News Spectre V4 & (Meltdown) V3a: Details und Patches zu neuen CPU-Sicherheitslücken

[Maine]

Ich muss gestehen, dass ich auch den Überblick verloren habe.

Bedingen die Microcode-Updates immer auch ein entsprechendes BIOS-Update, oder sind die per Windows-Update implementierbar?

Denn zu Spectre/Meltdown gibts z.B. für mein Board bisher nur ein Beta-Bios von ASUS und das hat schon ewig gedauert. Mit den neuen Lücken ist es damit quasi völlig unrealistisch, jemals Updates zu erhalten, wenn immer ein BIOS-Update nötig ist.

Bitte im Erklärung ;-)

 

[Wadenbeisser]

Ich muss gestehen, dass ich auch den Überblick verloren habe.

Bedingen die Microcode-Updates immer auch ein entsprechendes BIOS-Update, oder sind die per Windows-Update implementierbar?

Denn zu Spectre/Meltdown gibts z.B. für mein Board bisher nur ein Beta-Bios von ASUS und das hat schon ewig gedauert. Mit den neuen Lücken ist es damit quasi völlig unrealistisch, jemals Updates zu erhalten, wenn immer ein BIOS-Update nötig ist.

Bitte im Erklärung ;-)

Es sollte beides zum Ziel führen.
Der Weg über das BIOS Update ist wohl der sauberste Weg da das System so unabhängig vom Betriebssystem geschützt ist allerdings bleibt man dabei idR. außen vor wenn der Support für das Mainboard bereits ausgelaufen ist und es ganz einfach keine BIOS Updates mehr gibt.
Das Microcode Updates vom Betriebssystem kann zwar nur helfen wenn das System gestartet wurde, ist aber idR. für deutlich mehr Produktgenerationen einspielbar und nicht auf das Update per BIOS angewiesen.

 

[Retro-3dfx-User]

Hier geht es nur um Angst und Geldemacherei, wer Privat ist denn von irgendetwas davon betroffen?
Es ist regelrecht unmöglich selbst bei Intel da etwas abzugreifen wenn man nicht mit direkten zugriff vor dem Rechner hängt!

 

[Hill Ridge]

Hier geht es nur um Angst und Geldemacherei

Nein, es geht darum darüber zu informieren!

wer Privat ist denn von irgendetwas davon betroffen?

Eigentlich so ziemlich jeder, bei dem die Exploits anwendbar sind!

 

[Herdware]

Ehrlich gesagt sehe ich hier keine Vergleichbarkeit da es sich bei den beiden Fehlern um Bugs und keine Sicherheitslücken handelte. Der eine führte zu Rechenfehlern, der andere konnte zum Systemabsturz führen.

Der TLB-Bug konnt, wenn ich mich richtig erinnere, auch zu verfälschten Speicherinhalten führen, was in Serveranwendungen durchaus noch viel schlimmer sein kann, als ein Absturz.

Des weiteren wurden sie am Anfang der Produktlaufzeit erkannt und hatten damit noch keine allso weite Verbreitung. Die Meltdown/Spectre Geschichte zieht sich aber über ganze Produktgenerationen hinweg und hat damit eine maximale Marktdurchdringung. Die Geschichte hier ist ein komplett anderes Kaliber

Der TLB-Bug war für AMD eine große Katastrophe. Die neuen Opterons hätten den Servermarkt im Sturm erobern können, oder zumindest als Drop-in-Replacement mit gewaltigen Performancegewinn AMDs-Marktposition wesentlich festigen können. Statt dessen führte der TLB-Bug zum Anfang vom Ende von AMDs Marktpräsenz im Server-Segment. (Der enttäuschende Bulldozer war dann der letzte Sargnagel.)

Und der Pentium-Divisionsfehler führte seinerzeit zu einer Rückruf-/Umtauschaktion. Er eskalierte also eine Stufe weiter, als jetzt Meltdown und Spectre.

Man kann darüber streiten, ob eine Sicherheitslücke oder unbemerktes Verfälschen von Rechenergebnissen oder Speicherinhalten schlimmer ist. Ich würde beinahe zu letzterem tendieren, denn sie machen eine CPU für professionellen Einsatz praktisch komplett unbrauchbar. Aber wie gesagt, es kommt auf die Sichtweise an.

So oder so zeigen diese dicken Bugs, dass sowas immer wieder vorkommt und auch nicht nur bei Intel. Von den tausenden kleinen Bugs, die Seiten über Seiten in den Errata-Listen füllen, ganz zu schweigen.

Meltdown und Spectre sind keine durch besondere Schlamperei von Intel verursachten Einzelfälle. Wir müssen uns darauf vorbereiten, dass es auch in Zukunft in den CPUs aller Hersteller solche und noch schlimmere Bugs/Sicherheitslücken geben wird. Wahrscheinlich stecken mehrere davon auch schon jetzt in aktuellen Produkten, werden aber vielleicht wieder erst in Jahren bekannt.

 

[Retro-3dfx-User]

Und die sind von extern garnicht anwendbar... du musst am Rechner oder im direkten Netzwerk sein um es überhaupt ausnutzen zu können!

 

[Wadenbeisser]

@Retro-3dfx-User
Prinzipiell jeder, die Frage ist eher ob sich der Aufwand lohnt.
Es dürfte leichter sein z.B. mit einem E-Mail Trojaner in das System zu kommen.

 

[Retro-3dfx-User]

Darauf will ich hinaus, es ist schier unmöglich das bei euch zu Hause jemand euren Rechner kompromittiert... und höchstwahrscheinlich sind diese Lücken bewusst gewollt für Geheimdienste etc. "CIA, NSA, FBI", nur ist es eben jetzt rausgekommen.

Bei MS Software ist es doch das gleiche, brauch mir keiner was erzählen, der gesunde Menschenverstand in der aktuellen zeit bejaht das schon.

Und dann kommen eben wieder welche aus Ihren löchern, um Geld abzugreifen eben mit Sammelklagen und co. Zumindest in den Ländern wo es geht.

Fazit: lasst euch nicht verarschen oder Angst einjagen...

 

[Wadenbeisser]

@ Herdware
Wenn ich mich recht erinnere konnte der TLB Bug dazu führen das unter Umständen falsche Speicherinhalten aufgerufen wurden, was unweigerlich zum Programm oder Systemabsturz führte. Welches von beiden bin ich mir nicht mehr sicher. Aufgefallen war es wohl erst beim massiven multi CPU Einsatz.

Des weiteren sprach ich von den Auswirkungen für den Kunden.
Die hielten sich aufgrund der geringen Marktanteile in Grenzen, für AMD war er natürlich ein Debakel weil der Ruf wegen dem Zuverlässigkeitsproblem ruiniert war.

Der FDIV-Bug betraf seinerzeit den Pentium 60 und 66, welcher auch zum Sargnagel für die Modelle und deren Plattform (Sockel 4 ) wurde.

 

[Baal Netbeck]

. Intel gibt neuen Microcode raus aber es ist Mal wieder unklar, wie man dran kommt und für welche Prozessoren.

Das Problem zieht sich durch die ganze Spectre Problematik.
Mein ivy Bridge bekam bis jetzt kein BIOS Update und bei meinem Ryzen 1000 bin ich auch planlos ob die neueren BIOS Updates jetzt sicher sind oder nicht.
Es soll die 2000er serie unterstützen und die soll ja sicher sein...aber wird für die 1000er Serie auch ein sicherer Microcode geladen? Oder nur wenn eine 2000er CPU installiert ist?

Wenn man intensiv sucht, findet man diese Infos sicherlich irgendwo...aber leicht finde ich es nicht.

 

[Inxession]

...rein praktiv ist der Exploit aber nicht nutzbar!

Das ist sicherlich eine sehr gewagte Aussage.

Schwierig auszunutzen, und bisher hat es keiner geschafft. Aber womöglich dann doch, in einer Form nutzbar, die man bisher noch nicht probiert hat.

Trotz all dem, ist es aktuell schon schwer, sich eine Intel CPU "anzulachen".

Jetzt sind es schon einige Lücken mehr, die die Core Arch aufweist.

Das ist dann schon mit Risiken verbunden, die quasi bei AMD nur "halb so schlimm" sind.

Unveröffentlichte Lücken mal außen vor gelassen, hat AMD aktuell definitiv die bessere Ausgangslage.

 

[inge70]

. Intel gibt neuen Microcode raus aber es ist Mal wieder unklar, wie man dran kommt und für welche Prozessoren.

Mein ivy Bridge bekam bis jetzt kein BIOS Update

Also Ivy Bridge bekam letztens durch MS das Microcode-Update mit KB4100347 für Build 1803. Wobei es aber MANUELL runtergeladen werden muss.
Mein Ivy im Laptop hat daran aber ganz gut zu knappern in der Leistung.

Intel wird wieder mit den aktuellsten CPU's anfangen und bis zu einem bestimmten Alter (wahrscheinlich bis 5 Jahre alt) zurück gehen. AMD wird es wohl ähnlich machen, denke ich, wenn es dann notwendig wird.

 

[Herdware]

Wenn ich mich recht erinnere konnte der TLB Bug konnte dazu führen das unter Umständen falsche Speicherinhalten aufgerufen wurden, was unweigerlich zum Programm oder Systemabsturz führte

Ich hab nochmal nachgeschaut. AMD selbst schrieb in seinem Errata von "Data corruption" als eine der möglichen Folgen.
Aber ich will hier auch nicht alte Leichen ausgraben und darüber diskutieren, was schlimmer oder weniger schlimm war/ist. Den TLB-Bug habe ich nur als Beispiel für einen schwerwiegenden CPU-Fehler genommen, den sicher kein Hersteller freiwillig in Kauf nehmen würde, aber halt trotzdem passiert ist.

Des weiteren sprach ich von den Auswirkungen für den Kunden.

Ja. Die Auswirkungen solcher Fehler für die Kunden können sehr unterschiedlich ausfallen.

Aber mir geht es darum, dass auch richtig schwerwiegende Bugs, die manchmal regelrechte "Produkt-Killer" sind, immer wieder durchrutschen können. Genauso wie strategische Fehlentwicklungen (z.B. das Versagen des Pentium Pro bei 16Bit-Software, Netburst oder AMDs Bulldozer/Modul-Irrweg). Kein Hersteller macht sowas mit Absicht und jeder unternimmt alles, um das Risiko solcher Fehlschläge zu minimieren. Aber vollkommen verhindern lassen sich solche Fehler einfach nicht.

Deswegen finde ich es falsch, Meltdown und Spectre jetzt als besonderes Versagen von Intel darzustellen und als Beweis, dass man mit der Konkurrenz grundsätzlich besser fährt.
Intels Kommunikation nach Bekanntwerden der Probleme kann man aber wie gesagt durchaus sehr kritisch sehen. (Da sind aber wohl eher Intels Anwälte die Schuldigen, nicht die Entwickler.)

 

[Hamburg]

Also wird es gefixte Hardware wohl erst in ca. 2 Jahren geben.

Und von meinem alten Haswell zu AMD upgraden würde ich erst, wenn auch deren CPUs genaustens untersucht wurden.

 

[MK one]

ich wiederum halte es für durchaus denkbar das Intel , um die Performance Krone zu behalten , den einen oder anderen Sicherheitsaspekt außen vor gelassen hat , andererseits kommt es immer wieder vor das man den Wald vor lauter Bäumen nicht sieht und erst einem Außenstehenden etwas auffällt , auch wenn es mitunter 15 - 20 Jahre dauert - denn solange exestiert Meltdown bei Intel schon ....

 

[Wadenbeisser]

@Herdware
Vielleicht wäre es auch einfach nur angebracht normale Bugs und Sicherheitslücken zu unterscheiden.
Das was da aktuell stattfinden kann man für beide Seiten einfach nur als GAU bezeichnen denn es deckt mehr oder weniger die komplette Produktpalette der letzten 12 Jahre ab.

Bevor man allerdings in Panik verfällt oder versucht sich alles schön zu reden sollte man das eher als Chance für den Wettbewerb sehen denn ausgerechnet der Marktführer ist am stärksten betroffen und die Gefahr entsprechend hoch. Allein schon wegen der Risikostreuung dürften die nächsten Jahre wohl mehrere Kunden eher zweigleisig fahren um bei künftigen Geschichten dieser Art zumindest eine temporäre Ausweichmöglichkeit zu besitzen.

Deshalb gehe ich auch davon aus das sich das wirkliche Ausmaß der Konsequenzen dieser Geschichte erst in ein paar Jahren bei anstehenden Systemwechseln abzeichen wird.

 

[Hamburg]

Und die Intel Aktie steigt und steigt: +10% Monat, +22% Halbjahr, +45% Jahr.

Scheinbar spekulieren die Anleger darauf, dass viele Kunden in Zukunft Ersatz kaufen und der Imageschaden im Vergleich nichts ausmacht.

 

[Ctrl]

viel Bla um nichts!

 

[Sun_set_1]

Also wird es gefixte Hardware wohl erst in ca. 2 Jahren geben.

Schön wärs. Um das Problem nachhaltig und ohne Performance-Verluste lösen zu können, wird man ein Modul innerhalb der CPU benötigen, welche die spekulativen Berechnungen validieren und freigeben kann. Das Ganze innerhalb einer trusted zone, damit die Seitenkanalattacken nicht mehr möglich sind.

Bis Das design- und leistungstechnisch implementiert und am Markt verfügbar ist, werden mal ganz schnell vier bis sechs Jahre vergehen.

 

[Jolly91]

So eine Meldung könnte AMD 10% am Aktienmarkt kosten. Intel merkt davon recht wenig.