News Meltdown & Spectre: Details und Benchmarks zu den Sicherheitslücken in CPUs

Otsy · 3. Januar 2018

Sester schrieb:
Sachschädenregulierung durch Sicherheitslücken ist wohl der häufigste Anwendungsfall des Produkthaftungsgesetzes.
Stell dir vor du hast ein Auto für das man einen Schlüssel braucht laut Hersteller aber man braucht durch das Verschulden des Herstellers dann doch keinen. Für dadurch enstehende Sachschäden muss der Hersteller in unbegrenzter Höhe haften.

Straftatbestände sehe ich nicht aber ich bin auch nur Laie.

Auch ich bin kein Jurist, aber sollte hier nicht mindestens der Umstand der 'groben Fahrlässigkeit' (wie in deinem Auto-Vergleich) gegeben sein müssen?

Ich bin in jedem Fall gespannt auf die weitere Entwicklung.

Erich95 · 3. Januar 2018

Guten Tag,
Da ich bei Gott kein Pc Experte bin richte ich mich an euch.

Und bin nun ziemlich verunsichert ich mache mir sorgen das ich dadurch mit meiner Cpu (i7-4790k) massive Leistungseinbußen bekommen werde.
Habe derzeit nämlich nicht die Möglichkeit umzurüsten da mein Geld anderweitig benötigt wird. Es wird ja teilweise von 63% Einbußen gesprochen was ziemlich fatal ist.
Kann mich jemand aufklären der vom genanten Thema mehr Ahnung hat, klar die Info gibt's noch nicht lange aber dennoch.
Kann man dieses Update vllt auch irgendwie umgehen oder würde das schlimmere Konsequenzen nach sich ziehen.

Hab davon wirklich null Ahnung wäre euch also dankbar wenn mich hier keiner "verspottet".

Mein Thread wurde geschlossen mit Verweis auf diesen also hier bin ich :/.

Lübke82 · 3. Januar 2018

Bigfoot29 schrieb:
Nur, weil Du nicht erkennst, dass Du kompromittiert wurdest, heisst das nicht, dass Du es NICHT wurdest. Es geht darum, dass in den vergangenen Jahren die großen Geheimdienste genügend Mittel hatten, diese Schwachstelle auszunutzen. Und spätestens damit war das KnowHow auch für kriminelle Vereine greifbar. Ergo kann Dir JEDER nen Trojaner auf Dein System schleusen, ohne dass das OS etwas dagegen tun könnte. Und der Trojaner ist diesmal nicht zwingend ein Programm mit Root-Rechten sondern vielleicht "nur" der Browser mit User-Rechten oder die manipulierte MP3, die Deinen Audioplayer übernimmt, weil/damit der die Inhalte des anderen Browser-Prozesses, in dem Du Dein Online-Banking grad durchführst, dank Bug auch lesen kann.

Ja, die "großen" Serveranbieter sind mal bevorzugt betroffen. Aber letztlich ist die Schwachstelle für JEDEN PC-Nutzer ein Sicherheitsrisiko.

Regards, Bigfoot29

Dann nehmen die halt eine andere Sicherheitslücke. Glaubst du ernsthaft, dass die da erst jetzt drauf gestoßen sind?

Otsy · 3. Januar 2018

@Erich95

Dann lies doch bitte den Artikel und die entsprechenden Quellen. Da kannst du alles über den Ist-Stand der Informationen in leichtem Deutsch nachlesen.

Lübke82 · 3. Januar 2018

Erich95 schrieb:
Guten Tag,
Da ich bei Gott kein Pc Experte bin richte ich mich an euch.

Und bin nun ziemlich verunsichert ich mache mir sorgen das ich dadurch mit meiner Cpu (i7-4790k) massive Leistungseinbußen bekommen werde.
Habe derzeit nämlich nicht die Möglichkeit umzurüsten da mein Geld anderweitig benötigt wird. Es wird ja teilweise von 63% Einbußen gesprochen was ziemlich fatal ist.
Kann mich jemand aufklären der vom genanten Thema mehr Ahnung hat, klar die Info gibt's noch nicht lange aber dennoch.
Kann man dieses Update vllt auch irgendwie umgehen oder würde das schlimmere Konsequenzen nach sich ziehen.

Hab davon wirklich null Ahnung wäre euch also dankbar wenn mich hier keiner "verspottet".

Mein Thread wurde geschlossen mit Verweis auf diesen also hier bin ich :/.

Keine Sorge. Die Leistungseinbußen stehen nur bei bestimmten Operationen an und nicht allgemein.

Rockstar85 · 3. Januar 2018

oldmanhunting schrieb:
Ich finde die kriminelle Energie von Leuten oder Staaten die solche Sicherheitslücken ausnützen viel schlimmer als die Sicherheitslücke selbst.

Das Problem ist ja, wenn man diese Lücken bewusst zurückhält (beispiel Wannacry) Sicherheitslücken gibts immer, ist nunmal Menschengemachtes Produkt. Ich bin aber auch froh dass zb. die IME von Intel abgeschaltet wurde, und PSP vermutlich noch folgen wird, denn auch hier wirds Lücken geben, die bisher eben nicht gefunden wurden.

Banned · 3. Januar 2018

Eine kurze Nachfrage:

Morgen (also am 4. Januar) sollen irgendwelche weiteren Informationen veröffentlicht werden?

Habe ich irgendwo aufgeschnappt. Stimmt das bzw. aus welchem Grund dieses Datum?

Erich95 · 3. Januar 2018

@otsy

Habe gerade den verlinkten Spiele Benchmark gelesen der wie ich annehme ja schon mit dem Update gemacht wurde, bleibt nur zu hoffen dass sich die Ergebnisse auf Windows übertragen lassen.

Dieses Update würde das dann via Windows Update kommen oder wäre da ein BIOS Update nötig?

@lübke82

Heißt Spiele sind davon augenscheinlich erst einmal nicht betroffen?

Trochaion · 3. Januar 2018

AMD-Mafiosi schrieb:
Fraglich ob das durchgeführt wird.. Erinnere dich an den TLB Bug von AMD, den betraf auch nur 0,5% und dennoch wurde per Microcode TLB abgeschaltet, mit Katastrophalen Folgen. Ich befürchte es wird standardmäßig off werden. Aber die Frage ist auch, was kann ein Patch der Software da gegensteuern.

Da sieht es eher schlecht aus. Optionen beim NT Kernel ? Wohl eher nein :/

Sun_set_1 schrieb:
Trugschluss.

Es ist wichtig zu verstehen, dass bei einem Hack meistens mehrere Exploits zum Einsatz kommen.

In der Regel mindestens drei:
Das Einfallstor, das Hauptexploit, das Erlangen der Rechte - sprich das Ausführen von privilegiertem Code.

Dessen bin ich mir durchaus bewusst. Ad- und Scriptblocker habe ich pauschal aktiviert, das sollte wirklich Standard sein. Was auch helfen könnte, wäre ein Zweitsystem mit aktiviertem KPTI - sozusagen als Surf- und Passthrough system. Downloads etc nur auf dem Zweitrechner, auf dem Hauptrechner läuft nur Anwendungssoftware und Spiele. Kein Browser, keine Downloads. Das soll aber wirklich nicht der Sinn der Sache sein.

Steffen · 3. Januar 2018

MrJules schrieb:
Morgen (also am 4. Januar) sollen irgendwelche weiteren Informationen veröffentlicht werden?

Habe ich irgendwo aufgeschnappt. Stimmt das bzw. aus welchem Grund dieses Datum?

Ja, steht auch so bei uns in der News. Das hatte ich gestern Abend irgendwo aufgeschnappt, aber heute Morgen die Quelle nicht mehr gefunden. Wenn mir da jemand auf die Sprünge helfen könnte würde ich den Link gerne noch in die News einbauen. Eventuell war es die VMWare-Website.

XTR³M³ · 3. Januar 2018

Krautmaster schrieb:
das geht sicher einfacher als über eine Side Channel Attacke mit der man nur zu einer gewissen Wahrscheinlichkeit die korrekten Daten erhält. Wie kritisch der Bug ist erfährt man ja dann vielleicht morgen.

Was ich mir aber vorstellen kann dass es aus gründen der Performance eine bewusste Designentscheidung war. Ist ja auch nicht erst seit gestern drin und man könnte jetzt nicht behaupten dass jeder von und dadurch irgendwie massiv abgezockt wurde / Schaden erlitten hat.

auch möglich, wäre dann aber doppelt schlimm, weil wenn diese lücke bewusst in kaufgenommen wurde ohne das "druck von oben" seitens einer regierungsbehörde bestand, nur um mehr leistung rauszuquetschen... uhhh, das könnte dann richtig teuer werden wenn das rauskommen sollte, denke das viele firmen dann auf milliarden klagen werden.

Buzz schrieb:
Und ohne Umstände sieht auch anders aus, Screenshots, mehrere mails, teils englische Kommunikation etc.

nunja, englische kommunikation setze ich heutzutage als mindestmass vorraus, um überhaupt in der globalisierten welt beruflich auch nur ansatzweise -egel welche branche- bestehen zu können. wer das nicht kann, hat halt selber schuld.

Saki75 · 3. Januar 2018

Ich kann all dieses "sicherheitslücken" getue nicht mehr sehen.

Meine Meinung ist das das alles so beabsichtigt ist , nur finden die Konkurenten diese heraus.Es ist ein Kampf zwischen den Konzernen.
Wieso verbaut Intel aufeinmal eine Grafikkarte von AMD in ihre prozessoren?

Ich will nicht wissen wie schnell unsere PCs wären ohne all diese überwachungs systematik die da im gange ist , oder wie schnell das Internet ohne Werbung wäre.

Iarn · 3. Januar 2018

Alle die Angst haben, dass ihr Gaming Rig langsamer wird können sich nach den Tests von Phoenix erst mal entspannen. Auch wenn Linux Benchmarks nicht 1:1 auf Windows übertragbar sind, ist es dennoch sehr wahrscheinlich dass sich Windows Spiele relativ ähnlich verhalten.

iNFECTED_pHILZ · 3. Januar 2018

Erich95 schrieb:
Heißt Spiele sind davon augenscheinlich erst einmal nicht betroffen?

Heißt, das es momentan keiner weiß. Wahrscheinlich wird für das groß der Spiele die Leistung nicht all zu sehr leiden.
Am Beispiel von Assassins Creed Origins wurd aber schon zu bedenken gegeben dass es hier wohl größere Performance Verluste geben wird.

Mach dir jetzt mal nicht all zu große Gedanken, deine Probleme ( bzw meine auch, da ich größtenteils nur zocke am PC) stehen auf der Prioritätsliste erst mal ganz weit hinten. Jetzt wird erst mal sichergestellt, dass der Bug gefixt wird, ob und wie man danach die Performance wieder aufs alte Niveau bekommt, wird man dann sehen.

Trochaion · 3. Januar 2018

Steffen schrieb:
Ja, steht auch so bei uns in der News. Das hatte ich gestern Abend irgendwo aufgeschnappt, aber heute Morgen die Quelle nicht mehr gefunden. Wenn mir da jemand auf die Sprünge helfen könnte würde ich den Link gerne noch in die News einbauen. Eventuell war es die VMWare-Website.

https://xenbits.xen.org/xsa/

Den Link habe ich noch in der Chronik gehabt ^^

Wadenbeisser · 3. Januar 2018

Seit 13 Uhr geht an der Börse die Post ab, aktuell +7,31% bei AMD und -2,33% bei Intel.

Sester · 3. Januar 2018

Otsy schrieb:
Auch ich bin kein Jurist, aber sollte hier nicht mindestens der Umstand der 'groben Fahrlässigkeit' (wie in deinem Auto-Vergleich) gegeben sein müssen?

Produkthaftung
"Als Hersteller haftet man für die Gefahren die vom eigenen Produkt ausgehen, ohne dass dazu ein Verschulden des Herstellers notwendig ist (Gefährdungshaftung)".
"Gehaftet wird für alle materiellen oder immateriellen (Schmerzensgeld) Schäden, die durch das fehlerhafte Produkt verursacht werden. Für Schäden am Produkt selbst kommt keine Haftung in Betracht, da hierfür gewährleistungsrechtliche Ansprüche greifen."
"Vorraussetzung: ...Sachschäden, wenn die beschädigte Sache nicht das fehlerhafte Produkt selbst ist und sie überwiegend privat genutzt wurde."

Dann gibt es noch die ggü. dem Kunden/Geschädigten großzügerige Produzentenhaftung wo die Fahlässigkeit mit ins Spiel kommt (evtl. gibt es dort eine Beweislastumkehr => Intel muss nachweisen, dass sie nicht fahrlässig gehandelt haben), da gibt es die Privatnutzungs-Vorraussetzung nicht.

Otsy schrieb:
Ich bin in jedem Fall gespannt auf die weitere Entwicklung.

Ich auch!

@kisser
Sicherheitslücken klingt zwar nach IT aber das war nicht nur auf die IT Welt bezogen. Sicherheitsmängel triffts wohl eher.

guillome · 3. Januar 2018

In der IT wird alles immer umfangreicher, komplexer, komplizierter und verzahnter. Damit steigen mögliche Bugs in so ziemlich Allem exponetiell an. Ich will gar nicht wissen wieviel Bugs, Fehler oder ähnliches heute noch irgendwo drin sind...

Drakonomikon · 3. Januar 2018

Ist der neue Coffee-Lake (z.B. i7-8700K) davon auch betroffen? Ich bin gerade dabei mir ein System zusammenzustellen, ich glaube ich warte erstmal einen Monat ab und gucke wie sich das entwickelt.

Sun_set_1 · 3. Januar 2018

kisser schrieb:
Inwiefern? Das man aus steuerrechtlicher Taktik bestimmte Geschäfte zu bestimmten Zeiten abwickelt ist nun nicht ungewöhnlich.

Gegenprüfung:

Dass ein CEO auf Basis von Insiderinformationen Unternehmensanteile verkauft, ist nun auch nichts ungewöhnliches.

Klar, bei Nachweis ist es strafbar.. aber der Vorgang an sich ist jetzt nun mal auch nicht ungewöhnlich.

News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

Rear Admiral Pro

Lt. Junior Grade

Lübke82

Gast

Rear Admiral Pro

Lübke82

Gast

Admiral Pro

Admiral

Lt. Junior Grade

Lt. Junior Grade

Technische Leitung Pro

Captain

Lt. Commander

Lt. Junior Grade

Commodore

Lt. Junior Grade

Wadenbeisser

Gast

Sester

Gast

Captain

Commander

Captain

Passend zum Thema

News Meltdown & Spectre: Details und Benchmarks zu den Sicherheitslücken in CPUs