News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Steffen]

Artikel-Update: Linus Torvalds geigt Intel die Meinung
Linus Torvalds, bekannt für seine bisweilen deutlichen Aussagen, zeigt sich in einer Reaktion auf von Intel eingereichte Spectre-Patches („Variant 2“) von den Sicherheitslücken und insbesondere von Intels irreführender Reaktion darauf (siehe oben) wenig begeistert und fordert Intel auf, die Probleme zuzugeben anstatt sie – wie in der Pressemitteilung geschehen – weitestgehend zu leugnen:

A competent CPU engineer would fix this by making sure speculation
doesn't happen across protection domains. Maybe even a L1 I$ that is keyed by CPL.

I think somebody inside of Intel needs to really take a long hard look at their CPU's, and actually admit that they have issues instead of writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be written with "not all CPU's are crap" in mind.

Or is Intel basically saying "we are committed to selling you shit forever and ever, and never fixing anything"?

Because if that's the case, maybe we should start looking towards the ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities: Intel never intends to fix anything OR these workarounds should have a way to disable them. Which of the two is it?

Derweil wird Page-Table Isolation (PTI) – also der Schutz gegen Meltdown – auch in die älteren Long-Term-Support (LTS) Kernel Linux 4.4.110 und Linux 4.9.75 eingebaut, nachdem dies bei Linux 4.14.11 bereits geschehen ist.

 

[ZeXes]

Selbst Mainstream Medien, wie Bild berichten jetzt von den Sicherheitsproblem mit einem fetten Bild eines Intelprozessors.

Junge, Junge.. das gibt einen großen Image Schaden für Intel.

 

[reimar]

Mein Verständnis ist, daß Variant 3 von https://developer.arm.com/support/security-update "Meltdown" entspricht.
Damit wäre A75 davon betroffen.
Was auch fehlt, ist wie es mit Apple, Samsung, Qualcomm etc. custom-Prozessoren aussieht...
Hierbei währe zu beachten, daß Variante 1 und 2 nach meinem Verständnis das Szenario Java/JavaScript betreffen: nicht vertrauenswürdiger Code wird im selben Prozess ausgeführt wie vertrauliche Daten. Die sollte durch JIT/compiler-updates zu beheben sein.
Variante 3 ist hingegen wirklich häßlich: im Prinzip ist hat damit jeder Prozess vollen Lesezugriff auf allen Kernel-Speicher, wenn man nicht hacks wie PTI verwendet.
(Achtung: alles nur meine Interpretation, und ich bin zwar bei ARM angestellt, aber das ist nur meine Meinung und ich habe auch nichts mit der CPU-Entwicklung zu tun).

 

[ich_bins]

Selbst Mainstream Medien, wie Bild berichten jetzt von den Sicherheitsproblem mit einem fetten Bild eines Intelprozessors.

Junge, Junge.. das gibt einen großen Image Schaden für Intel.

und einiges an Retouren :-) mein 8700k is am Samstag gekommen und verbleibt erstmal in seiner OVP :-) zumal man NOCH IMMER nicht die Katze aus dem Sack lässt

 

[Recharging]

Ohne hier Intel in Schutz nehmen zu wollen, der Gefühlsausbruch inkl. Beschimpfung seitens Herrn Torvalds ist ebenso entbehrlich, wie die Larifari-Presseaussendung von Intel. Gerade er sollte doch wissen, dass Entwickler nur äußerst selten an den Schalthebeln und Mikrofonen sitzen und hier kompetent frei von der Leber hinweg reden dürfen.

Seine Abneigung unterstellt schon ein wenig Vorsatz, der hier von Intel im Designfehler fabriziert wurde. Das Ausmaß ist unklar und man erwartet sich prompt klare Aussagen - ein wenig infantil.

So realistisch muss man schon sein, dass so große Unternehmen einen langen Atem haben und (leider) den Teufel tun, etwas zuzugeben und auf der anderen Seite aber viele, sehr kluge Köpfe beschäftigen, die bestimmt an einer Lösung interessiert sind.

 

[Sebl84]

Könnt ihr mir vielleicht kurz helfen...

Betrifft mich diese Sicherheitslücke auch, wenn die Virtualisierung im Bios deaktiviert ist? (VT-x)

 

[WieFlascheLeer]

@dcdead: irgendwie unheimlich.

Richtig krass was derzeit abgeht. Ich bin gespannt wie das ausgeht.

Wie immer halt: der Endnutzer beißt in saueren Apfel. Keine Entschädigung, nur dummes Geschwätz im Sinne "so it goes".

 

[I'm unknown]

Gerade er sollte doch wissen, dass Entwickler nur äußerst selten an den Schalthebeln und den Mikrofonen sitzen und hier kompetent reden dürfen.

Weiß er bestimmt auch, jedoch hat er nicht unbedingt ein kleines Ego (der Link im Artikel ist nicht schlecht, er hatte sich jedoch schon als Student mit dem sehr bekanntem Prof. Andrew S. Tanenbaum öffentlich angelegt). Zumindest kann man ihm nicht vorwerfen keine Ahnung vom Thema zu besitzen .

 

[Raucherdackel!]

Ich stimme der Meinung zu, es sind Hardware Trojaner. Sprich fix im Silizum vorhandene Schwachstellen. Warum, ist auch klar. [...] Und Intel hat dies sicherlich gewusst.

Nein, das ist keine Absicht von Intel und beileibe nicht vorsätzlich implementiert. Die haben den Bug schlichtweg übersehen.

Was erwartest du von Amerikanern? Wenn die in den Krieg ziehen, gehen 30% ihrer Verluste wegen Friendly Fire auf ihr eigenes Konto Im 2. Irak-Krieg ist George W. Bushs Elite-Sturmeinheit auf Bagdad marschiert. Erst waren sie noch 100km entfernt, nach zwei Wochen waren sie schon 250km entfernt weil sie sich verfahren haben. Und zwar nicht 'wegen widrigen Umständen', sondern episch um 180% gekehrt geradeaus in die entgegengesetzte Richtung. Und für 150km menschenleere Wüste brauchten sie dafür geschlagene zwei Wochen...

Aber genug ot, hat sich schon ein betroffener Kunde zu diesem Sachverhalt des Leistungsverlustes durch den Patch geäußert?

 

[Mustis]

Entschädigungen für was? Oo Theoretische Schäden, die hätten sein können?

 

[ZeXes]

http://www.tagesschau.de/ausland/intel-sicherheitsluecke-101.html

Selbst die Tagesschau ist auf dem Schirm gekommen.

Das wird Intel ordentlich was kosten.

 

[Unlimited1980]

Also mal zur Abwechslung ein ganzganz dickes Lob an die CB-Redaktion.
Gestern bis 00.20 Infos zusammengetragen, hier im Forum aktiv gewesen!

Hammer, das war echt mal eine richtig gute Aktion von Euch!
Beide Daumen weit hoch!

 

[WieFlascheLeer]

Entschädigungen für was? Oo Theoretische Schäden, die hätten sein können?

Für die Leistungseinschränkungen, die zwischen 5-30 der Leistung ausfallen können.

 

[thepusher90]

Das Video hier wirkt interessant, besonders ab 2:36: https://www.youtube.com/watch?v=pzWqV8s2_XE

Manch einer mag da sagen: Aluhut/Clickbait?!, aber wenn da was dran ist, dann wäre das schon sehr beängstigend!

 

[Recharging]

Weiß er bestimmt auch, jedoch hat er nicht unbedingt ein kleines Ego [...]. Zumindest kann man ihm nicht vorwerfen keine Ahnung vom Thema zu besitzen .

Eben weil er Ahnung vom Thema hat, sollte er doch wissen, dass Management/PR oft =! Fachexperte ist ... dh, intern wird Intel sehr wohl viele Ressourcen bündeln müssen, das in den Griff zu kriegen, egal was so eine beschwichtende Presseaussendung sagt - oder ist das die Nachricht, die auf tatsächliche Wahrheit geprüft wird.

Es ist traurig, aber ein systeminhärentes Problem und verständlich, dass viele Fachleute das listige Spiel in Leitung/Vertrieb und marktentscheidenden Führungspositionen vermeiden und lieber dem treu bleiben, was sie gut können: Produktentwicklung. Es ist leider eine unehrliche Welt und Herr Torvalds wird das nur zu gut wissen.

Kein Grund hier Intel komplett in einen Topf zu werfen.

 

[Klassikfan]

Da hat Intels PR-Abteilung, wie's scheint, Überstunden geschoben, um überall die Nachricht zu verbreiten, "daß alle CPU-Hersteller betroffen seien". Wohlwissend, daß der deutlich gefährlichere Bug ausschließlich Intel-Hardware betrifft. "Gefährlicher" deshalb, weil viel einfacher auszunutzen und weil auf geschätzt mindestens 80% aller PCs und Notebooks Intel-Hardware verbaut ist, der Angriff also lohnender.

Ein Schelm, wer jetzt an Intels Marktmacht denkt...

 

[Photon]

Ohne hier Intel in Schutz nehmen zu wollen, der Gefühlsausbruch inkl. Beschimpfung seitens Herrn Torvalds ist ebenso entbehrlich, wie die Larifari-Presseaussendung von Intel. Gerade er sollte doch wissen, dass Entwickler nur äußerst selten an den Schalthebeln und Mikrofonen sitzen und hier kompetent frei von der Leber hinweg reden dürfen.

Ich denke, die Aussage ging auch nicht an Intels Entwickler sondern an Intels Management, denn die entscheiden, wie du schon schreibst, wie es nun weitergeht.

 

[monstar-x]

http://www.tagesschau.de/ausland/intel-sicherheitsluecke-101.html

Selbst die Tagesschau ist auf dem Schirm gekommen.

Unsinn interessiert in 2 Monaten keinen mehr.
Oder weist du, noch was genau was Politiker vor 3 Jahren alles versprochen und nicht eingehalten haben.

Bugs passieren, werden gefixt und gut ist.
Was für einen Affentheater hier manche User veranstalteten.

Kauft euch doch eine AMD CPU und hofft das es das dort so ein Bug (den die gibt es überall) nicht gefunden wird.

 

[aldaric]

Kein Grund hier Intel komplett in einen Topf zu werfen.

Intel hat sich das über die letzten 10 Jahre mit merkwürdigen Machenschaften auch verdient.

 

[Recharging]

Ich denke, die Aussage ging auch nicht an Intels Entwickler sondern an Intels Management, denn die entscheiden, wie du schon schreibst, wie es nun weitergeht.

Na ja, er schreibt ja schon etwas emotional wohl:

A *competent* CPU engineer would fix this by making sure speculation

Und engineer ist halt eher ein Fachexperte als ein PR-Mensch ...
CPU manufacturer wäre wohl angebrachter, denn absichtlich wird wohl den Fehler keiner der Ingenieure gewollt haben.