News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Trochaion]

Bist du dir da sicher? Könnte es nicht theoretisch möglich sein, dass der GPU-Treiber eine nicht für Spectre anfällige CPU anfällig machen könnte?

Ziemlich sicher. Was sollten da denn ein Schädling ausnutzen? Eine Hardwareseitig nicht vorhandene Lücke? Da könnte man abfragen machen, wie einem beliebt, aber wenn der Prozessor das nicht zulässt, passiert nix.

 

[inge70]

Soweit ich das verstanden habe, muss ich ja ein Bios Update drüber bügeln, damit der Microsoft Fix überhaupt greift bzw installiert wird, korrekt?

also bei mir war Meltdown geschlossen nach dem MS-Patch. Zumindest sah es lt. Powershell so aus. Spectre wurde mittels Bios-Update und Microcode erledigt.

 

[Trochaion]

Die Software patches sind für Spectre1, nicht meltdown.

Das mit der Gewährleistung, nun ja. AMD hat leider kein vergleichbares Produkt zum i9 im Angebot, das fällt für mich raus. Muss ich den Rechner wohl unter Sicherheitsvorkehrungen betreiben, mit meltdown und Spectre fixes in der registry deaktiviert, ohne microcode update...

 

[inge70]

@Trochaion,

danke, habe es abgeändert.

 

[Chief_Rocker]

Die Software patches sind für Spectre1, nicht meltdown.

So hab ich das auch verstanden.
Der Windows Fix per Update für Meltdown benötigt um zu funktionieren ein Bios Update. Das hab ich mir zumindest so aus den ganzen Infos (die ja zum Teil auch widersprüchlich sind) zusammengereimt. Also ohne Mikrocode Update kein Meltdown fix.

Hab eben mal mit Gygabyte telefoniert...
Antwort: Wir wissen nicht wann und ob da fixes kommen...
Ja danke schön...

 

[habla2k]

Sorry, falls es irgendwo schon mal sand, hab jetzt locker 60 Seiten übersprungen, aber ich hab noch nen alten Bloomfield (erste Generation die betroffen ist), wird es auch hier MC Updates geben? Mein altes ASUS Board wird doch bestimmt keine BIOS Updates mehr bekommen?

Das obligatorische Windows-Update habe ich eingespielt. Seit dem läuft mein CPU Lüfter zwar ständig, was früher im Idle nicht so war, aber ansonsten merke ich keine Änderungen.

 

[branhalor]

Die Käufer sprechen bereits ein Machtwort und decken sich mit sicheren, schnellen und mit einem upgradefähigen Ökosystem ausgestatteten Ryzen Prozessoren ein, wie man bei Geizhals direkt sieht. Der R5 1600 hat den I7 8700K nach nur 2 Monaten wieder von Platz 1 der Top 100 verdrängt:

Denke, wenn ich im Laufe des Jahres upgraden sollte, wird es auch ein Ryzen (2), zum jetzigen Stand wahrscheinlich ein 1600X.
AMD hat derzeit immerhin eine bekannte Lücke weniger. Klar gibt's auch da wahrscheinlich noch irgendwelche Leichen im Keller, aber ob und wann die aufgedeckt, publik und damit potentiell breitband gefährlicher werden, ist noch die Frage.

Ansonsten hab ich nach wie vor nix gegen Intel. Die gesamte Mikroarchitektur in so einem PC ist mittlerweile dermaßen komplex, irgendeinen findigen Weg wird es immer geben, auch in fünfzig Jahren noch. Aber AMD bietet im Augenblick auch vor dem Hintergrund der aktuellen Kernschmelzen das dann doch etwas bessere P/L-Verhältnis.

 

[Trochaion]

So hab ich das auch verstanden.
Der Windows Fix per Update für Meltdown benötigt um zu funktionieren ein Bios Update. Das hab ich mir zumindest so aus den ganzen Infos (die ja zum Teil auch widersprüchlich sind) zusammengereimt. Also ohne Mikrocode Update kein Meltdown fix.

Hab eben mal mit Gygabyte telefoniert...
Antwort: Wir wissen nicht wann und ob da fixes kommen...
Ja danke schön...

Asus sagt zumindest, es wird validiert und getestet. Wenn Intel das OK mit dem microcode gibt (im Moment noch im Test), kommt das Update.

 

[Helge01]

Mein altes ASUS Board wird doch bestimmt keine BIOS Updates mehr bekommen?

Asus schafft es nicht mal bei den aktuellsten Mainboards BIOS Updates zu bringen.

Wenn die mal ordentlich Druck auf Intel ausüben würden, dann würde sich auch was ändern. Sie machen es sich aber gegenüber den Kunden einfach und schieben den schwarzen Peter einfach auf Intel. Das ist aussitzen, ohne Verantwortung dafür zu übernehmen.

Selbst de ME Lücke wurde noch nicht gefixt, da ja Intel das Update noch nicht frei gegeben hat. Das ist doch nach dieser Zeit Schwachsinn! Da muss man doch als Hersteller jeden Tag bei Intel auf den Tisch kacken, damit die sich endlich mal rühren.

 

[xxxx]

Ach das Microupdate für Spectre für Haswell ist vom November 2017 und in der Zeit ist es niemanden aufgefallen das der Microcode Probleme macht? Da kann man nur wieder sagen danke Intel ich hoffe ihr werdet in den USA in Grund und Boden geklagt Genauso wie einige teils Premium Hersteller unter aller Sau reagieren nach dem Motto Windows wird es schon richten warum Bios Update anbieten (Mit dem entsprechenden Tools ist das aktualisieren eines Microcodes im Bios Image kein Problem hab es erst die Nacht bei zwei Haswell Boards gemacht).

 

[Raucherdackel!]

Auch ARM-Chips von Samsung und Qualcomm sind betroffen (siehe News).

Ah, ja. Danke, das hab ich übersehen. Allerdings steht das auch nur beiläufig in einem Satz und wird dann später auch nicht mehr erwähnt. Eine feste Stellungnahme, ob die Krait und Kryo Kerne betroffen sind, steht da nicht drin. Und genau das wäre meine Frage dazu.

Nein. Schau dir die ARM-Seite (https://developer.arm.com/support/security-update) dazu genauer an: "Only affected cores are listed, all other Arm cores are NOT affected."

Ich kenne die Liste. Und laut derer sind eigentlich alle aktuellen Socs betroffen (nur A53 und A35 nicht). Man muss halt schauen, was hat beispielsweise ein Snapdragon 808 für Kerne. Oder der Snapdragon 820. Ich hab die Liste von Qualcomm und die Auflistung der Socs von Smartphones im Preisvergleich verglichen. Da wird einem ja richtig übel. Da die SoCs nämlich in big-LITTLE aufgebaut sind, schließt eine Sortierung nach A53-Kernen (der einzig halbwegs aktuelle ohne Sicherheitslücke) gar nicht aus, ob nicht doch andere (=betroffene) Kerne vorhanden sind!

Da von "nur einige ARM betroffen" zu reden, ist definitiv falsch. Faktisch ist von der aktuellen ARMv8 Architektur, die in Smartphones verbaut werden, nur der A53 nicht betroffen (der A35 wird ja nicht verbaut). Witzigerweise trifft man den in vielen günstigen China-Smartphones

 

[Trochaion]

Ach das Microupdate für Spectre für Haswell ist vom November 2017 und in der Zeit ist es niemanden aufgefallen das der Microcode Probleme macht? Da kann man nur wieder sagen danke Intel ich hoffe ihr werdet in den USA in Grund und Boden geklagt Genauso wie einige teils Premium Hersteller unter aller Sau reagieren nach dem Motto Windows wird es schon richten warum Bios Update anbieten (Mit dem entsprechenden Tools ist das aktualisieren eines Microcodes im Bios Image kein Problem hab es erst die Nacht bei zwei Haswell Boards gemacht).

Das geht natürlich problemlos. Was mich mal interessieren würde, ist, ob der microcode Spectre fix im Update vom November drin ist. Also dem 17112017 microcode Paket für Linux. Bzw für welche CPUs ist es drin? Skylake X? Coffeelake?

 

[valnar77]

Die Software patches sind für Spectre1, nicht meltdown.

Das mit der Gewährleistung, nun ja. AMD hat leider kein vergleichbares Produkt zum i9 im Angebot, das fällt für mich raus. Muss ich den Rechner wohl unter Sicherheitsvorkehrungen betreiben, mit meltdown und Spectre fixes in der registry deaktiviert, ohne microcode update...

Wenn einem ein 1950X nicht ausreicht, dann hast Du natürlich recht. Er kommt nicht ganz an einen 7980XE ran. Zudem wenn exessiv AVX512 etc genutzt wird. Treffen die beiden Punkte nicht zu, ist der 1950X durchaus ein sehr interessantes Produkt. Leider braucht er auch etwas Ryzen typisches Feintuning wie schnellen 3200er CL14 RAM etc.

Aber wenn du jetzt schon einen i9 hast, würde ich lieber mit den diversen Sicherheitsfixes leben, als darüber nachzudenken die ganze Plattform auszutauschen. Oder hast Du so viel I/O-Last, dass es für dich stark zum tragen kommt?

 

[Jesterfox]

Interessant. Gaming Engines, welche viel Daten streamen, wie the Witcher 3 oder evtl. GTA 5 (nicht getestet) verlieren durch die Fixes beim Intel I5 8400 signifikant an Leistung, wie Digital Foundry aufzeigt. Andere Engines sind dagegen kaum betroffen.

Deckt sich irgendwo mit den Erfahrungen zu SSD Benchmarks. So wie es aussieht sind ja vor allem Syscalls betroffen und die treten unter anderem beim I/O auf. In den Extremfällen bei denen viele kleine Zugriffe erfolgen wie eben entweder 4k Benchmarks oder eine Streaming-Engine die immer nur das gerade aktuelle Häppchen läd schlägt das dann besonders stark zu.

Bei Datenbanken wird ja auch ein größerer Impact erwartet.

 

[Zotac2012]

Die Lücken gegen Meltdown & Spectre können mit einem Patch und dabei ist es völlig egal per über das Betriebssystem oder per Microcode über das Bios nicht geschlossen werden. Das wäre nur durch ein komplettes Hardware Update möglich, also man müsste alle CPUs und das betrifft beide Hersteller AMD wie Intel, austauschen. Das ist natürlich nicht möglich, weil das viel zu teuer wäre, wir reden hier sicherlich von einem Aufwand im Milliarden Bereich, wenn man bedenkt, dass es praktisch alle CPUs betrifft, die derzeit verbaut sind.

Also versucht man jetzt Patches zu installieren, die einen Angriff erschweren und die Hürden für Hacker höher legen, weil man mehr Aufwand betreiben muss, ob sich so etwas lohnt, hängt letztendlich allein vom Angriffsziel ab. Kein Militär oder professionelle Hacker würden eine "normale Privatperson" angreifen, das wäre völlig uninteressant und steht in keinem Verhältnis zum Aufwand. Behörden, Konzerne, Militärs, Infrastrukturen, Börsen, Bankwesen, das wären lohnende Ziele, wo sich auch der Aufwand lohnen würde um größtmöglichen Schaden anzurichten.

Man kann das Problem hier sehr schön mit dem "Diesel Gate" vergleichen, da wird dem Kunden auch eine Lösung in Form von einem Softwareupdate angeboten und so suggeriert, man habe das Problem im Griff und alles ist wieder in Ordnung. Jeder Fachmann und Experte weiß, dass nur ein Hardware Tausch das Problem wirklich in den Griff bekommt, aber das scheuen die großen Autokonzerne, weil es zu teuer ist und eine Dividendenausschüttung vermutlich über einen längeren Zeitraum gen Null bringen würde. Das hätte zur Folge das die Aktien dieser Konzerne deutlich ins Minus gehen würden und das wird man mit allen Mitteln zu vermeiden versuchen, weil ganze Anwaltskanzleien in Stellung zu bringen immer noch günstiger wäre, als ein kompletter Hardware Tausch für alle betroffenen Fahrzeuge.

Also versucht man jetzt das Problem im PC Bereich durch installieren von Patches über das BS und Bios in den Griff zu bekommen, um den Kunden zu beruhigen und vorzugaukeln, dann wäre der PC sicher und die Sicherheitslücken geschlossen. Man versucht quasi das Betriebssystem wie auch den Prozessor zu impfen, in der Hoffnung das die Abwehrkräfte reichen, um eine Infizierung in Form eines Hacks zu verhindern, in weit der Schutz ausreichend ist, wird erst die Zukunft zeigen.

 

[usb2_2]

Was mache ich denn jetzt mit meiner gesamten Hardware? Mein Xeon auf Serverboard ist betroffen und bekommt kein Update, mein Surface 3 ebenfalls nicht, das Pro jedoch schon, mein Notebook mit Core M auch nicht. Nur mein Smartphone nutzen? Zurück auf alte AMD Hardware?

 

[Sun_set_1]

Habe ich auch nicht behauptet - ist in meinem Bekanntenkreis bei Windows 10 allerdings auch nicht der Fall...

Bis auf das Android Studio hat auch nichts davon mit dem Home-Directory zu tun - und das kann auch unter Windows in jeder Form passieren...

Genau darauf wollte ich ja hinaus. Ich gehe mal mindestens von 2 bis 3 verschiedenen Fehlern aus die in dem Update enthalten sind.

Radeon hat nichts mit libstdc++ hat nichts mit der home Umgebung von Studio zu tun...
Trotzdem meiner Meinung nach alle drei die gleiche Ursache (überstürztes-)Kernel-Update ..

Natürlich kann das unter Windows auch passieren. Es ist aber dann doch einfacher die .exe zu starten, als erstmal die xconf zu allokieren, prüfen was da los ist, zu prüfen welcher Treiber gerade läuft (generic, ubuntu-amd, radeon si etc), was mit der Home-Umgebung ist, wieso libstdc++ plötzlich zickt usw. usf.

Versteh mich nicht falsch, ich mag Linux auch. Das viel propagierte
"Hat in den letzten Jahren total aufgeholt, ist viel einfacher geworden" stimmt imho nur insofern keine Probleme auftauchen.
Da kann es sehr schnell ans Eingemachte gehen.

Beispiel:
0815 installiert Ubuntu / Debian. Der hat doch von XServer und allem noch nie was gehört. Der stellt nicht mal fest, dass der korrekte Treiber fehlt. Ganz zu schweigen davon, dann herauszufinden welchen der drei verfügbaren Radeon Treiber man denn jetzt am besten nimmt. Alleine um sich in die Thematik erstmal soweit einzulesen, dass man sich ein vernünftiges Urteil bilden kann, dauert einen halben Tag.

Und da haben nun mal die wenigsten Bock / Zeit / Hirn für.
Hier ist Windows in der Usability eben doch noch eine Welt entfernt.

 

[Botcruscher]

Mir fehlt bei der ganze Thematik noch immer die Bedrohung für den Einzelplatznutzer. Wer lokal für Code ausführen kann, braucht die Lücken nicht wirklich. Dazu sind die Angriffe extrem zeitkritisch.

Die eigentlich Frage betrifft die Verwundbarkeit der Browser über Java. Dazu hat aber noch keiner verwertbare Infos geliefert.

 

[xxxx]

Nein ich sagte nicht im Update vom November sondern das er am 20 November geschrieben wurde veröffentlicht wurde er erst am 8.1 also hatte Intel mehr als einen Monat zum testen. Nein aufgrund des Datums kann er schon gar nicht im November Paket mit drin sein. Na die Microcodes erfassen alles von Skylake-X bis Haswell soweit ich gesehen habe. Habe sie mir aus der von Intel veröffentlichten microcode.dat für Linux extrahiert.

@usb2_2 wenn du ein Ami Bios hast kannst du es nach dieser Anleitung versuchen https://www.win-raid.com/t154f16-Tool-Guide-News-quot-UEFI-BIOS-Updater-quot-UBU.html bei meinen Haswell Boards hat es geklappt bei meinen Skylake Laptop nicht.

 

[Trochaion]

Wenn einem ein 1950X nicht ausreicht, dann hast Du natürlich recht. Er kommt nicht ganz an einen 7980XE ran. Zudem wenn exessiv AVX512 etc genutzt wird. Treffen die beiden Punkte nicht zu, ist der 1950X durchaus ein sehr interessantes Produkt. Leider braucht er auch etwas Ryzen typisches Feintuning wie schnellen 3200er CL14 RAM etc.

Aber wenn du jetzt schon einen i9 hast, würde ich lieber mit den diversen Sicherheitsfixes leben, als darüber nachzudenken die ganze Plattform auszutauschen. Oder hast Du so viel I/O-Last, dass es für dich stark zum tragen kommt?

Ich benutze AVX 512 relativ oft und lege auch viel Wert auf IPC und Single core, damit auch takt. IO hab ich auch viel, 40Gbit Netzwerk via MTP Glasfaserkabel und QSFP+.