dazu sind die erhöten Schadstoffe nicht gesundheitsfördernd. Das sehe ich jetzt nicht als Kleinigkeit an und es ärgert mich immer wieder, wie sowas herunter gespielt wird.

Bei Intel (und teilweise den anderen Chipherstellern, Spectre betrifft uns ja mehr oder minder alle) hingegen, die es von den Chipherstellern nicht grundlos am Härtesten trifft, liegt ein technischer Fehler vor. Reperatur ist mit Leistungseinbußen (keine bis vernachläßigbar im Privatbereich, deutlich heftiger im Serverbereich)verbunden. Das ist eine andere Geschichte als bei den Dieseln.

Betrifft bei den Dieseln auch alle: Verminderte Steuereinnahmen wegen der abgeschriebenen Verluste, höhere Schadstoffbelastung für alle, Nachteile für alle Diesel-Fahrer, etc.
Noch dazu ist die "Nachbesserung" in laut diverser Expertenaussagen für die Langlebigkeit der Bauteile nicht förderlich. Von diversen Problemen von Funk- und insbesondere Keyless-Systemen möchte ich gar nicht anfangen, hat in der Branche noch kein Autobauer den Kunden gepatched.

Ich bin auch stinkig auf Intel. bin dabei mir ein neues System zusammenzustellen (wenn auch ohne Hast) und bei meinem Nutzungsprofil ist Intel die passendere und billigere Wahl, da mir bei kräfitg Einzelkernleistung die iGraka völlig ausreicht. Ein Ryzen, der in etwa die Leistung eines Kaffeesee i5 hat, wäre für mich wegen RAMpreisen und benötigter Grafikkarte mindestens 200 Euro teuerer als das Intelsystem. Tolle Wurst! Ich warte noch etwas ab, wie sich das alles entwickelt.

Bei nur 200€ würde sich ein Dieslfahrer aktuell vermutlich nicht mal aufregen. Da kommen andere Größenordnungen raus - noch dazu bist du gerade vor dem Neukauf gewarnt worden. Freu dich doch dass du nicht bereits länger als 14 Tage auf der HW sitzt, aber spiel andere Dinge deshalb nicht naiv runter!

der AV wollte sich einfach nicht auf die schnelle deinstallieren lassen zum testen.

Wird immer doofer. Früher war so etwas in 5 Minuten erledigt.
Und nun wartest 20 Minuten bis 3% und weisst nicht ob sich was tut.

Spricht nicht für die Qualität deines verwendeten AV-Scanners...

 

[Norebo]

Die 30% Leistungseinbuße bei MWO finden bei einem Intel 6700 Prozessor statt und wie gesagt in Hochlastszenarien.

 

[Smartcom5]

Nochmal die EMail von Tom Lendacky:
https://lkml.org/lkml/2017/12/27/2

Das war ein heftiger seitenhieb auf "Intels" Insecure By Design. Und was Intel nun betreibt ist das aller letzte, Schadensbegrenzung bedeutet wohl nur noch den Aktionkurs hoch halten und die Investoren zu "vernebeln". Echt erbärmlich was Intel hier "leistet".

Jup, der Knackpunkt ist ja ziemlich verklausuliert, aber im Kern …

„AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, (including speculative references), that access higher privileged data when running in a lesser privileged mode (when that access would result in a page fault).“
— Tom Landacky, AMD software engineer, am 26. Dezember über Kernel-Patches bezüglich PTI

Das Traurige ist ja, daß man die Funktionsweise von Intel's Art der Sprungvorhersage nicht nur kannte, sondern bei der Einführung jeweiliger Architekturen entsprechende Merkmale und deren leistungsbringenden Charakteristika obschon ihrer Performance allerorten von Redaktion wie Userbase frenetisch gefeiert wurden. Kaum ein Feature ist bei Intel's Architektur derart ausführlich beschrieben und bekannt wie eben jene Dinge wie Prefetch, TLB & Co.

Die kritischen Stimmen gab es seit Jahren, nur wurde da allzu oft im Hinblick auf die gewonnene Performance schlicht abgewunken und als übertrieben übervorsichtig abgetan. Und jetzt das. Wann gab‘s die ersten Sicherheitsforscher, die mit Szenarios in dieser Richtung um Aufmerksamkeit baten? 2012, 2014? Wurde das Problem nicht zuletzt auf der BlackHat2016 groß und breit als promimenter Tagespunkt angesetzt?

Bei allem Respekt, aber das Mitleid für Intel kann sich hier in Grenzen halten.
Das, was ihnen jetzt um die Ohren fliegt, hätte a) verhindert werden können, war b) bekannt und wurde c) trotzdem geflissentlich seitens Intel jahrelang ignoriert.


In diesem Sinne

Smartcom

 

[kisser]

AMD ist nicht schneller, mitnichten.
Nur hatten sie es bei der Konstruktion jeweiliger Designs kurioserweise für durchaus sinn·voll erachtet, von unten kommende, niedriger privilegierte Prozesse etwaige Zugriffe auf Speicherbereiche höher privilegierter Anwendungen und Prozesse abschlägige Bescheide beim entsprechenden Versuch desselben zu erteilen.¹

Da stellt sich mir aber die Frage, wie du denn wissen kannst, dass der Zugriff auf eine höher priviligierte Speicheradresse erfolgt, BEVOR die Exception verarbeitet wurde.
Denn klar ist doch, dass auch die Intel CPUs die Zugriffsverletzung korrekt abfangen, und lediglich durch eine "race condition" über die Seitenkanalattacke angreifbar sind.

Oder um es mit AMDs Worten zu sagen:

... when that access would result in a page fault

Hellseherische Fähigkeiten?

Ergänzung (7. Januar 2018)

Nur merkt die CPU das auch aber bis der Schutz greift kann der Angreiffer schon Dinge veranstalten.

Absolut korrekt.

Ergänzung (7. Januar 2018)

Intel's Implementierung prüft de facto nicht zur Laufzeit, ob der Zugriff berechtigt ist –

S.o. Wie soll das gehen?

 

[yummycandy]

S.o. Wie soll das gehen?

Das könnte es erklären. Das ganze geschieht asynchron: https://www.heise.de/forum/heise-on...-verschiedene-Begriffe/posting-31636800/show/

 

[Raucherdackel!]

Microsoft rollt den Patch für Windows 10 Mobile aus. (Für die drei noch verbliebenen Lumia Nutzer )

Edit: der aktuelle Build ist: 10.0.15254.158

 

[Rüsan Gür]

SemperVideo hat den Exploit unter Ryzen 1800X getestet und ist Spectre betroffen

https://twitter.com/SemperVideo/status/949752910208032768

 

[Tammy]

Super, sogar Windows Phone wird bedient, aber die Zotac ZBOX EN980 hat immer noch kein Windows update gesehen.

 

[Raucherdackel!]

Jep, Windows 10 Mobile hat jetzt Meltdown und Spectre Fix:

https://thewincentral.com/windows-1...8-kb4073117-available-spectre-meltdown-fixes/

http://it-blogger.net/post/Microsoft-gibt-Windows-10-Mobile-Build-15254-158-frei.aspx

Neben den üblichen Verbesserungen bei Performance und Stabilität, umfasst das kumulative Update KB4073117 alle Verbesserungen sowie Fehlerbehebungen von KB4056891, dazu kommen Sicherheitsupdates für den Internet Explorer, Microsoft Scripting Engine, Microsoft Edge, Windows Graphics, Windows Kernel, Windows Subsystem für Linux und den Windows SMB Server. Zudem wird mit diesem Update auch das aktuelle CPU-Problem wegen den Meltdown und Spectre Sicherheitslücken unter Windows 10 Mobile angesprochen.

 

[TheLastHotfix]

Asus hat eine Liste von Boards rausgegeben, die ein bios Update bekommen.

https://www.asus.com/News/V5urzYAT6...6.1504197548.1515175551-1468500155.1513768411

... also ab Skylake, höchst unerfreulich, wird in künftige Kaufentscheidungen einbezogen

 

[aldaric]

@TheLastHotfix:

Naja, ich würde die Schuld jetzt weniger bei den Boardherstellern, als eher beim CPU Hersteller suchen.

 

[TheLastHotfix]

Für mein Z97 Pro Gamer hat ASUS seit 31.03.2016 kein Firmware-Update gebracht, das erste erschien wohl Mitte 2014.
Dazwischen gab es schon ein Microcode Update welche im letzten BIOS nicht integriert wurde, aktuell ist der Stand noch cpu000306c3_plat00000032_ver0000001e_date20150813.
Im Prinzip also keine 2 Jahre Support, damit wandelt ASUS qualitativ leider in Samsung's Elekroschrott-"Service" Fußstapfen.