News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Geeky26]

Allgemein denke ich auch, dass der bisherige Fix von Microsoft nur ein Hotfix ist, welches in Zukunft sicherlich noch bearbeitet wird, sodass die Performanceverluste sinken

Ich hoffe. Denn dann warte ich noch mit dem Update.

 

[I'm unknown]

Gibt es schon seit Jahren, und hat sich nicht durchgesetzt weil fast niemand Apps für dieses OS geschrieben hat: Windows Phone / Windows Mobile.

Da läuft jede App in einer Sandbox und hat nur kastrierte Rechte. App übergreifend geht da so gut wie gar nix.

Das Sandbox-Prinzip gibt es auch bei iOS und Android - und zwar schon länger als mit Windows Phone. Einen Mikrokernel kann Windows Phone übrigens nicht aufweisen.

Warum setzen sich denn Politiker und Industrie nicht einfach mal länderübergreifend zusammen und konstruieren mal etwas zukunftssicheres.
Ständiger Wetbewerb und Profitgier führt uns auf lange Sicht nicht ans Ziel.

Wird nicht passieren, würde nicht funktionieren (willst du aus DE die BER Projektleiter hinschicken?) und manche Lücken sind auch gewollt.

Das Surface Pro 2 ist Baujahr 2013. Niemand erwartet da noch Support bzw würde damit durchkommen zu klagen. Es wird auch bestimmt nicht mehr offiziell verkauft durch MS.

Keine Ahnung wie lange du deine Geräte nutzt, für ein Notebook und den letzten Geschwindigkeitsupdates erwarte ich in der Preisliga länger als 2 Jahre Support.

Die Personen die von einer NVMe SSD booten möchten.

Dafür gibt es keinen technischen Grund warum ME und oder (U)EFI erforderlich ist. Könnte auch anders gelöst werden, wenn die Firmware offen wäre.

Die Frage ist aber sowieso ob man das nicht irgendwie als Treiber designen könnte.
Einfach mal einfache Lösungen wie früher vorantreiben und nicht alles vor den Usern verstecken.

Gibt es schon - nur dass die Treiber auch nur die Schnittstelle nutzen können, um die Microcode-Version zu erhöhen (ein Downgrad ist darüber nicht möglich).

Ja das ist aber nur ein erster kleiner Schritt.
Wenn das ganze OS schon anderst designed ist dann läuft nur noch der Kernel priviligiert.
Speicherverschlüsselung usw wäre auch ein Thema.

Gibt es, hat bisher aber in der Praxis keine Vorteile zeigen können. Die Speicherverschlüsselung bringt dir auch nichts, denn im Cache liegen die Daten wieder im Rohformat.

Wenn ich da an den Linux Kernel denke wird mir sowieso ganz anders.
Uralte Konzepte gehören einfach überdacht.

Was genau stört dich denn daran und welche Lösung sollte man verwenden?

Dann schmeiß dein Smartphone weg und kauf dir eins mit Windows 10 Mobile drauf. entgegen aller Meldungen hier auf CB werden immer wieder neue Modelle auf den Markt geschmissen. Aber es berichtet keiner drüber.

Ja, man munkelt es gibt sogar ab und an einen Käufer. Von 100 zwar maximal einen, aber egal. Die App-Entwickler sind auch ganz heiß darauf für eine so kleine Userbasis Apps zu entwicklen, ist der Kontakt mit den Usern viel enger .

Ernsthafte Frage? Schmeiß den Prozessor weg und kauf dir einen, der Spectre sicher* ist. Kleiner Tipp: Intel ist es nicht...

Und beim nächsten AMD-only-Bug schmeißt du den AMD weg und kaufst - ja äh was?

Tja, dann muss mein Gulftown wohl in Rente, ich mag nicht ohne Schutz noch Monate lang unterwegs sein, zumal nicht einmal sicher ist, dass es für diesen ein Microcode update geben wird.

Kleiner Tipp: Warte doch mal ab, bis eine Liste mit den Zeitplänen oder Updates erscheint. Ist doch klar, dass Intel zuerst für die aktuellsten CPUs Updates bereitstellt.

 

[cbtestarossa]

Das Problem bei dem Mist ist dass zusätzlich zum BIOS und OS noch die meisten Programme gefixt werden müssen.
Klar, bei den meisten wird das alles eh in neuere Versionen einfließen. Aber wahrscheinlich nicht bei allen.
Und was an Inkompatibilitäten noch auf uns zukommt kann niemand sagen.

 

[Tamatebako]

Tja liebe Leute, ich muss leider mitteilen, dass ich leider doch an Leistungseinbußen nach Einspielen des Patches leide (und ja ich habe nur den Patch eingespielt, und nichts anderes gemacht). Prozesse laufen langsamer oder reagieren beim ersten Versuch gar nicht. Wie z. B. Steam. Speichervorgänge laufen langsamer usw. usw.. Nun ist mein Prozessor (i7-950) doch noch älter als 5 Jahre. Wie bekomme nun mit, ob es für ihn einen Microcode/Bios-Update geben wird. Muss ich mich da irgendwo anmelden? Und wenn ja wo? Oder gibt es da irgendwelche einsehbare Listen?. Fragen über Fragen. Ich hoffe Ihr könnt mir helfen.

PS Beim Mainboard-Hersteller ist auch schon von anderer Seite nachgefragt. Da ist aber bis jetzt noch nicht richtig geantwortet worden. Ich befürchte aber auf Grund des Alters wird von deren Seite kein Bios-Update mehr erfolgen. Njet.

 

[I'm unknown]

@monstar-x: Doch, doch wenn Google wollen würde, könnten die ein Update rausgeben. Jede Android Version ab 1.6 hat eine Update Funktion integriert. Dein Argument ist also haltlos.

Ja, Google kann zaubern und Kernel-Probleme ohne den Kernel-Sourcen der HW-Hersteller patchen .

@0-8-15 User
genauso ist das. Das könnte Microsoft mit Windows doch auch machen. Nur warum tut das Microsoft nicht. Dann wäre es nämlich egal on die Bordhersteller das Fix als Bios Update anbieten oder nicht.

Denke mal die warten darauf, dass alle Updates in einer finalen Version vorliegen. Dann muss nur einmal ein Update geliefert werden.

 

[Geeky26]

Das Problem bei dem Mist ist dass zusätzlich zum BIOS und OS noch die meisten Programme gefixt werden müssen.
Klar, bei den meisten wird das alles eh in neuere Versionen einfließen. Aber wahrscheinlich nicht bei allen.
Und was an Inkompatibilitäten noch auf uns zukommt kann niemand sagen.

Es wäre vielleicht besser gewesen, wenn dieser "Fehler" niemals publik gemacht worden wäre.

Tja liebe Leute, ich muss leider mitteilen, dass ich leider doch an Leistungseinbußen nach Einspielen des Patches leide

Dein Beitrag ist Grund genug für mich, das Update nicht einzuspielen.
Wer Daten von mir klauen will, wird das eh tun. Mit oder ohne Update. Aber davon abgesehen, sind wir 0815-privatpersonen doch eh meist uninteressant.

 

[Lord Wotan]

@ iamunknown


In 3Dcenter wird gesagt, das Windows z.Z. das gar nicht kann. Linux arbeite da wohl anders, so das, vor den eigentlichen OS, die Firmware temporär gefixt werden kann. Das ist bei Windows so gar nicht möglich.

 

[cbtestarossa]

Denke mal die warten darauf, dass alle Updates in einer finalen Version vorliegen. Dann muss nur einmal ein Update geliefert werden.

Klar werden sie mal abwarten und testen wie verrückt.
Und da wird nicht nur 1 Update kommen... bin mir da ganz sicher dass es lange dauern wird.

 

[Sun_set_1]

Ja, Google kann zaubern und Kernel-Probleme ohne den Kernel-Sourcen der HW-Hersteller patchen .

Haha ja und wer genau ist daran Schuld, dass Google zur Implementierung eines Sicherheitspatches erstmal einen 5 Jahre neueren Kernel implementieren müsste?

Richtig, Google.

Alte Android Versionen noch laufend 2-3 Jahre mit Kernelupdates zu versorgen, fällt bei einem Multi-Milliarden-Dollar-Konzern für mich nur sehr bedingt unter Zauberei.

 

[laububi21]

 

[cbtestarossa]

@CB

Erste ComputerBase-Leser konnten den Patch nach einer Suche in Windows Update installieren, aber nicht alle. Hintergrund ist, dass Microsoft noch bis zum 9. Januar prüft, ob inkompatible Programme auf dem Rechner installiert sind – wenn ja, wird der Patch noch nicht über Windows Update angezeigt, auch die manuelle Installation schlägt fehl.

Die Updates lassen sich sehrwohl installieren. Nur ob sie richtig laufen ist die Frage.
Außerdem werden zumindest unter WIn7 nicht immer die Registry Schlüssel

FeatureSettingsOverride
FeatureSettingsOverrideMask

erzeugt und müssen eventuell manuell hinzugefügt werden.

Zusätzlich wartet Windows dann noch auf einen anderen Eintrag in der Registry der scheinbar von AV Softwares vorgenommen wird oder MS prüft das selber.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat\cadca5fe-87d3-4b96-b7fb-a231484277cc

Habe den Schlüssel selber angelegt aber hat keine Wirkung gezeigt.
Wahrscheinlich muss der AV selbst noch zusätzliche Schlüssel eintragen. (Alles meine Vermutungen)

 

[Lord Wotan]

Ist das schon bekannt?

https://www.heise.de/security/meldu...-Windows-10-legt-einige-PCs-lahm-3935460.html

 

[cbtestarossa]

dein Link ist kaputt

 

[Salteria]

Das dürfte der Link sein
https://www.heise.de/security/meldu...-Windows-10-legt-einige-PCs-lahm-3935460.html

 

[Blueeye_x]

Betroffen sind unter anderem sämtliche Intel-Core-Prozessoren bis zurück zum Jahr 2008

https://www.heise.de/newsticker/mel...etroffene-Prozessoren-auf-Nvidia-3934667.html

Somit dürfte mein "Conroe" Core 2 Duo meines zweit PCs, von 2006, nicht betroffen sein.

 

[Smartcom5]

Irgendwie scheinen hier Viele immer wieder Prefetching, Sprungvorhersage (Branch prediction) & Konsorten in einen Topf zu werfen … Die Leistungseinbußen liegen weder am Prefetch oder Ähnlichem sondern vielmehr am flush des TLB, korrekt?

Geduld, Geduld
Ich möchte gar nicht groß mit Fachtermini und ähnlichem um mich werfen oder diese wenn möglich weitestgehend vermeiden.

Kurzum – und ich versuche das so simpel wie möglich zu umreißen – es gibt den Betriebssystem-Kern (Kernel) und die jeweiligen Programme die man nutzt. Beides läuft in (eigentlich …) unabhängigen (Speicher-) Bereichen, nämlich der Kernel in seinem Kernelspace und Programme und alles andere im sogenannten Userspace. Der Kernel kann selbstredend in den Userspace aber Programme nicht in die Speicherbereiche des Kernel. Ausnahmen bestätigen hier die Regel, sollen aber hier nicht weiter behandelt werden.

Ein Wechsel des Prozessors zwischen diesen beiden Adressbereichen nennt sich Kontextwechsel (eng. context-switching). Dieser Kontextwechsel braucht a) Zeit und kostet demnach b) Leistung – sehr viel Leistung, da der Prozessor infolgedessen ein Großteil der Adressbereiche aktualisieren muß und dazu gehören auch die jeweiligen Prozessor-internen Zwischenspeicher (aka Caches). Einen besonderen weil unmittelbar wichtigen dieser Caches ist der Translation Lookaside Buffer (TLB).

Wenn ein Programm/Prozess nun Dinge benötigt, auf die es selbst keine Zugriff hat wie etwa Hardwarezugriff auf Low-level-ebene, muß er den Kernel bitten, dies für ihn zu erledigen. Diese Bitte nennt sich Syscall, dafür gibt der Prozess/Programm die Kontrolle an den Kernel ab und damit wird ein Kontextwechsel vollzogen.

Langsam aber sich …
Fakt ist, daß die Abhilfe gegen die aktuellen Bedrohungsszenarien mit den Betriebssystem-Patches (und/oder den µCode-Aktualisierungen) vor allem dadurch bewerkstelligt werden, daß die jeweiligen Prozessor-internen Zwischenspeicher vor jedem Kontextwechsel geleert werden (engl. flushed). Was nun arg an der Leistung zerrt sind gar nicht einmal das leeren der Caches, sondern entsprechende context-switches, also wenn bedingt durch Syscalls vom Kernelspace in den Userspace gewechselt wird.

Spiele tun das augenscheinlich weniger, jedoch gibt es viele Programme, die häufige Syscalls verursachen. Es gibt zahlreiche vordefinierte Syscalls die man in verschiedene Gruppen einteilen kann, als da wären;

Spoiler: Kategorien von Syscalls

• Process control
  load
  Exec
  end, abort
  create process
  kill
  get/set process attributes
  wait
  allocate, free memory
• File management
  create file, delete file
  open, close
  read, write, reposition
  get/set file attributes
• Device Management
  request device, release device
  read, write, reposition
  get/set device attributes
  logically attach or detach devices
• Information Maintenance
  get/set time or date
  get/set system data
  get/set process, file, or device attributes
• Communication
  create, delete communication connection
  send, receive messages
  transfer status information
  attach or detach remote devices

Anhand dessen, sollte man sich groß ausmalen können, was und vor allen Dingen welche Prozesse häufige Syscalls verursachen und demnach starke Performance-Einbußen verursachen dürften …


In diesen Sinne

Smartcom

 

[Lord Wotan]

Hier mal ein Radiointerview mit Dr. Daniel Gruss der den Bug gefunden hat.
http://podcast-mp3.dradio.de/podcas...ustrie_auf_die_dlf_20180106_1644_4fd28131.mp3

 

[cbtestarossa]

https://www.heise.de/newsticker/mel...etroffene-Prozessoren-auf-Nvidia-3934667.html

Somit dürfte mein "Conroe" Core 2 Duo meines zweit PCs, von 2006, nicht betroffen sein.

Wahrscheinlich auch. Ich glaube nicht alles was bzgl Jahreszahlen steht.

 

[xexex]

Es ist noch gar nicht absehbar welche neuen Gefahren (von außen und innen) sich nun zusätzlich ergeben. Woher willst du das alles mit Sicherheit wissen. Die nächste Horrormeldung kommt bestimmt.

Es ist aber auch genau dokumentiert was mit der Lücke möglich ist und wie man sie ausnutzen kann.

1. Man muss ein Stück Software (Script, App, Programm) lokal über einen längeren Zeitraum laufen lassen.
2. Man muss in seinem Speicher irgendwas in unverschlüsselten oder knackbaren Form geladen haben.

Wenn man nun Scripte grundsätzlich in seinem Browser blockt, aktuelle Browserversionen verwendet und keine "seltsamen" Apps im Hintergrund laufen lässt und seine Kennwortliste nicht zusätzlich dazu im Notepad verwaltet und sie offen lässt ist die zusätzliche Gefahr, die durch Meltdown/Spectre entsteht praktisch 0.

Da die Nachteile durch die Patches auf Client PCs aber auch null Auswirkungen zu haben scheinen, kann man die Sicherheitspatches durchaus aktiviert lassen. Auf den meisten Client PCs ist aber Gefahr allein durch die Browseränderungen praktisch gebannt.

Eines sollte man sich vor die Augen führen. Ein (Malware)Programm, das auf einem befallenen PC ausgeführt wird, braucht kein Meltdown um auf dem PC auf alles zuzugreifen worauf es will. Meltdown macht es mit viel Aufwand nur möglich, dass eine Schadsoftware, die eigentlich in einer Sandbox laufen müsste (Browser, App) auf Speicherinhalte zugreifen kann.

"Von Aussen" ergeben sich durch diese Lücke gar keine zusätzlichen Gefahren.

 

[Beatmaster A.C.]

Moment, heißt dass das auch die Konsolen betroffen sind? Die haben ja Custom AMD Jaguars (CAT Architektur).