News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Tapion3388]

Also, laut einem Reddit thread sieht es so aus:
Nur mit dem Windows-Patch gibt es ein Minus von 0 bis 5%, je nach Anwendung, im Gesamt-Score sind es ca 3%.

Mit dem Microcode-Update steigt das auf 12% gesamt, in manchen Anwendungen bis zu 20% weniger Leistung (Bildbearbeitung). Wohlgemerkt, wir reden von Desktop-Anwendungen - auf dem Server wird das nochmal deutlich schlimmer.

Wenn man die Kernel-Patches deaktiviert (also sowohl den Spectre 2-Fix als auch den Meltdown Fix in der Registry abschaltet), bleibt die Leistung trotzdem deutlich um 5,5% gesamt hinter "Windows ohne Patches und ohne Microcode" zurück.


Hier der Link:
https://www.reddit.com/r/pcmasterrace/comments/7obokl/performance_impact_of_windows_patch_and_bios/?sort=new

Sollte sich das wirklich so bewahrheiten, wäre das für mich ein guter Grund die CPU zurückzugeben. Verluste im einstelligen Prozentbereich sind zwar ärgerlich, aber zu verschmerzen für das Plus an Sicherheit.
Aber bis zu 20% in Anwendungen und laut deinem anderen Screenshot von reddit 3-12% Verlust in Spielen? Das wäre mir Coffee Lake - gerade zu den aktuellen Preisen - einfach nicht wert.

Außerdem finde ich das Verhalten von Intel mehr als nur grenzwertig. Es ist schon absurd, dass man hier keinen einzigen Fehler zugeben möchte, gerade weil Meltdown doch eigentlich ne glasklare Sache ist (siehe der Kommentar vor einigen Seiten bezüglich Einordnung ob Bug oder nicht). Ich vermute, dass dies politische Gründe hat. Würde man zugeben dass es ein Bug ist, der seit Sommer 2017 bekannt ist und man trotzdem noch neue CPUs auf den Markt bringt (Coffee Lake), hätte man sicher noch größere Probleme mit Klagen und Beschwerden der Kunden (zu Recht, dem Kunden wurden nach heutigem Stand die berühmte Katze im Sack verkauft). Außerdem würde der Verkauf von Aktion durch den CEO in einem noch schlechteren Licht darstehen, wenn man die Bugs jetzt zugeben würde.

Mal abwarten, ob AMD ungeschoren davon kommt oder inwieweit hier die Performance durch Spectre und die OS-Updates leiden wird. Falls sich die Verluste in Grenzen halten, sollte Ryzen2 bzw. Zen+ eine noch bessere Alternative zu Intels Lineup darstellen und man könnte Intel zeigen: So gehts nicht weiter (siehe ME-Schwachstelle)!

 

[Banned]

Ich habe zwar den Großteil des Threads die letzten Tage gelesen, aber könnte mir bitte noch mal jemand zusammenfassend folgendes bestätigen (also, dass ich das jetzt richtig verstanden habe):



1. Das Microcode-Update für Spektre vermindert zusätzlich zum Patch für Meltdown die Performance. Und besonders Skylake+ CPUs verlieren viel Performance dadurch?


2. AMD CPUs erhalten auch ein Microcode-Update? Dort wird der Performanceverlust aber nur so hoch ausfallen wie bei <Skylake CPUs?

3. Oder wird der Microcode für AMD CPUs noch weniger kosten, da nicht alle zwei Typen von Spectre behandelt werden (near zero risk und so)?




Vielen Dank im Voraus!

 

[Rockstar85]

@ Steffen:
Bitte Beachten und Aktualisieren:
https://www.phoronix.com/scan.php?page=news_item&px=AMD-PSP-2018-Vulnerability

http://seclists.org/fulldisclosure/2018/Jan/12

PSP hat also auch Macken

Vulnerability
=============
Through manual static analysis, we’ve found a stack-based overflow in the
function EkCheckCurrentCert.
This function is called from TPM2_CreatePrimary with user controlled data -
a DER encoded [6] endorsement key (EK) certificate stored in the NV
storage.

A TLV (type-length-value) structure is parsed and copied on to the parent
stack frame. Unfortunately, there are missing bounds checks, and a
specially crafted certificate can lead to a stack overflow:

NESTED_CERT_DATA1 = '\x03\x82\x07\xf0' + 'A * 0x7f0
NESTED_CERT_DATA2 = '\x03\x82' + pack('>H', len(NESTED_CERT_DATA1)) +
NESTED_CERT_DATA1
CERT_DATA = '\x03\x82' + pack('>H', len(NESTED_CERT_DATA2)) +
NESTED_CERT_DATA2

Proof Of Concept
================
Without access to a real AMD hardware, we used an ARM emulator [7] to
emulate a call to EkCheckCurrentCert with the CERT_DATA listed above. We
verified that full control on the program counter is possible:

EkCheckCurrentCert+c8 : B loc_10EE4
EkCheckCurrentCert+60 : LDR R4, =0xB80
EkCheckCurrentCert+62 : ADDS R4, #0x14
EkCheckCurrentCert+64 : ADD SP, R4
EkCheckCurrentCert+66 : POP {R4-R7,PC}
41414140 : ????
|
R0=ff,R1=f00242c,R2=f001c24,R3=824,R4=41414141,R5=41414141,R6=41414141,R7=41414141,PC=41414140,SP=f003000,LR=11125

As far as we know, general exploit mitigation technologies (stack cookies,
NX stack, ASLR) are not implemented in the PSP environment.

Sorry Aldaric, das sieht für mich nicht nachm SoftwareBug aus.. Aber dazu muss ich mich einlesen
Also ich habe verstanden dass es nen Fix gab, war der auch Erfolgreich?

 

[Krautmaster]

würde mein Mädel nicht grad ständig an meinem Surface Pro wichtigen Krams abarbeiten würde ich es mal mit der 1709 W10 plattmachen, offline, dann durch benchen, Updaten, benchen, FW update, benchen.

 

[aldaric]

PSP hat also auch Macken

Alles hat macken. Mit dem Unterschied das AMD die Lücke schnell fixen konnte. Da es ein Software-Bug, kein Hardware-Bug war.

 

[yummycandy]

@Mr. Jules

1. wird sich noch rausstellen
2. AMDs erhalten afaik kein Microcode Update, die kommenden Anwendungspatches schließen die Spectr-lücken, die AMD betreffen. Ob da Geschwindigkeitseinbußen kommen werden, wird sich zeigen.

3. hat sich damit erledigt.

 

[Der_Unbekannte]

@Mr Jules

1. Ja, es scheint, das Skylake und aktueller mehr Performance verlieren.

zu 2. und 3.:

Wie genau es bei AMD aussehen wird, ist noch unklar. Wahrscheinlich wird es auch dort einen Microcode Patch geben, der allerdings nahezu keine Leistung kosten wird (neglible performance degradation). Alternativ geht auch noch der Weg über Software Patches. AMD ist ohnehin momentan nur für einen Spectre Fall "anfällig" und selbst da nur unter gewissen Konditionen.

 

[Tapion3388]

@MrJules:

1. Korrekt, siehe Link zu reddit in meinem vorigen Beitrag (Angaben ohne Gewähr).

2 & 3: Es ist Stand heute noch gar nicht klar, ob und wenn ja in welcher Form AMD einen überarbeiteten Microcode herausbringen muss. Spectre 1 wird wohl haptsächlich durch die betroffenen Anwendungen selber gelöst (Browser etc.) und bei Spectre 2 ist man laut AMD weniger stark betroffen als Intel und hat eine "near zero chance" auf Exploit. Was das genau bedeutet, werden die nächsten Tage und Wochen zeigen, ich habe jedenfalls noch von keinem Ryzen gehört, auf dem dieser Fehler nachgestellt wurde.


Edit: Da einige vor mir schon geantwortet haben, noch mal ein großes Dankeschön an das CB-Team und besonders Steffen, der hier hervorragend Updates veröffentlicht und im Forum für Klarheut sorgt, super! Für mich ist der CB-Artikel im deutschsprachigen Raum der beste - und zu den ersten habt ihr ja auch gehört.

 

[Banned]

Danke Euch.



Dann werden die nächsten Tage spannend für mich. Je nachdem, stoße ich dann meine noch nicht verbaute CL-CPU und MB (beides noch OVP) ab... Schade, schön wär's gewesen. Aber irgendwann hört's auch mal auf. Die Werte von Reddit sehen echt übel aus.

 

[Dark Matter]

Also Meltdown ist mehr oder weniger inzw. gepatcht. Richtig?

Und wegen Spectre kann also jeder gute Hacker der Welt, wenn er jetzt will, überall Passwörter aus dem RAM auslesen!? Man muß jetzt sozusagen täglich überall seine Passwörter ändern um Sicher zu sein, da jegliches AV-Programm und Firewall nutzlos dagegen sind. Richtig?

Ich finde es ein Unding, das so eine schwerwiegend Sicherheitslücke Öffentlich bekannt gegeben wird. Nun weiß jeder Hacker der Welt bescheid und kann seine Arbeit beginnen....

 

[yummycandy]

Ich finde es ein Unding, das so eine schwerwiegend Sicherheitslücke Öffentlich bekannt gegeben wird. Nun weiß jeder Hacker der Welt bescheid und kann seine Arbeit beginnen....

Diese "Lücke" ist seit Jahren bekannt. Jedoch gibt es seit Sommer letzten Jahres einen bekannten Exploit dazu. Keiner weiß, inwiefern das schon früher benutzt wurde, insofern ist die Taktik mit geheimhalten eher ein Feigenblatt. Man wollte Intel nur Zeit geben, zeitnah Patches anzubieten. Allerdings haben sie das erst jetzt gemacht.

 

[Tapion3388]

Ich finde es ein Unding, das so eine schwerwiegend Sicherheitslücke Öffentlich bekannt gegeben wird. Nun weiß jeder Hacker der Welt bescheid und kann seine Arbeit beginnen....

Na ja, man hat den Herstellern ja ein halbes Jahr Zeit gegeben und die Sache solange unter Verschluss gehalten. Ewig geheim halten kann man es auch nicht, alleine durch die OS- und BIOS-Updates werden findige Hacker schon aufmerksam auf das Problem und undichte Stellen gibt es ja auch immer. Da ist es besser, die Öffentlichkeit zu sensibilisieren und so auch einen gewissen Druck auf die Hersteller auszuüben.

Edit: yummycandy wieder 2 Minuten schneller... ;-)

 

[trulex]

Habe eine Samsung SM961 NVMe PCIe M.2 512GB und mal einen Test mit AS SSD gemacht und die Werte sind schon etwas eingebrochen nach Patch + Bios-Update (Thinkpad P51, Test wurde 3x wiederholt und wie Werte waren immer ähnlich).

 

[Dark Matter]

Das Problem an Spectre ist aber, dass nicht jeder diese Lücke geschlossen bekommt. Sondern nur wenn Außnahmslos alle CPUs den neuen Microcode und ein BIOS-Update erhalten.

Intel macht aber nur die CPUs der letzten 5 Jahre "Sicher" per Microcode, dazu müssen die Mainboard-Hersteller aber auch alle mitziehen und BIOS-Updates für alle MBs der letzen 5 Jahre anbieten.

Alle anderen CPUs sind somit auf ewig unsicher.....

 

[han123]

Tjoa,

kurz vor Feierabend noch für einen Photographen die Kiste geupdated und die Filter in PS brauchen merkbar länger :/ Er natürlich stinksauer, vorallem auf sich selbst, weil er von meinem Ryzenvorschlag Mitte des Jahres nicht hören wollte. Noch will ich nicht auf Intel einschlagen, aber das ganze stinkt inzwischen doch ziemlich.

Vielleicht kann einer der Intelbesitzer das ja mal kurz gegentesten.

Aktuelle PS CC-Version und 26 MP-Bilder waren es. Bilder geschossen mit einer Canon EOS 6D Mark II. Filter war "Lens Correction". Weiß leider nicht, ob das ein Standardfilter von PS ist, sollte aber wohl so sein.
Dauerte 36 Sekunden vor der Patcherei und danach waren es 45 Sekunden.

Edit: CPU war ein 7700k non-oc.

Wie gesagt, ich kann mir das kaum vorstellen und vermute mal eher, dass mit heißer Nadel erstmal so gepatcht wurde, dass nix Schlimmes passieren kann und in 1-2 Wochen das vielleicht noch entschärft wird.

Bald können sich Intelkäufer statt "Intel inside" "Intel inside trading" draufpappen. Good work Intel, good work...

Zitat Intel:

Is this a bug in Intel hardware or processor design?

No. This is not a bug or a flaw in Intel products. These new exploits leverage data about the proper operation of processing techniques common to modern computing platforms, potentially compromising security even though a system is operating exactly as it is designed to. Based on the analysis to date, many types of computing devices — with many different vendors’ processors and operating systems — are susceptible to these exploits.

Das ist so dreist. Man glaubt es eigentlich nicht.

Edit:
Ok, grade den Link gelesen, den jemand zu reddit gepostet hat. Scheint wohl doch zu stimmen. Wow...

 

[Krautmaster]

Wie macht man in PS CC auf X Bildern Lens Correction? Meist du einfach Auto Linsen Korrektur auf X raws in Lightroom? Das könnte ich mal testweise auf jeweils 100 42MP raws anwenden am Surface Pro 4.

Je größer das Testset umso verlässlicher sollte das Ergebnis ausfallen.

 

[oldmanhunting]

Wenn ich hier so lese, dann muß ich mir eigentlich einen Alu Hut aufsetzen, bei dem ganzen Verschwörungstheorien die hier stehen.

Sollte doch wohl logisch sein: Wenn irgend jemand eine Lücke findet, dann erzählt man das nicht in der Welt herum, solange noch kein Patch für die Lücke da ist. Vollkommen richtiges und normales vorgehen.
Ich habe den Patch und ein Bios Update gemacht und habe natürlich geprüft ob ich Leistungseinbußen habe. Also ich kann nichts dergleichen feststellen.

Es wurde oft genug von verschiedenen Seiten gesagt, dass der Privatanwender von dieser Lücke und von Leistungseinbußen nichts merken wird. Trotzdem wird hier ein Faß aufgemacht. Warum soll denn der @g-sus11 sein Laptop zurück schicken und eines mit einer AMD CPU nehmen? Begründet das doch einmal. Das unser @Mcr-King immer noch angefressen ist, weil CL nicht auf seinem Asus Z170i PRO Gaming läuft und er deswegen gegen alles von Intel einschlägt ist ja noch seine Sache aber andere Leute einfach so zu einem Umtausch raten eine andere.

Fakt ist, dass ist nicht die erste und noch lange nicht die letzte Lücke die gefunden wird.
AMD ist diesmal nicht betroffen, weil die es nicht geschafft haben diese Vorhersage Logik, die es bei Apple, Google, Intel und bei wem sonst noch gibt nicht in die CPU zu bringen. Das macht AMD nicht schlauer sondern Rückständiger in Ihrer Technologie, weil der Grundgedanke ja kein schlechter ist. Er muß halt einfach sicher gemacht werden.

Ich von meiner Seite, der ja eh ein gemütlicher Mensch ist, würde gerne einmal einem Hacker dabei zuschauen, wie er diese Lücke bei mir ausnutzt. Würde mich wahrscheinlich kaputt lachen, weil der Hacker an Langeweile sterben wird.
Was soll er denn an Kennwörtern holen? Selbst wenn ich Internetbanking mache ist die Pin die ich nutze sofort verbraucht verbraucht und ungültig. Die könnte ich Ihm sogar per e-mail schicken, weil er nichts mehr damit anfangen kann.
Shopping im Internet mache ich nur auf Rechnung. Wer ist denn schon so dumm und nutzt seine Kreditkarte? Alle anderen wichtigen Kennwörter, wie zum Beispiel für E-Mails sollte man doch eh immer wieder einmal ändern.

Ich will jetzt diese Sicherheitslücken nicht herunter spielen aber man sollte es einfach für sich selbst realistisch betrachten. Hätte ich nach dem Patch auch nur 10% Leistungseinbußen bemerkt, wäre ich der erste der auf die Barrikaden gegangen wäre.

 

[han123]

Das waren nur Einzelbilder. Wenn "Auto Linsen Korrektur" der Name in der deutschen Version ist, probier das einfach mal aus. Ich kann mir nämlich nicht wirklich vorstellen, dass sich der Patch bei sowas auswirken dürfte. Jedenfalls nicht so krass. Wenn Du auch einen spürbaren(!) Unterschied von etlichen Sekunden hast, dann ist da was fishy.

Edit:meh.. oldmanhunting Geh weg Der Post war an krautmaster gerichtet^^

 

[HasseLadebalken]

Was für ein Aufruhr um belangloses Zeug, sensible/wichtige Daten halt nicht dauerhaft auf nem Rechner Speichern/zur Verfügung haben, sondern nur temporär.
Wie man sieht kommt der Home/Privatmensch super mit ner Linuxdistribution aus und hat superschnellen Support

Kleiner Tipp für Linuxdistributionsuser, AMD Karten sowie Intel Grafikchips, laufen auch die nicht-LTS Mainlinekernel spitze ohne Probleme. (Nvidia macht da gerne Ärger, es sei denn Nouveau reicht einem aus)

Und selbst dort würde ich es rein sicherheitshalber eben nicht ohne Sticks machen, wo eventuell noch was temporär wegen Benutzung auf dem Rechner irgendwie abrufbar ist, einfach mal alle Dateien anzeigen lassen und löschen...fertig. (das nimmt sich auch nicht mehr allzuviel mit Windows, sieht nur auf der GUI alles etwas anders aus)

Das AMD deutlich weniger Probleme hat ist genauso eine qualitative Sache, wie mit den CPU's wo der Heatspreader verlötet ist und bei bestimmten anderen plötzlich nicht mehr....

Genauso der ganze Cortex-Krempel der ja zumeist beim Obermassenmüll Samsung drinsteckt, also ich hab nen Mediatek drin und Android 6, no problem...


Gruss HL

 

[Krautmaster]

Gerade läuft Pcmark 10 am Surface. Die Tests da sind schon realitätsnah und bei sowas wie App Launch usw auch io lastig. Man müsste nachher die Detailsscores vergleichen.