News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[deo]

Ich gehe dann mal lieber ins Bett, bevor noch mehr solcher Schauergeschichten kommen.

 

[Kloud71]

Zum Glück hat mein i7 4770 INVPCID und PCID... Mal sehen was passiert!

 

[MXE]

D.h. das in erster Linie Android Nutzer gef**** sind weil sie keine Updates bekommen. Der große Intel Bug wird gefixt und Spectre wird in 1-2 Jahren ansatzweise gefixt sein während sich die Geheimdienste einen hobeln weil sie diese und andere Lücken nutzen.
Wie kams, dass erst jetzt darüber berichtet wird?

 

[Fortatus]

Ich lade mir grade den LineageOS-Build von heute auf mein Smartphone, mal sehen welcher Patchlevel das ist.

 

[Lord Wotan]

Wenn du jetzt noch ein bisschen weiter aufmerksam durch klickst und die folgenden Erklärungen dazu liest dann wird es wohl eher an der steuerlichen Regulierung liegen die sich im neuen Jahr geändert hat. Sowas ist nicht wirklich unüblich, denn insiderhandel wird hart bestraft in den USA, ubd wegen den "paar Prozent" ergo peanuts für so eine Person sich ins abseits zu schießen?.. Da handeln nicht selber, die haben ganz sicher einen oder mehrere Leute die sie beraten was sie mit den Aktien am besten machen.

Es kann alles ein ganz großer Zufall sein. Aber die Zeitliche nähme zum größten Bug der Computer Geschichte und zum größten Sicherheitsloch aller Zeiten, ist schon seltsam.

 

[yummycandy]

Ich empfehle mal dringend folgenden Link zu lesen: https://spectreattack.com/

 

[DKK007]

D.h. das in erster Linie Android Nutzer gef**** sind weil sie keine Updates bekommen. Der große Intel Bug wird gefixt und Spectre wird in 1-2 Jahren ansatzweise gefixt sein während sich die Geheimdienste einen hobeln weil sie diese und andere Lücken nutzen.

Ist doch nichts neues. Fürs WPA2 gab es auch auf nachfrage beim Hersteller kein Update.

 

[Unlimited1980]

Artikel-Update: Google hat die vollständigen Details zu den drei Problemen im Project Zero Blog veröffentlicht.

Spectre betreffe hingegen praktisch alle relevanten CPUs von Intel über AMD bis hin zu ARM und sei zwar schwerer auszunutzen aber auch schwerer zu beheben. Offenbar kann Spectre nicht an zentraler Stelle mitigiert werden, sondern viele Anwendungen müssen einzeln angepasst werden. Beispielsweise wird Chrome 64 entsprechende Änderungen enthalten. Die Sicherheitsforscher prophezeien, dass Spectre Entwickler noch einige Zeit beschäftigen werde: „As it is not easy to fix, it will haunt us for quite some time.“

Also nach der Quelle sieht es so aus, zusammengefasst:

Variante 1: "If the kernel's BPF JIT is enabled (non-default configuration), it also works on the AMD PRO CPU."
Variante 2: AMD nicht betroffen
Variante 3: AMD nicht betroffen

Also ist AMD nichteinmal von Variante 1 betroffen, sofern keine "non-default configuration" vorliegt.

Es ist ein ziemliche Unverschämtheit, dass google dann V1 & V2 zusammenfasst und es dann aber so dargestellt wird, als sei AMD von Spectre (=V1&V2) betroffen.
Das ist völlig falsch nach der Aussage des eigenen Textes.
Pure rhetorische Winkelzüge, um so zu tun, als sei AMD fast genauso stark betroffen, wie Intel.
Dabei sind sie nach den Ergebnissen von Google nichteinmal wirklich von V1 betroffen.
Nur wenn man es absichtlich so konfiguriert (nondefault), dann ist AMD von V1 betroffen.

 

[JZedtler]

Verstehe ich das nach allen Meldungen richtig das bei AMD wenn überhaupt nur die älteren CPU's bis FX betroffen sind aber nicht Ryzen?

 

[kisser]

Man geht davon aus das die Lücke bis zum P-Pro zurückreicht

We have discovered that CPU data cache timing can be abused to efficiently leak information out of mis-speculated execution,

Spekulative Ausführung im Pentium Pro?

 

[G00fY]

Also nach der Quelle sieht es so aus, zusammengefasst:

Variante 1: "If the kernel's BPF JIT is enabled (non-default configuration), it also works on the AMD PRO CPU."
Variante 2: AMD nicht betroffen
Variante 3: AMD nicht betroffen

Ist fraglich ob die Aussage aus dem Whitepaper bzgl. AMD und Ryzen auch auf non-default Kernel Settings basiert:

We have empirically verified the vulnerability of several Intel processors to Spectre attacks, including Ivy Bridge, Haswell and Skylake based processors. We have also verified the attack’s applicability to AMD Ryzen CPUs.

 

[Unlimited1980]

Ich habe inzwischen das Gefühl, bei der Berichterstattung gibt es ein starkes anti-AMD-Bias.
Diese unverschämte Berichterstattung ist so dreist.

Daher kann ich mir vorstellen, sie werden sicher Epyc getestet haben, haben irgendeine komplett praxisferne Fehlkonfiguration gefunden, so wie die "non-default configuration" bei der AMD PRO CPU und konstruieren daraus, dass Epyc betroffen ist.
Obwohl diese Behauptung evtl komplett absurd ist.

Also Intel hat diese Lücken sicher, aber jetzt wird noch versucht, diese auch AMD anzudichten.
Mit allen rhetorischen und methodischen Tricks.
Werde das whitepaper jetzt doch noch durchlesen müssen vor dem Schlafen... grmpf.
Alles muss man selber lesen heutzutage, um sich vor manipulation zu schützen...

Die Leute sollen schön verunsichert werden, dann kann der INtel - CEO auch klammheimlich noch AMD-Aktien zu günstigen Kursen einkaufen.

 

[iNFECTED_pHILZ]

Es kann alles ein ganz... Zufall sein... .

Und mehr wird da auch wohl nicht dahinter sein Wieviel Prozent ist die Intel Aktie gesunken? 5?

Wären bei 11 Millionen ca 550.000, was eine Menge Geld ist, aber für jemanden in so einer Position sicher kein Grund so dämlich zu sein. Geh mal von aus, das er nicht total dämlich ist dann macht das doch wirklich wenig sinn. Der steuerverlust den er durch Nichtverkauf erlitten hätte liegt in ähnlichen Regionen. Wenn ich die Lust zu finde such ich dir noch den link von reddit raus wo das schön aufgeschlüsselt ist. Äh halt.. Mit lesen von links die man dir extra pflückt hast du es ja leider nicht so. Dann musst dich eben selbst bemühen wenn dich das Thema mit den Aktionen so verfolgt

 

[Lord Wotan]

Und mehr wird da auch wohl nicht dahinter sein Wieviel Prozent ist die Intel Aktie gesunken? 5?

Bis jetzt 5%. Ich denke die Aktie geht noch viel weiter runter. Die Welle um diesen Bug geht doch jetzt erst los. Die Mehrheit der Menschen weiß doch noch gar nichts von diesen Bug. Bis jetzt wissen das doch nur PC Nerds wie wir. Und da die Geschichte alle CPU´s seit 1995 bis heute betrifft, ist das ganze ein Atomgau für Intel, Aktientechnisch ,denke ich.

 

[proko85]

Die von google gegebene Namen "Meltdown" und "Spectre" sagen ja eigenlich schon alles. Von wegen "Bugs" und "Sicherheitslücken". Das sind bewusst inegrierte Hardwaretrojaner.

 

[Silverangel]

Ich habe inzwischen das Gefühl, bei der Berichterstattung gibt es ein starkes anti-AMD-Bias.
Diese unverschämte Berichterstattung ist so dreist.

Ich hab eher das Gefühl das jeder Pro-AMDler aus der Ecke gekrochen kommt und alles und jeden direkt als AMD feindlich darstellt anstatt einfach die Fakten (die NICHT von irgendwelchen usern hier im Forum erstellt werden/wurden) erstmal so hinzunehmen wie sie sind. Und wie stark dann welcher hersteller am Ende wirklich betroffen ist sehen wir ja noch.

Wird viel zu viel Wirbel von einigen gemacht als wärs nen Weltuntergang. First-World-Problems

 

[WinnieW2]

Spekulative Ausführung im Pentium Pro?

Ja, siehe https://de.wikipedia.org/wiki/Intel_P6

Die Core-Architektur ist lediglich eine stark weiterentwickelte P6-Architektur u. hat die spekulative Ausführung letztendlich vom Pentium Pro geerbt.

 

[G00fY]

Also Intel hat diese Lücken sicher, aber jetzt wird noch versucht, diese auch AMD anzudichten.
Mit allen rhetorischen und methodischen Tricks.

Naja, Intel ist halt aktuell schwerwiegender, einfacher und nachweislich angreifbar (Meltdown). Spectre betrifft aber theoretisch alle aktuellen CPUs aller Hersteller ist aber wesentlich schwerer bzw. noch gar nicht ausnutzbar.

As the attack involves currently-undocumented hardware effects, exploitability of a given software program may vary among processors. For example, some indirect branch redirection tests worked on Skylake but not on Haswell. AMD states that its Ryzen processors have “an artificial intelligence neural network that learns to predict what future pathway an application will take based on past runs” [3, 5], implying even more complex speculative behavior. As a result, while the stop-gap countermeasures described in the previous section may help limit practical exploits in the short term, there is currently no way to know whether a particular code construction is, or is not, safe across today’s processors – much less future designs.

 

[iNFECTED_pHILZ]

Bis jetzt 5%. Ich denke die Aktie geht noch viel weiter runter..

Denke auch das sie noch weiter fallen wird, doch spätestens seid heute könnte man ihm keinen strick mehr aus dem Verkauf drehen. Ergo nur wegen 5 Prozent Wertverlust (und das sind sicher nicht die einzigen wertpapiere die der Mann besitzt) sich in eine so prekäre Lage bringen? Im Leben nicht. Gierig sind sie alle, doch die Angst vorm Knast ist auch nicht gerade klein.

 

[Lübke82]

Ganz deiner Meinung @Silverjaak.

Unlimited1980 hat wohl Angst das seine Felle davonschwimmen?!^^ Börsenspekulation sollte abgeschafft werden mMn.