News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[GroovyGrammer]

@GroovyGrammer: AISuite3 gibt es als Beta, die wieder funktioniert.

Vielen Dank!

 

[moson]

Das ist aber das aktuellste MC Update und in meinem letzten Post habe ich auch ein Problem mit diesem Update verlinkt.

Jo. Vielleicht ist dass der Grund warum MS das microcode-update nicht direkt in den hotfix mit integriert hat. Sollen sich lieber die mainboard Hersteller mit den Problemen rumschlagen

 

[Raucherdackel!]

Ich denke mal man müsste jetzt hergehen und ein OS konstruieren wo fast alles im Userland arbeitet.
Gibt ja schon Versuche wo das funktioniert mit Microkernel, Sandboxen usw.

Gibt es schon seit Jahren, und hat sich nicht durchgesetzt weil fast niemand Apps für dieses OS geschrieben hat: Windows Phone / Windows Mobile.

Da läuft jede App in einer Sandbox und hat nur kastrierte Rechte. App übergreifend geht da so gut wie gar nix.

 

[cbtestarossa]

Wenn schon dann sollte MS irgendwann eine Microcode Sammlung als EinzelpatchUpdate liefern.
Dauert jetzt natürlich bis mal alle CPUs Updates erfahren.

Auf die Mainboard Hersteller kannst du im Normalfall lange warten.

Die Frage ist aber sowieso ob man das nicht irgendwie als Treiber designen könnte.
Einfach mal einfache Lösungen wie früher vorantreiben und nicht alles vor den Usern verstecken.

Momentan machen sie aus jeder Maus gleich Elefanten.

@Raucherdackel!

Ja das ist aber nur ein erster kleiner Schritt.
Wenn das ganze OS schon anderst designed ist dann läuft nur noch der Kernel priviligiert.
Speicherverschlüsselung usw wäre auch ein Thema.

Es geht alles. Man muss nur wollen. Und wie man sieht ist es auch notwendig.
Auf Hardware alleine kann man sich auch nicht verlassen.
Viele Programme werden wohl auch neu kompiliert werden müssen,
was unter OSS wohl nicht so das Problem sein wird.

Wenn ich da an den Linux Kernel denke wird mir sowieso ganz anders.
Uralte Konzepte gehören einfach überdacht.

 

[Hallo32]

Gar keine schlechte Idee. Man sollte nur drauf achten, auch die richtige Version des Microcodes zu nehmen.

Downgrade sollte nicht möglich sein.

 

[Helge01]

@Lord Wotan
@lutzpime

Wenn das Surface Pro 2 sich noch innerhalb der 2 Jahre Gewährleistung befindet, würde ich das beim Händler geltend machen. Der kann zwar auch nichts dafür, aber die Gewährleistung sollte dann greifen, schließlich bestand der Fehler schon eindeutig beim Kauf.

 

[Hallo32]

Die Frage ist aber sowieso ob man das nicht irgendwie als Treiber designen könnte.
Einfach mal einfache Lösungen wie früher vorantreiben und nicht alles vor den Usern verstecken.

Die VMWare Lösung ist im Prinzip das was du suchst.

 

[Trochaion]

Downgrade sollte nicht möglich sein.

Entweder man hat Asus BIOS flashback - dann geht sogar ein BIOS downgrade, oder man bearbeitet mit Tools wie UBU die neueste BIOS datei und ersetzt den microcode durch die gewünschte version. Hier muss man wirklich vorsichtig sein. Die Intel patchnotes aus dem BIOS Archiv helfen im Zweifelsfall weiter.

 

[Hallo32]

Entweder man hat Asus BIOS flashback - dann geht sogar ein BIOS downgrade, oder man bearbeitet mit Tools wie UBU die neueste BIOS datei und ersetzt den microcode durch die gewünschte version. Hier muss man wirklich vorsichtig sein. Die Intel patchnotes aus dem BIOS Archiv helfen im Zweifelsfall weiter.

Die Aussage bezog sich auf das Microcode Update durch das VMWare Tool.

Bei deinen Ansatz solltest du eigentlich bis zur Microcode Version herunterkommen, mit der dein CPU ausgeliefert wurde.

 

[Flomek]

...oder man bearbeitet mit Tools wie UBU die neueste BIOS datei und ersetzt den microcode durch die gewünschte version...

hab ich gemacht, allerdings erkennt mein H97 danach das bios als nicht gültig und liest es auch nicht ein. Muss mich noch man intensiver damit beschäftigen.

Vielleicht sagt @TheLastHotfix dazu noch etwas, wenn er hier wieder rein guckt.

 

[cbtestarossa]

Ausserdem könnte man auch hergehen und zukünftige Systeme mit OpenBIOS etc gestalten.
Denn welcher Normalsterbliche braucht schon Dinge wie IME und UEFI etc.
Aber das wird die Herstellermafia und diverse andere Interessensgruppen sicher verhindern wollen.

Warum setzen sich denn Politiker und Industrie nicht einfach mal länderübergreifend zusammen und konstruieren mal etwas zukunftssicheres.
Ständiger Wetbewerb und Profitgier führt uns auf lange Sicht nicht ans Ziel.

Und bei der Gelegenheit könnte man sich auch mal gleich über ein echtes freies Internet unterhalten.
Aber da der Adel andere Interessen hat als der Konsumzombie wird das wohl nie geschehen.

 

[mkdr]

Habe das selbe Problem. Das ist echt eine Sauerei!

Das Surface Pro 2 ist Baujahr 2013. Niemand erwartet da noch Support bzw würde damit durchkommen zu klagen. Es wird auch bestimmt nicht mehr offiziell verkauft durch MS.

 

[Hallo32]

Denn welcher Normalsterbliche braucht schon dinge wie IME und UEFI etc

Die Personen die von einer NVMe SSD booten möchten.

 

[Trochaion]

hab ich gemacht, allerdings erkennt mein H97 danach das bios als nicht gültig und liest es auch nicht ein. Muss mich noch man intensiver damit beschäftigen.

Vielleicht sagt @TheLastHotfix dazu noch etwas, wenn er hier wieder rein guckt.

Dazu steht, soweit ich weiß, was im UBU thread. Wer flashback hat, kann auch das modifizierte einfach flashen. Für andere Boards gibt es ein workaround.

 

[moson]

hab ich gemacht, allerdings erkennt mein H97 danach das bios als nicht gültig und liest es auch nicht ein. Muss mich noch man intensiver damit beschäftigen.

Könnte interessant sein: http://www.overclock.net/t/1577530/guide-how-to-update-the-cpu-microcode-on-the-x99-ami-bios

Ich warte lieber auf eine aktuelle microcode.dat und mach das über die VMWare software. BIOS mod ist mir da zu heikel

 

[Dark Matter]

hab ich gemacht, allerdings erkennt mein H97 danach das bios als nicht gültig und liest es auch nicht ein. Muss mich noch man intensiver damit beschäftigen.

So langsam sollte man aber mal die Kirche im Dorf lassen.

Jetzt tut man ja gerade so als wenn überhaupt nix mehr Sicher ist und jeder Hacker alle Passwörter sofort und innerhalb kürzester Zeit von jedem erfolgreich aus dem RAM klauen kann.
Jetzt hier zu Raten das sich jeder mit diversen Tools selber ein BIOS-Mikrocode-Update basteln soll/kann und dadurch evtl. das Mainboard unbrauchbar zu flashen geht mMn. jetzt doch etwas zu Weit und ist übertriebener Aktionismus.

Wenn man 100% Sicherheit haben will, muß man sich leider komplett vom Internet trennen, aber das will dann doch keiner....

 

[cbtestarossa]

Die Personen die von einer NVMe SSD booten möchten.

Und dafür braucht es UEFI?
Früher hatten viele Kontrollerkarten ein eigenes BIOS (sogar mit GUI) und lief auch.
Das sind nur Ausreden der Hersteller.

Ich bleib dabei. Alles ist machbar wenn man will.
Nur nageln sie lieber alles zu und wollen bessere Spionagemöglichkeiten o.ä.

Bis es wieder mal crashed wie auch jetzt.
Und denkt noch mal zurück an das Jahr 2000 Problem.
Alles hausgemacht, da wollte man halt 2 Bytes oder so sparen.

 

[xexex]

Also so einfach ist das Hacken und erfolgreiches klauen mit Spectre wie sich das viele vorstellen oder gar wünschen nun auch nicht, wenn man zusätzlich 2FA, überall wo es möglich ist, aktiv hat.

Richtig!

Die Gefährlichkeit der Lücke wird auf Clientsystemen auch im Moment von vielen aufgebauscht. In den wenigsten Fällen würde dein Steam Kennwort in Klartext vielleicht für ein paar Sekunden in deinem Speicher stehen. Um 8GB RAM auslesen zu können werden mit einem i7-6700k allerdings knapp 8h benötigt und der Angriff wird mit gepatchten Browsern noch zusätzlich erschwert/unmöglich. Selbst ohne 2FA sollte man das Angriffspotential nicht überschätzen.

Anders sieht es bei einem Hoster aus. Du mietest dir einen Rootserver an, lässt ein Tool laufen und kannst mit etwas Glück Kennwörter oder Daten von Speicher anderer Server "klauen".

Gibt ja schon Versuche wo das funktioniert mit Microkernel, Sandboxen usw.

Die Lücke umgeht genau das! Moderne Browser laufen unpriviligiert in einer Sandbox! Der Meltdown Angriff greift genau diesen Schutz an und greift die Daten von Prozessorcache ab.

Wenn schon dann sollte MS irgendwann eine Microcode Sammlung als EinzelpatchUpdate liefern.

Microsoft wird mit ziemlicher Sicherheit Microcode Updates ausliefern. Allerdings werden solche Updates erst nach dem Start von Windows geladen. Vermutlich wartet man deshalb noch etwas, damit zunächst die Hersteller Bios Updates anbieten können und Erfahrungen gesammelt werden, bevor der Rest mit einem Update unter Windows bestückt wird.

Das letzte Update wurde von Microsoft 2015 eingebaut.
https://support.microsoft.com/en-us/help/3064209/june-2015-intel-cpu-microcode-update-for-windows

Früher hatten viele Kontrollerkarten ein eigenes BIOS (sogar mit GUI) und lief auch.

Und das ganze lief über uralte Schnittstellen aus der DOS Zeit ab, bei denen sich das Bios vom Adapter eingeklinkt hat und dauerte je nach Adapter eine Ewigkeit. Von Kompatibilitätsproblemen beim Einsatz mehrere Adapter ganz zu schweigen.

Nene.... Ist schon OK das endlich das Bios zu Grabe getragen wird. Wir reden hier von einem System, dass um 1980 entwickelt wurde und das mit all seinen Problemen seit Jahren mitgeschleppt wurde.

 

[Smartcom5]

[…]
Fakt ist, dass ist nicht die erste und noch lange nicht die letzte Lücke die gefunden wird.
AMD ist diesmal nicht betroffen, weil die es nicht geschafft haben diese Vorhersage Logik, die es bei Apple, Google, Intel und bei wem sonst noch gibt nicht in die CPU zu bringen. Das macht AMD nicht schlauer sondern Rückständiger in Ihrer Technologie, weil der Grundgedanke ja kein schlechter ist. […]

Schön wie man hier diskitiert,

Auf Heise meinte einer das Problem ist dass die CPU zwar mitkriegt wenn unerlaubter Zugriff auf den Cache erfolgt aber bis sie reagieren kann kann der Angreifer sich auch schon bedienen.

AMD wird hier wohl schneller reagieren können und deshalb nicht so angreifbar sein,
Speed ist alt doch nicht alles. […]

AMD ist nicht schneller, mitnichten.
Nur hatten sie es bei der Konstruktion jeweiliger Designs kurioserweise für durchaus sinn·voll erachtet, von unten kommende, niedriger privilegierte Prozesse etwaige Zugriffe auf Speicherbereiche höher privilegierter Anwendungen und Prozesse abschlägige Bescheide beim entsprechenden Versuch desselben zu erteilen.¹

Oder anders ausgedrückt:
Zugriffe von Userspace-Prozessen in Kernel-Speicherbereiche ist bei AMD eine Sicherheitseinrichtung vorgeschaltet, welche dies entsprechend ver·bie·tet.¹

Kurzum, und dies wurde schon an anderer Stelle folgerichtig und kongenial in folgendem Axiom verschriftet;
→ »Common sense wins (or won)«, zu dt. „Gesunder Menschenverstand siegt.“

Tom Landacky, seines Zeichens SMTS Software Engineer bei AMD bringt es auf den Punkt.

„AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, (including speculative references), that access higher privileged data when running in a lesser privileged mode (when that access would result in a page fault).“
— Tom Landacky, AMD software engineer, am 26. Dezember über Kernel-Patches bezüglich PTI

Defective by design
Ihr habt es gehört Jungs, sicher ist das neue 'rückständig'!
… und Apple und Google stellen jetzt schon eigene x86-Prozessoren her.

[…]
Ich will jetzt diese Sicherheitslücken nicht herunter spielen aber man sollte es einfach für sich selbst realistisch betrachten.

Genau das tust Du aber, mein Bester!
Du hattest vielleicht 10% Leistungseinbußen – was an und für sich schon ein ziemlicher Leistungsabfall ist (was zumindest mich und viele Andere schon sehr ärgern dürfte). Aber schau Dir die zahlreichen Benchmarks an, die langsam aber sicher und immer öfter eintrudeln, und Du wirst erkennen können, daß beispielsweise SSD's um bis zu ±40% einbrechen und die Last von VM's & Konsorten sich mal eben fast ver·drei·facht.

[…]
Hätte ich nach dem Patch auch nur 10% Leistungseinbußen bemerkt, wäre ich der erste der auf die Barrikaden gegangen wäre.

Wie man sieht, ja …

[…]
Ich von meiner Seite, der ja eh ein gemütlicher Mensch ist, würde gerne einmal einem Hacker dabei zuschauen, wie er diese Lücke bei mir ausnutzt. Würde mich wahrscheinlich kaputt lachen, weil der Hacker an Langeweile sterben wird.
Was soll er denn an Kennwörtern holen? Selbst wenn ich Internetbanking mache ist die Pin die ich nutze sofort verbraucht verbraucht und ungültig. Die könnte ich Ihm sogar per e-mail schicken, weil er nichts mehr damit anfangen kann.
Shopping im Internet mache ich nur auf Rechnung. Wer ist denn schon so dumm und nutzt seine Kreditkarte? Alle anderen wichtigen Kennwörter, wie zum Beispiel für E-Mails sollte man doch eh immer wieder einmal ändern.
[…]

Ach stimmt, das ewige Mantra des „Ich hab‘ ja eh nix zu verbergen!“ …
Warum gibst Du dich oberflächlich überhaupt erst reflektiert, wenn am Ende eh klar ist, aus welchem Lager Du kommst und von Deiner Seite wie immer alles egalisiert, klein geredet und als nichtig abgetan wird?

Einfach einmal eine ernst gemeinte Frage;
Was muß eigentlich passieren, damit Leute wie Du (Hallo @Krautmaster, @Holt!) die Augen öffnest? Du würdest diesen ekelhaften und selbstverliebten Verein wahrscheinlich ganz sicher sogar noch verteidigen, wenn die Leistungseinbußen ±50% und mehr wären.

Ich von meiner Seite, ich gönne es Menschen wie dir von Herzen, ganz ehrlich!
… weil ich ganz genau weiß, wie verbissen Du wirklich über all diese Unzulänglichkeiten bist und angefressen und verbittert in der Stube hockst, ganz genau weißt, daß du oftmals mit AMD günstiger und allumfassend stressfreier weggekommen wärest – und trotzdem Dir lieber die Zunge abschneiden würdest, als auch nur ein gutes Wort über AMD zu verlieren oder gar – Gott behüte! – jemals AMD-Hardware dein Eigen nennen würdest.


In diesem Sinne

Smartcom

¹Man verzeihe mir die möglicherweise zwecks Erläuterung mitunter erhebliche Simplifizierung der jeweiligen Sachverhalte.

 

[Hallo32]

Und dafür braucht es UEFI?
Früher hatten viele Kontrollerkarten ein eigenes BIOS (sogar mit GUI) und lief auch.
Das sind nur Ausreden der Hersteller.

Der damalige Ansatz hatte mindestens zwei bekannte Probleme, die bei den Boards mit mehreren zusätzlichen Controllern zu Problemen führten.

Da das hier aber zu weit Off-Topic wird, sollten wir die Diskussion in diesen Thread beenden.