News Massive Sicherheitslücke in Intel-CPUs der letzten Jahre

@MacroWelle
Na dann hoffen wir, dass im Zuge der Tests und des allgemeinen Interesses an diesem Thema nicht noch weitere tiefgreifende Sicherheitslücken entdeckt werden. Wobei je früher desto besser. Und hoffentlich macht das alles einmal einen Bogen um AMD, wenn es gerade mal wieder besser zu laufen beginnt.
 
Also wenn ich mir jetzt die Berichte so durchlese kommt für mich als Laie folgendes Verständnis heraus.

Intel hat quasi durch das Hardwareseitige ermöglichen Aufgaben/Rechenschritte "unsauber" abzuarbeiten einen Geschwindigkeitsvorteil eingebaut. Der auf kosten der Sicherheit geht. Im Vergleich hat AMD sich darauf nicht eingelassen und ist deshalb weniger angreifbar. Ist das so richtig?
 
Shinzon schrieb:
@Complicated
lt. deinem Zitat ist ja auch bei Intel eBPF JIT is off per default gesetzt (wie bei AMD). Somit ist von Haus aus das Ausnutzen dieser Sicherheitslücke bei Intel und AMD nicht möglich. Oder sehe ich da was falsch?
Zum Vergrößern anklicken....

MacroWelle schrieb:
@Shinzon
Default off bei Intel heißt nur, dass der eBPF JIT dort eben auch standardmäßig aus ist, so wie bei AMD, die CPU ist aber bei Intel in beiden Fällen verwundbar, bei AMD nur im Sonderfall. Google hat natürlich beides getestet, daher stehen beide Fälle bei Intel drin.
Zum Vergrößern anklicken....
Korrekt und dem ist auch nichts hinzuzufügen.

Es gibt mittlerweile eine offizielle Stellungnahme von AMD:
https://www.amd.com/en/corporate/speculative-execution
Google Project Zero (GPZ) Research TitleDetails
Variant OneBounds Check BypassResolved by software / OS updates to be made available by system vendors and manufacturers. Negligible performance impact expected.
Variant TwoBranch Target InjectionDifferences in AMD architecture mean there is a near zero risk of exploitation of this variant. Vulnerability to Variant 2 has not been demonstrated on AMD processors to date.
Variant ThreeRogue Data Cache LoadZero AMD vulnerability due to AMD architecture differences.

<tbody>
</tbody>

Heise spricht mittlerweile von "eingeschränkter Verwundbarkeit" bei AMD:
https://www.heise.de/security/meldu...roffen-erste-Details-und-Updates-3932573.html
AMD erklärte, dass die eigenen Prozessoren von den in den Analysen durch Google Project Zero beschriebenen Angriffsvarianten nach den bisherigen Untersuchungen nur in einem Fall (Variant ONe, Bounds Check Bypass) betroffen seien.
Bei Variante Zwei (Branch Target Injection) sehe man durch Unterschiede in der Architektur bei AMD-CPUs praktisch keine Gefahr, dass die Lücke genutzt werden könne, Variante 3 (Rogua Data Cache Load) könne aufgrund dieser Architekturunterschiede auf keinen Fall ausgenutzt werden.
Zum Vergrößern anklicken....
 
eratte schrieb:
Da ist wohl nichts zu zählen, Update wird seid heute verteilt.

Windows 7 KB4056897
Windows 8.1 KB4056898
Windows 10 KB4056892

Aufpassen wer andere AntiVirus Software einsetzt:

Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software (Microsoft)
Zum Vergrößern anklicken....
Ja, schneller als gedacht, aber nur mit funktionellen Einschränkungen, siehe Links. Und MS hat das Zeug ja schon seit Monaten intern am Laufen, Glück gehabt :-)

Peet007 schrieb:
Intel hat quasi durch das Hardwareseitige ermöglichen Aufgaben/Rechenschritte "unsauber" abzuarbeiten einen Geschwindigkeitsvorteil eingebaut. Der auf kosten der Sicherheit geht. Im Vergleich hat AMD sich darauf nicht eingelassen und ist deshalb weniger angreifbar. Ist das so richtig?
Zum Vergrößern anklicken....
Ja, nur muss man dazu sagen, dass eine korrekte Implementierung in Hardware (Transistoren) vermutlich keine messbaren Auswirkungen auf die Performance hätte bzw. das AMD-CPUs durch ihre Implementierung an diesem Punkt langsamer sind wäre zu beweisen. Die jetzt auftretenden Geschwindigkeitseinbußen basieren darauf, dass die Betriebssysteme die Fähigkeiten der (Intel-)Hardware nicht mehr voll ausreizen, weil dadurch eine Sicherheitslücke entstehen würde.
 
Zuletzt bearbeitet:
Und MS hat das Zeug ja schon seit Monaten intern am Laufen
Zum Vergrößern anklicken....

Geplant war das Update wohl für den 9.1. - das vorziehen hat nun wohl einige Hersteller von Anti Viren Software in ihrer Planung überrumpelt.
 
Auf meinem AMD Laptop mit Beema A8-7410 APU ist das Windows10 Update nun schon drauf. Ich frage mich nur, wozu, und hoffentlich ist KPTI nicht aktiv?

Und fraglich ist (ich meine lt. Linus Torvalds Aussage wohl auch so gemeint), ob Intel seine künftigen CPUs nun überhaupt noch fixen wird, nachdem es ja für alle Betriebssysteme schon Software-Workarounds gibt. Diese könnten anstatt nur als vorübergehende Problemlöser für ältere CPUs nun zum neuen Standard erklärt werden. Auch dürfte es Intel gut passen, dass ältere CPUs noch mehr ausgebremst werden, dh. man wird früher zu einem Neukauf bewegt.

siehe: ".. and that really means that all these mitigation patches should be
written with "not all CPU's are crap" in mind. Or is Intel basically saying "we are committed to selling you shit
forever and ever, and never fixing anything"?" Linus Torvalds https://lkml.org/lkml/2018/1/3/797
 
Zuletzt bearbeitet:
Ich kann mir vorstellen das eben Linux Entwickler tiefere Einblicke in Intels Architektur haben. Das Problem ist die Hardwareseitige Anbindug vom Cache an die Core das Intel HTT ermöglicht und somit das Herz des ganzen ist. Weil die Angaben ab wann das auftritt sehr weit zurückgeht. Da hab ich noch in Erinnerung einen AMD Bericht um das Thema Speicheranbindug. Vorteile gegenüber Intel das die GHz gegenüber AMD (breitere besser Anbindug) nicht ausnützen kann. AMD hat da mit SMT einen ganz anderen Ansatz auch um Jahre später.
 
Eben im Radio:"Es existiert bei CPU´s eine Sicherheitslücke die Millonen von Computern betrifft. Das gilt so wohl für Intel als auch für andere Hersteller."

Wie hat Intel denn das wieder hingekriegt das im Radio die Aussage kommt das nicht nur Intel davon betroffen ist?

Morpheus
 
@morpheus1969
Weil sie spectre bei dieser Bug-Meldung immer mit ins Boot nehmen, aber gegen spectre gibt es ja aktuell noch keinen echten fix /workaround, nur div. Abmilderungsmaßnahmen,
und bei spectre ist auch AMD betroffen.
 
morpheus1969 schrieb:
Eben im Radio:"Es existiert bei CPU´s eine Sicherheitslücke die Millonen von Computern betrifft. Das gilt so wohl für Intel als auch für andere Hersteller."

Wie hat Intel denn das wieder hingekriegt das im Radio die Aussage kommt das nicht nur Intel davon betroffen ist?
Zum Vergrößern anklicken....

Das liegt wohl am Computer Emergency Response Team (CERT) der Carnegie Mellon University und der Aussage, dass alle Hersteller betroffen sind. Deren Lösung ist übrigens die CPU zu tauschen. *kopfkratz Dann sollten die mal sagen, wenn alle davon betroffen sind, gegen welche man die tauschen sollte.
 
Naja, der Kernel wird zwar auf AMD-Systemen schon genauso auch gepatched, aber dieser Zweig im Kernel ist dann bei der Ausführung nicht aktiv.
Der Link vom Krautmaster im Computerbase-Forum zu Deskmodder war hilfreich. Dort wird beschrieben, wie man Überprüfen kann, ob die Schutzfunktion aktiviert ist.
hier nochmal der Link: https://www.deskmodder.de/blog/2018...rpruefen-ob-die-schutzfunktion-aktiviert-ist/
 
morpheus1969 schrieb:
Wie hat Intel denn das wieder hingekriegt das im Radio die Aussage kommt das nicht nur Intel davon betroffen ist?
Zum Vergrößern anklicken....
Weil Intels Marketing an Genialität einfach nicht zu überbieten ist:
In dem Spectre Dokument führen die Forscher aus Intel sei "Verwundbar" und bei AMD sei der Exploit ebenfalls "Anwendbar" - allerdings ist die Voraussetzung dafür, dass der User durch die Änderung einer default-Einstellung (ohne diese Änderung, also im Auslieferungszustand funktioniert der Exploit nicht) in der Software das ganze erst anwendbar macht.
Um nun die Presse nicht mit technischen Einzelheiten zu verwirren, macht Intels PR daraus einfach "betroffen sind alle", was ja auch stimmt. Das Unterscheiden wovon betroffen und wie stark betroffen die einzelnen Unternehmen sind ist für die Medien nun nicht wirklich relevant und zudem dem "Medienkonsumenten" nicht zuzumuten. Vor allem versaut es einfache Schlagzeilen....

Nur gibt es zunächst einmal 2 verschiedene Szenarien mit Meltdown und Spectre, wo AMD nur von einem "betroffen" ist. Dann gibt es bei Spectre auch noch 2 bisher gefundene Szenarien wo ebenfalls AMD nur von 1 "betroffen" ist. Und nun ist in diesem einen Szenario auch noch notwendig, dass der User zuvor den Auslieferungszustand der Software verändert um dieses anwenden zu können. Also ja AMD ist "betroffen", nur eben nicht verwundbar wenn es im Auslierferungszustand verwendet wird.

Aber hey, alle sind betroffen...ebenso wie alle aus Silizium hergestellt werden. Geniale PR.
 
Tolle Sache.

Ich arbeite ja in einem Rechenzentrum, wir haben so an die 1700 physikalische Server am Start.
Zu mindestens 90% sind hier nur Intel-CPUs in den Servern verbaut, OS ist vorwiegend Linux und auch einige BSD Varianten, nur ganz wenige Windows-Server.

Da wir auch etliche große VM-Hosts betreiben, teils mit dutzenden Gästen, steht uns da ein haufen Arbeit ins Haus. Patchen geht zwar weitgehend automatisch, aber die reboots müssen halt auch mit den Kunden abgestimmt werden. :]
 
Also wenn man so die News einiger Seiten liest denkt man bei verainte 1 und 2 wäre amd immer betroffen
Beispiel die beiden googeln Updates im ComputerBase Artikel
 
Kein Wunder warum "Intel inside" eingestampft wurde. Der CEO rettet noch schnell seine Millionen, der Aktienkurs ist schon am fallen (-4.5% aktuell). Bin gespannt wieviel Vertrauen Intel bei den OEMs einbüßt und ob das AMD irgendwie zugute kommt. Gerade im Enterprise Segment dürften die Auswirkungen am größten sein. Hohe IO Last ist dort ja an der Tagesordnung.
 
https://www.phoronix.com/scan.php?page=news_item&px=Linux-Tip-Git-Disable-x86-PTI
Update: Linus Torvalds has now ended up pulling the latest PTI fixes that also include the change to disable page table isolation for now on all AMD CPUs. The commit is in mainline for Linux 4.15 along with a few basic fixes and ensuring PAGE_TABLE_ISOLATION is enabled by default.

Kernel developer Thomas Gleixner wrote in the pull request of disabling KPTI on AMD hardware, "Not necessarily a fix, but if AMD is so confident that they are not affected, then we should not burden users with the overhead."
Zum Vergrößern anklicken....
 
Also Focus berichtet, dass Milliarden Geräte mit Intel, AMD und ARM Chips betroffen sind, also auch die meisten Smartphones und Tablets.

www.focus.de/digital/internet/meltd...aehrdet-sind-und-welche-nicht_id_8220474.html

Google soll ein Android Sicherheitsupdate am 02. Januar veröffentlicht haben, das das Problem behebt. Na hoffentlich kommt das auf meinen Samsung Geräten auch an.

Verstehe nur noch nicht, warum hier (bei P3Dnow) bloß von einem Problem der Intel Prozessoren berichtet wird, während alle Welt von "Milliarden betroffener Geräte" inkl. Smartphones und Tablets berichtet. Was stimmt denn nun?
 
Zuletzt bearbeitet:
Complicated schrieb:
Dann lies doch mal hier: http://www.planet3dnow.de/vbulletin...etzten-Jahre?p=5184607&viewfull=1#post5184607
Zum Vergrößern anklicken....
Schön und gut, aber das sagt nun wirklich nicht viel aus, da nicht gesagt wird, wie genau denn diese "Änderung einer Default-Einstellung" genau aussieht und ob man vielleicht auch diese Einstellung von außen manipulieren kann. Ist jetzt für mich kein Beleg dafür, dass AMD nicht ebenfalls signifikant betroffen ist. Hauptsächlich ging es mir aber sowieso um ARM Geräte. Was ist mit denen?
 

Ähnliche Themen

eratte
News Intel/ARM/AMD: Sicherheitslücken Meltdown & Spectre V1, V2 etc. (Links in Post 1)
29 30 31
Antworten
760
Aufrufe
99K
eratte
eratte
Dr@
Fujitsu STYLISTIC Q572 mit AMD Z-60 APU
Antworten
0
Aufrufe
52K
Dr@
Dr@
mj
Doping für CPUs - Möglichkeiten der Leistungssteigerung
Antworten
0
Aufrufe
33K
mj
mj
Zurück
Oben Unten