News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[The_Void]

Gibt es irgendwo einen Beleg, das es einen Großkonzern einschneidend getroffen hat, aufgrund eines Angriffs genau über diesen Bug bei einem Intel Prozessor?

nein, es gibt keinen beleg, dafür millionen nutzerdaten, die juni/juli im darknet gefunden wurden. wobei ich nicht weiß, ob da ein zusammenhang herzustellen ist, aber irgendwoher müssen die daten ja wohl kommen? alleine die schiere menge an daten ist überwältigend und nicht einfach zu erklären.

der grund, warum gerade wenig über die sicherheitslücke im web berichtet wird, dürfte der sein, daß der bug nicht ausgenutzt wird. ganz einfach. an eine ente glaube ich weniger, das hat schon hand und fuß und ohne die linux devs wäre erst viel später was über die lücke durchgesickert. ka, ob das gut wäre. im moment denke ich, je weniger man weiß, umso besser, bis die sache gefixt ist.

natürlich freue ich mich darüber, daß das gros der intel nutzer zumindest in den meisten spielen keine performanceeinbußen haben wird. wir werden ja sehen, welche szenarien für einen performancerückgang in frage kommen. ich denke mal, überall da, wo viele/kleine dateien gelesen und geschrieben werden.

 

[atlas77]

Durch bekannt werden dieser Sicherheitslücke wäre erstmal jedes System angreifbar wo eine Intel CPU drin steckt.

Jeder deiner Logins potentiell angreifbar, vom Online-Banking bis zum Streaming Dienst.

Durch diesen Fix werden Intels wichtigste Kunden getroffen, der Server-Markt. Je nach Anwendung im Serverbereich verlieren sie deutliche Geschwindigkeit was einem massiven Schaden für die Infrastruktur der Firmen bedeuten kann.

Jedes Intel system war auch vor dem bekanntwerden der Sicherheitslücke angreifbar, nur wusste es da niemand. Ich wurde aber nicht angegriffen. Und jeder der durch genau diesen Bug angeriffen wurde, kann ja gerne einen Thread eröffnen.

Ich nutze weder Online Banking noch Internet Streaming Dienste.

Was gehen mich Intels wichtigste Kunden an? Der Server Markt interessiert mich nicht, warum auch, ich bin ja dem Server Markt auch egal. Und wenn es kein Internet mehr gibt, gibt es eben was anderes.

Ich halte es deinem Alter zugute.

 

[GUN2504]

Selbst bei SpiegelOnline ist die Katze aus dem Sack!

Aber ich bin froh, das hier bei CB die Autoren/Redakteure wenigstens Ahnung von der Materie haben

 

[Mardock]

@atlas77
von einer sicherheitslücke merkst du auch erst was wenn es zu spät ist konto leer accounts gehackt noch wochen später trudeln rechnungen ein von dingen die du nie bestellt hast...

 

[xexex]

Da sieht es eher schlecht aus. Optionen beim NT Kernel ? Wohl eher nein :/

Das kommt drauf an, welche negativen Auswirkungen zu erwarten sind. DEP lässt sich ja ebenfalls seit Jahren problemlos ein- und ausschalten.

Natürlich unterstützt auch der NT Kernel diverse Optionen.
https://docs.microsoft.com/en-us/wi...test/boot-parameters-to-configure-dep-and-pae
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/setting-and-clearing-kernel-flags

 

[Sun_set_1]

Das dürfte eher selten der Fall sein, weil die Bösernaufsicht da schon genau hinschaut.
Aber wenn du dir mal den Aktienkurs bei Intel anschaust: wann hättest du denn verkauft?
Es dürfte sich hier beim CEO um eine Gewinnmitnahme handeln, die im alten Jahr steuerlich zur Geltung kommt.

Also ich persönlich hätte die Aktien schon vor Ryzen VO abgetreten...
Natürlich kann das ein ganz normaler Vorgang sein. Kann aber auch anders sein. Mir ging es darum, dass das Argument "ist nichts ungewöhnliches" für mich erstmal keines ist.. bzw zumindest keines welches einen Verdacht entkräftigen könnte.

Bei uns in DE wird momentan übrigens gegen die Metro und auch die Deutsche Börse ermittelt. Jeweils Insiderhandel.

http://www.manager-magazin.de/unter...elt-gegen-ceo-carsten-kengeter-a-1132784.html

So selten ist das nicht und ich persönlich würde vermuten, in den USA wird das zum noch Teil häufiger passieren.
Natürlich gibt es die mächtige SEC. Aber genau die gibts es ja nicht umsonst..

BTT

@Steffen,

konntet ihr AC Origins oder F1 2017 als Denuvo / CPU-lastiges Spiel schon testen?

 

[Magl]

Ist der neue Coffee-Lake (z.B. i7-8700K) davon auch betroffen? Ich bin gerade dabei mir ein System zusammenzustellen, ich glaube ich warte erstmal einen Monat ab und gucke wie sich das entwickelt.

Bin mir nicht sicher, ob das jetzt ironisch gemeint war ... falls nicht, warte besser mal 2 bis 3 Jahre, den siehe hier:

In den sechs Anwendungen zeigt sich dabei nahezu kein Unterschied, lediglich der Benchmark von 7-Zip, der im RAM abläuft, fällt mit 2 Prozent Rückstand messbar geringer aus. Auch Spiele sind wie erwartet bisher unbeeindruckt davon, die Aussagen decken sich mit den bereits durchgeführten Linux-Tests.

... oder mit anderen Worten, Du wirst praktisch nix merken.

 

[Krautmaster]

@atlas77
von einer sicherheitslücke merkst du auch erst was wenn es zu spät ist konto leer accounts gehackt noch wochen später trudeln rechnungen ein von dingen die du nie bestellt hast...

ja was die letzten 10 Jahre sicher massenhaft vorkam (wegen genau dieser PTI Sache)

Ganz ehrlich, auch oder gerade bei Lücken wie dieser wird oft überdramatisiert. Gerade von Privatpersonen. Da find ich den Business Cloud Hype der gerade durch die Firmen geht weit kritischer. Hauptsache man hat Cloud und verspricht sich davon was... aber dass man dann technologisch kritische Daten nicht mehr unter Kontrolle hat und sich auf ewig bindet... wird oft ausgeblendet.

Es ist bei der Lücke ja nicht so dass jeder dahergelaufene nun deine Online Banking Sachen am PC abziehen kann - da gibts sicher 200 andere Wege die man eher in Betracht ziehen würde.

Die Lücke is schon sehr low level was den theoretischen Spielraum groß werden lässt aber das Konstrukt darum wäre wohl auch extrem aufwendig.


Edit: Das Drama das hier gemacht wird ist eher wegen dem möglichen Performance Loss. Das überspielen wohl viele auf den Sicherheitsaspekt. Vermutlich lässt sich jede Intel ME / Fritzbox Lücke 1000x einfacher ausnutzen und ist damit auch eher auf der Hacker Agenda wenns drum geht Privatpersonen anzugreifen. Die Chance bei Ebay Kleinanzeigen abgezogen zu werden oder seinen Geldbeutel zu verlieren oder morgen vom Auto überfahren zu werden dürfte dennoch weit höher sein. Soll nicht heißen dass man so Lücken nicht zeitnahe schleißen muss... aber was wurde hier auch gehated wegen den MS ZwangUpdates (die bei sowas ja wie man sieht wichtig sind)

Jede Software / Komponente in eurem PC / LAN hat vermutlich noch unzählige weit kritischere Sicherheitsdefizite.

 

[Tearso]

Wurde das auf Windows jetzt auch schon aktiviert, wie in Update 2 steht? Und wenn ja auch für AMD?

 

[Krautmaster]

Wurde das auf Windows jetzt auch schon aktiviert, wie in Update 2 steht? Und wenn ja auch für AMD?

es wurde mit dem neusten Insider getestet. Da dürfte es seit Nov drin sein. Bei normalen W10 Setups ohne Insider dürfte dem nicht der Fall sein.

 

[Sun_set_1]

Nur im Developer-Ring, alle anderen erhalten den Patch vrstl. nächsten Dienstag. Oder halt als Hotfix außerhalb der Reihe, dazu hat sich MS aber noch nicht geäußert.

 

[yummycandy]

Klar wirkt sich das bei Spielen gering aus. Bei DBs allerdings werden viele SysCalls ausgeführt und dort können schon mal 20-30% Verlust eintreten. Überhaupt sind eher Server als Clients vom Performanceeinbruch betroffen. Von der Sicherheitslücke sind aber nahezu 100% betroffen.

 

[E1nweg]

Bei AMD wären die Leute schon mit den Heugabeln und Fackeln im Forum unterwegs. Heise und Golem würden im Sekundentakt News dazu rausbringen und würden nicht offensichtlich die News zurückhalten, da es ja in diesem Fall um Intel geht.

Man muss nur unter die News "Vereinzelt Probleme mit DirectX-9-Klassikern" schauen... da zeigt sich ein etwas anderes Bild. Hier geht es "gesitteter" zu, vielleicht auch weil 70-80% der Leute eine Intel CPU im PC haben. Und dann beschweren sich Leute wie 'engineer123' über den Sturm im Wasserglas, den er zuvor selber drüben im AMD-Thread geschürt hat. Doppelmoral par excellence...

 

[Begu]

Edit: Das Drama das hier gemacht wird ist eher wegen dem möglichen Performance Loss. Das überspielen wohl viele auf den Sicherheitsaspekt. Vermutlich lässt sich jede Intel ME / Fritzbox Lücke 1000x einfacher ausnutzen und ist damit auch eher auf der Hacker Agenda wenns drum geht Privatpersonen anzugreifen. Die Chance bei Ebay Kleinanzeigen abgezogen zu werden oder seinen Geldbeutel zu verlieren oder morgen vom Auto überfahren zu werden dürfte dennoch weit höher sein. Soll nicht heißen dass man so Lücken nicht zeitnahe schleißen muss... aber was wurde hier auch gehated wegen den MS ZwangUpdates (die bei sowas ja wie man sieht wichtig sind)

Ich verstehe nicht warum es mit diesem Bug nicht möglich sein sollte, das per Software zu automatisieren. D.h. Browser legt Wurm an, der bspw. auf Online Banking oder Amazon reagiert und entweder Geld auf die Bahamas überweist oder Bestellungen auslöst.

 

[BOBderBAGGER]

Jedes Intel system war auch vor dem bekanntwerden der Sicherheitslücke angreifbar, nur wusste es da niemand. Ich wurde aber nicht angegriffen.

Eben weil keiner oder nur sehr wenige von der Lücke wussten, das Problem am Bekanntwerden und nicht stopfen solcher Löcher ist das in einigen Wochen scheremy am Rechner seiner Mutti bewaffnet mit einem step by step Guide "häcken" kann.

Ich renne jetzt aber auch nicht plötzlich schreiend durch die Bude denn es gibt ja einen fix. Ob der meine CPU irgendwo ein paar Prozente langsamer macht ist mit sowas von Latte.

 

[estros]

Inwiefern dies auf den Patch zurückzuführen ist, bleibt abzuwarten,...

Was wollt ihr denn Abwarten liebe CB Redaktion? Durchs warten wird man auch nicht schlauer.

 

[atlas77]

Und wenn es kein Internet mehr gibt..." Bitte Hirn anschalten.

Ich bin über die Hälfte meines Lebenes ohne Internet aufgewachsen, weil es noch keins gab,
und meinst du den Rest würde ich nicht auch ohne auskommen?

du kannst nicht von dir als smarten startup studi ausgehen, der lieber Web designt als anderen die Sch...haus rohre zu verlegen.

ich brauche weder Zalando, noch Online banking, noch überhaupt ne Bank, wir haben früher das Geld in die Lohntüte bekommen, und auch keine Pizzalieferdienst und auch kein Netflix, und und und und...

 

[Tearso]

Wer lesen kann ...! "Intel" steht ja gleich am Anfang ... Sorry!

Dann solltest du das auch von dir fordern. Im Artikel steht auch, dass es bei Linux auch für AMD-Prozessoren gepatcht wurde.

 

[Krautmaster]

Ich bin mir nicht sicher, ob ich es Deinem Alter und/oder Deiner Technik-Affinität zugute halten soll, dass Du so leichtfertig mit diesem Bug umgehst.

hm definiere leichtfertig. Wann immer man Zugriff auf Speicherbereiche erhält kann man wohl Sätze wie...

Der Kern des Problems ist einer Analyse von "The Register" zufolge, dass normale Programme den Chip-Fehler ausnutzen können, um auf Speicherbereiche des Prozessors zuzugreifen, in denen beispielsweise Passwörter, Login-Daten oder andere Dateien abgelegt werden. Normalerweise werden diese Speicherbereiche vor fremder Software versteckt, sind für sie quasi unsichtbar. Durch den Prozessorfehler aber könnte beispielsweise eine in den Webbrowser oder auf einen Cloud-Server eingeschleuste Schadsoftware auf diesen Speicherbereich zugreifen.

... einbauen und schon sieht die Meldung dramatisch aus.

Und da gibts vermutlich 200 auch bekannte Lücken wo das geht bzw viel mehr gehen könnte - es ist ja erstmal theoretischer Natur, mit viel Aufwand und Ressourcen ggf auch bei sowas wie dem US Wahlkampf angewendet aber was will jemand sich den Aufwand bei dir / mir als Privatperson geben? Selbst mit Onlinebanking Passwörtern kann man 0 und nix anfangen da 2 Faktor.

Will er was für dich auf FB Posten, deine Emails lesen, sich an den Bikini Urlaubfotos deiner Freundin aufgeilen?

Will heißen man muss sich erstmal wirklich überlegen weshalb sich da jemand bei einem persönlich den Aufwand geben soll. Die Sicherheitslücke mag mit enorm hohem Aufwand ausnutzbar sein, man muss da vermutlich den Angriff schon sehr genau planen und einleiten und dann die richtigen Register auslesen um das gewünschte PW zu erhalten. Am ehesten werden so Dinge ggf für Cyber Wars interessant, wenn man ggf je nach Attacke viele potentielle PCs braucht die einem Angriff dienen also mitwirken ohne dass die Beteiligten vielleicht was davon merken aber praktischen Nutzen der den einzelnen betrifft seh ich wenig.

Da werden weit mehr über Phishing, Kleinanzeigen, Taschendiebstahl abgezogen.

Ich denke man muss schon mit gesundem Menschenverstand und auch etwas Nüchternheit an sowas rangehen. Ja es betrifft erstmal ne Unsumme an Rechnern (klar da eben Intel) und ja, so schnell wie möglich auch erzwungen fixen bin ich absolut für. Aber nun Panik machen... erinnern wir uns noch an die 2000er, wo dann die PCs plötzlich erzwungen runterfahren wurde, oder die vielen Ransomware Angriffe aus letztem Jahr? Vermutlich eine ganz andere Liga was Auswirkung auf Privatpersonen und Unternehmen angeht - vor allem da auch real ausgeübt und nicht rein theoretisch.

 

[Jan]

konntet ihr AC Origins oder F1 2017 als Denuvo / CPU-lastiges Spiel schon testen?

AC ist gleich "unten", F1 2017 haben wir gerade nicht zur Hand.