Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsMeltdown & Spectre: Details und Benchmarks zu den Sicherheitslücken in CPUs
Sind die Benchmarks nicht eigentlich nur aussagekräftig wenn das System "heavy multi-tasking" betreibt? Also ein Spiel allein sollte nicht oft betroffen sein weil nicht oft der Kontext geswitcht wird. Anders aber wenn zB 30 Tabs in Chrome + Virensoftware etc am laufen sind.
Basiert auf der Annahme das der Performanceverlust durch das flushen des Buffers verursacht wird.
Wenn man Optimist ist, könnte man sich denken, dass mit der Veröffentlichung gewartet wurde, bis die entsprechenden Patches fertig sind.
Wäre ja blöd, wenn die Allgemeinheit (inklusive Hackern und Co.) über die Lücken informiert wird, aber man als Anwender dann nichts tun kann als ein halbes Jahr abzuwarten, bis es endlich Patches dagegen gibt.
Erinnert schon irgendwie an das Dieselgate.
Nur diesmal trifft es halt ein US Unternehmen.
Bin gespannt wie hier "nachgebessert" werden muss.
Bei VW waren ja 3-5% Leistungsverlust, OK, für die Rechtsprechung ...
@kisser, @Mustis .... es wird langsam mal Zeit eure Pro Intel Beiträge ad acta zu legen. Hier in diesem Thread ist das eh unmöglich. Dieser Bug existiert. Man muss es nicht totschweigen. Auch ihr nicht. Obwohl ihr vllt dafür bezahlt werdet.
Das ist keine Unterstellung, sondern eine Mutmaßung basierend auf Fakten der Vergangenheit, wenn man bedenkt, wie oft ein CPU Hersteller bei, auch nur annähernd vergleichbaren Problemen, von sich aus einen Umtausch oder Rückabwicklung angeboten hat.?
Ok, ich fasse zusammen, du hast für den aktuellen Fall keine Beweise sondern nur Indizien. Wäre das geklärt ...
Wenn du mit "Intel nicht von selber bewegt" eine Umtauschaktion implizieren wolltest, dann habe ich das anders aufgefasst: Intel wird zur Behebung des Problems in der Software wohl einiges Wissen beisteuern bzw. wohl auch probieren/probiert haben anderweitig einen Fix zu erstellen. All das wissen wir nicht, also ist es kühn zu behaupten, dass sie sich nicht bewegen.
Es werden wohl so gut wie alle User die ein anderes AV Tool nutzen, das Update vorerst nicht bekommen, wie auf Heise zu lesen ist.
Zitat Heise:
Allerdings bekommen nicht alle Anwender das Update angeboten: Es gibt Probleme mit einigen Antivirus-Produkten. Betroffen ist Antiviren-Software, die laut Microsoft nicht unterstützte Aufrufe in den Windows-Kernelspeicher macht. Um die Kompatibiltät ihrer Antiviren-Produkte mit dem Sicherheitsupdate zu dokumentieren, müssen die Hersteller einen bestimmten Registry-Key in Windows setzen; Microsoft dokumentiert dies in seinem Support-Hinweis. Einige Antiviren-Hersteller, etwa Kaspersky oder Avast, haben schon reagiert und Updates bereitgestellt oder sie für den 9. Januar angekündigt. Microsoft warnt ausdrücklich davor, das Windows-Update zu installieren, solange nicht kompatible Antivren-Software eingesetzt wird. Zitat Ende
~/Downloads/SA00086_Linux$ sudo python ./intel_sa00086.py
[sudo] Passwort für ********:
INTEL-SA-00086 Detection Tool
Copyright(C) 2017, Intel Corporation, All rights reserved
Application Version: 1.0.0.152
Scan date: 2018-01-04 12:17:59 GMT
*** Host Computer Information ***
Name: *******
Manufacturer: ***********
Model: ***********
Processor Name: Intel(R) Core(TM) i7-3770K CPU @ 3.50GHz
OS Version: Ubuntu 16.04 xenial (4.10.0-42-generic)
*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 8.1.30.1350
SVN: 0
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable.
For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
Intel Security Advisory Intel-SA-00086 at the following link:
https://www.intel.com/sa-00086-support
~/Downloads/SA00086_Linux$
Die Forscher haben die Sache für 6 Monate geheim gehalten. Sowas bis in alle Ewigkeit geheim zu halten wäre keine gute Idee. Google mal "Responsible Disclosure".
SlaterTh90 schrieb:
Sind die Benchmarks nicht eigentlich nur aussagekräftig wenn das System "heavy multi-tasking" betreibt?
Nein. Bei Prozesswechseln ändert sich durch PTI nichts. Dann muss wie früher der TLB geflushed werden, nichts neues. Es ändert sich nur dann was, wenn ein Prozess Syscalls macht, dann kommen durch PTI neues TLB-Flushes hinzu.
kokiman schrieb:
Wie real ist der Angriffsvektor für Server hinter Firewalls mit ordentlichen Zugriffskonzepten?
Hängt in erster Linie davon ab, ob Virtualisierung genutzt wird und ob du den Software-Stack zu 100% kontrollierst oder ob ein Dritter Software ausführen kann. Eine Firewall hilft hier erstmal gar nicht.
Kann mir jemand erklären, warum auf einmal drei Teams praktisch gleichzeitig eine Prozessor Sicherheitslücke entdecken die bereits seit 22 Jahren existiert (Meltdown)? Das ist doch kein Zufall.
We would like to thank Anders Fogh for fruitful discussions
at BlackHat USA 2016 and BlackHat Europe
2016, which ultimately led to the discovery of Meltdown.
Fogh [5] already suspected that it might be possible to
abuse speculative execution in order to read kernel memory
in user mode but his experiments were not successful.
Naja, ich vestehe nicht warum man bewusste Betrügerei (VW-Diesel und Abgasawerte) mit einer Sicherheitslücke (hier Intel) vergleicht?!
Fehler passieren und werden immer passieren.
