News Intel/ARM/AMD: Sicherheitslücken Meltdown & Spectre V1, V2 etc. (Links in Post 1)

Erst dachte ich WOW - endlich mal jemand der was testet...

Dann lese ich:
"Our methodology for this story is fairly simple in practice. First, we performed a round of benchmarks on our Windows 10-based systems. Then, we applied the relevant patch and repeated the tests. Although the Variant 2 operating system patch we're using was deactivated via Windows, it should represent worst-case performance for now. We did not use a BIOS with Spectre mitigations because none are currently available (they were pulled). We'll follow up with more comparative testing as firmware updates arrive. "

Also mit anderen Worten...Das System ist nur gegen Meltdown gepatched (wenn überhaupt ?).
Entsprechend sieht man dann auch keinen Impact in den Benchmarks...(was mich vermuten läßt dass Meltdown ebenfalls nicht aktiv ist oder aber die getesteten Games haben kaum I/O Sachen.

Der Test von PCGH ist also einfach nur vollkommen nutzlos !
 
Zuletzt bearbeitet:
Hallo

In dem Test fehlt noch I/O-lastige Software, und wen es nur SSD-Benchmarks wären, um die Auswirkungen der Patches zu demonstrieren.
Schließlich reagieren diese Programme deutlich auf die Spectre/Meltdown Patches.

Update 3 des Computerbaseartikel "Sicherheitslücke Spectre: Reboot-Problem nach BIOS-Update, neue Microcodes"
https://www.computerbase.de/2018-01/spectre-bios-update-reboot-problem/

Update 08.02.2018 08:59 Uhr
Intel hat nun die ersten aktualisierten Microcodes für Partner bereitsgestellt. Diese sind bisher aber nur für Skylake-Systeme vorgesehen, von Notebook-CPUs bis zu Desktop-Lösungen. Weitere sind aktuell im Beta-Status verteilt worden und sollen in Kürze folgen.

MfG
RedBaron
 
Zuletzt bearbeitet:
Nicht nur das ....wenn ich das richtig lese hat Intel Microcodes in der Entwicklung bis hinunter zu den ersten Core2-Arch CPUs.

Inklusive Nehalem....also der ganz alten i7-XXX serien modellen.

Selbst Pentium E sind in "Planning"...

Da ist wohl jemandem Bewusst geworden wie gravierend die Geschichte evtl. doch ist ? Oder man weiss mittlerweile noch mehr....oder es gibt weitergehende Exploitmöglichkeiten die an Intel reported wurden aber noch nicht öffentlich bekannt sind.

Uiui - es bleibt spannend :-)
 
Nicht nur das ....wenn ich das richtig lese hat Intel Microcodes in der Entwicklung bis hinunter zu den ersten Core2-Arch CPUs.

Inklusive Nehalem....also der ganz alten i7-XXX serien modellen.

Selbst Pentium E sind in "Planning"...

Da ist wohl jemandem Bewusst geworden wie gravierend die Geschichte evtl. doch ist ? Oder man weiss mittlerweile noch mehr....oder es gibt weitergehende Exploitmöglichkeiten die an Intel reported wurden aber noch nicht öffentlich bekannt sind.

Uiui - es bleibt spannend :-)
So lange das nicht wie bei Android endet: Google patcht jeden Monat bis hinunter zu Android5. Aber nur 1% aller Geräte bekommen diese Patches dann auch.
Bios-updates gibts ja bei den billigen Hersteller gefühlt genau so kurz wie es Android-updates gibt - zwischen 0 und 1 Jahr...
 
Damit ist AMD in Zugzwang, wenn Intel Fixes für bis zu 10 Jahre alte Core2Duo liefert.
Intel wurde reichlich gescholten, aber damit können sie ihren Ruf wiederherstellen, als zuverlässiger Partner der Industrie, was AMD als die schlechtere Wahl dastehen ließe, wenn sie tatsächlich nur ab Ryzen Spectre-2 patchen. Die Industrie will ihre Anlagen jahrelang nutzen und da muss der CPU-Hersteller dazu passen.
Im privaten Bereich kann man nach den Support zurückfahren, aber in der Industrie hat das ernste Konsequenzen.
Da kann AMD auch nicht mit der Behauptugn ankommen, Spectre-2 wäre bei ihren CPUs schwer auszunutzen. Das wird als Beschwichtigung aufgenommen.
Eine offensichtliche Sicherheitslücke muss gepatched werden oder man nimmt einen Hersteller erst gar nicht als Option in die Überlegung.
Also, AMD tue endlich etwas!
 
Versprechen kann man viel, nur ob es dann auch in die Tat umgesetzt wird bleibt abzuwarten.

Von dem für Januar versprochen BIOS Update für das ASUS H170M-E D3 in meinem HTPC ist bis heute noch nichts zu sehen.
 
Damit ist AMD in Zugzwang, wenn Intel Fixes für bis zu 10 Jahre alte Core2Duo liefert.
Intel wurde reichlich gescholten, aber damit können sie ihren Ruf wiederherstellen, als zuverlässiger Partner der Industrie, was AMD als die schlechtere Wahl dastehen ließe, wenn sie tatsächlich nur ab Ryzen Spectre-2 patchen.
Warum sollte AMD überhaupt was wegen Spectre-2 machen?

Die Industrie will ihre Anlagen jahrelang nutzen und da muss der CPU-Hersteller dazu passen.
Dann sollte die Industrie schleunigst AMD-CPUs kaufen. Die sind nämlich für die Meltdown-Lücke nicht anfällig.

... Da kann AMD auch nicht mit der Behauptugn ankommen, Spectre-2 wäre bei ihren CPUs schwer auszunutzen. Das wird als Beschwichtigung aufgenommen.
Ich gehe davon aus, dass es in der Industrie Leute gibt, die Ahnung haben. Und die Verstehen, warum Spectre-2 auf AMD-CPUs kein Thema ist.

Eine offensichtliche Sicherheitslücke muss gepatched werden ...
Warum?
Und mit dem "Patchen" ist die Sicherheitslücke ja nicht weg.

... Also, AMD tue endlich etwas!
Ja, vergeudet die Zeit nicht mit sinnlosem Patchen, sondern bringt CPUs raus, die die Sicherheitslücken von vornherein gleich gar nicht haben.
 
Ich bin gespannt, ob es von AMD ein Microcode-Update für eine A4-1200 APU mit Temash-Core erscheinen wird ;)

In der "Industrie" werden Steuerungs-Rechner (keine SPS) auch 15 Jahre und länger verwendet, wen es den die Hardware so lange schafft.
 
Ich bin gespannt, ob es von AMD ein Microcode-Update für eine A4-1200 APU mit Temash-Core erscheinen wird ;)

In der "Industrie" werden Steuerungs-Rechner (keine SPS) auch 15 Jahre und länger verwendet, wen es den die Hardware so lange schafft.
Und diese Steuerungs-Rechner sollen für Spectre-2 anfällig sein?
Erklär uns mal, wie das auf einem Steuerungs-Rechner funktionieren soll.
Wenn da ein "Schadprogramm" draufkommt, dann hast du ganz andere Probleme als Spectre-2.

Leute, Leute, macht euch doch bitte erstmal schlau, bevor ihr postet.
 
Zuletzt bearbeitet:
Vor allem immer wieder daran erinnern, dass Spectre 2 überhaupt keinen ausführbaren Code in das System bringen kann. Es können lediglich Daten aus dem Speicher gelesen werden.
 
Windows Analytics now helps assess Meltdown and Spectre protections (Microsoft Blog)

heise dazu:

Meltdown-/Spectre-Absicherung einschätzen

Microsoft hat sein Telemetrie-Analyse-Tool Windows Analystics erweitert. So können Admins nun unternehmensweit den Status von Computer in Bezug auf Schutzmaßnahmen gegen die CPU-Lücken Meltdown und Spectre prüfen. Dafür liest das Tool die Status von AV-Scannern, Firmware und Windows Update aus und präsentiert die Ergebnisse in einer Übersicht. Derzeit soll der Firmware-Check nur mit Intel-CPUs funktionieren.

Die aktuelle Version von Windows Analytics kann man von Windows 7 bis Windows 10 mit aktuellem Patch-Level nutzen.
 

Das war nicht ausreichend präzisiert meinerseits, die A4-1200 APU basiert auf der Jaguar Architektur.
Temash ist der Codename des CPU-Die.
Eine A4-1200 APU verwende ich in einem meiner Geräte.

Mein Beitrag zu Industrie-Steuerungsrechner bezog sich auf folgende Aussage von deoroller und nicht auf die A4-1200 APU speziel:
Die Industrie will ihre Anlagen jahrelang nutzen und da muss der CPU-Hersteller dazu passen.

Und diese Steuerungs-Rechner sollen für Spectre-2 anfällig sein?
Erklär uns mal, wie das auf einem Steuerungs-Rechner funktionieren soll.

Viele dieser Rechner sind älter als 10 Jahre, werden mit einem Microsoft OS betrieben welches auf einer Intel-CPU ausgeführt wird
und haben seit Inbetriebnahme kein Software-Update erhalten. Das wäre separat betrachtet nichts besonderes, wen manche alte HMI-Software
Active-X Controls im Internetexplorer ausführt.

Wenn da ein "Schadprogramm" draufkommt, dann hast du ganz andere Probleme als Spectre-2.
Das stimmt 100%.

Zitat von Complicated:
Vor allem immer wieder daran erinnern, dass Spectre 2 überhaupt keinen ausführbaren Code in das System bringen kann. Es können lediglich Daten aus dem Speicher gelesen werde
Vielen Dank für den Hinweis, wieder etwas gelernt.
 
Und schon stellt man fest das die Software-Flickerei gegen Spectre V1 (BCB) nicht wirklich via Compiler funktioniert (zumindest bei Microweich):
https://www.heise.de/security/meldu...piler-Fix-weitgehend-wirkungslos-3970815.html

Und von wegen Spectre V1 und vor allem V2 wären ja so schwer anwendbar, weil Mikroanpassung an jede Hardware erforderlich etc...
Man kann sich halt auch ein Skript schreiben das die Varianten abklopft :-)
https://www.heise.de/security/meldu...tware-automatisiert-CPU-Angriffe-3970686.html

EDIT; für die Fachleute hier das Fach-PDF: https://arxiv.org/pdf/1802.03802.pdf
 
Code zum ausnutzen der Meltdown und Spectre Sicherheitslücken kann mit wirtschaftlich vertretbarem Aufwand
automatisch an verschiedene Hardware angepasst werden, abgesicherter Code jedoch nicht ?
Aber die Hersteller haben es ohnehin nicht eilig abgesicherte Software und Microcode Updates, womöglich noch
für EOL-Produkte zu erstellen, testen, verteilen und dokumentieren.
 
Aktionismus ist nur gut um sich und andere zu beruhigen. Aber so langsam erwarte ich wirksame Patches. Der Nutzen sollte größer sein als die Nebenwirkungen. Sonst fährt man mit einem ungepatchten System unter dem Strich besser und man konzentriert sich auf die Datensicherung, was nie verkehrt ist.
 
Sicherheitslücke Spectre Update 3: BIOS-Updates von Acer über Apple, Dell, HP bis Lenovo (Computerbase)

Update 21.02.2018 07:18 Uhr
Intel hat nun finale Microcodes für Skylake, Kaby Lake und Coffee Lake zur Verfügung gestellt, auch im Server-Bereich ist Skylake-SP und bereits Skylake-D neben vielen Atom-Prozessoren laut Support-Dokument (PDF) nun im finalen Status angelangt. Jetzt können die Boardpartner ihre Umsetzungen angehen, sodass in den kommenden Wochen wieder vermehrt BIOS-Updates zu erwarten sind.

Na da bin ich mal gespannt wie lange das bei ASUS dauert bis es raus ist.

microcode revision guidance February 20 2018 (intel PDF)

Broadwell (E), Haswell, Ivy Bridge (E) und Sandy Bridge (E) sind noch alle Beta so das die meisten meiner Rechner wohl noch einige Zeit warten müssen wenn da was kommen sollte.

--- Update ---

Auch dazu:

Spectre: Intel verteilt Microcode für Client- und Server-CPUs (golem)

--- Update ---

Spectre-Lücke: Updates für aktuelle Intel-Prozessoren auf dem Weg (heise)

IBC bei AMD

AMD hat unterdessen das Whitepaper "AMD64 Technology Indirect Branch Control Extension" herausgegeben. Genau wie bei Intel-CPUs sollen Microcode-Updates für Indirect Branch Control (IBC) bei AMD-Prozessoren die Funktionen Indirect Branch Prediction Barrier (IBPB), Indirect Branch Restricted Speculation (IBRS) und Single Thread Indirect Branch Predictor (STIBP) nachrüsten.

Angeblich ist bei den jüngsten Ryzen-APUs das CPUID-Bit für IBPB bereits gesetzt. Doch das Windows-PowerShell-Skript SpeculationControl findet auf diesen Systemen noch keine Hardware-Unterstützung für den BTI-Schutz, vermutlich weil dazu außer IBPB auch IBRS und STIBP nötig sind.
 
Zuletzt bearbeitet:
Zurück
Oben Unten