News Intel/ARM/AMD: Sicherheitslücken Meltdown & Spectre V1, V2 etc. (Links in Post 1)

Links in Post 1 aufgenommen.
 
Mal schauen, ob AMD-GPU's (mal wieder) sicherer sind bzw. ob sich jemand rantraut, es auch da nachzuweisen.
 
Würde mich nicht wundern, wenn der Fehler im Wundertreiber liegt :]

We verified the existence of all the reported
vulnerabilities in this paper on three Nvidia GPUs from three di"er-
ent microarchitecture generations: a Tesla K40 (Kepler), a Geforce
GTX 745 (Maxwell) and a Titan V (Volta) Nvidia GPUs. We report
the result only on the Geforce GTX 745 GPU in this paper. The
experiments were conducted on an Ubuntu 16.04 distribution, but
we veri!ed that the attack mechanisms are accessible on both Win-
dows and MacOS systems as well. The graphics driver version is
384.11 and the Chrome browser version is 63.0.3239.84.

Neben OpenGL war auch CUDA von der Lücke betroffen.
 
Zuletzt bearbeitet:
Warum hat man das nicht auch "mal eben" bei AMD ausprobiert?!
'ne billige AMD 460/560 sollte reichen, die sollts für 100€ oder weniger geben. Für diesen Einsatzzweck mehr als ausreichend...

Oder hat man das gemacht und nix gefunden??
 
Supi, schaltet Intel jetzt neben HT auch noch den restlichen Kern ab? ;D
 
Nicht mehr lange und der Bulli wird wieder interessant, weil sich "aktuelle" Intel-Prozessoren an ihm messen müssen. *buck*
 
Nicht mehr lange und der Bulli wird wieder interessant, weil sich "aktuelle" Intel-Prozessoren an ihm messen müssen. *buck*

Intel ist im Politiker Sprache formuliert "Systemrelevant" und kann sich diese Fehler einfach erlauben, ohne dass es irgendwelche Konsequenzen gibt. Sogar wenn Sie mehr Sicherheitslücken haben, Fertigungstechnisch zurück liegen und teurer sind werden die Produkte bevorzugt geordert.

Werden diese Architektur bedingten Lücken im Zeitraum mehrerer Jahre zu irgendeiner anderen Form von Programmierung führen, welche über die aktuell implementierten Lösungen wie Retpoline hinausgehen?

Eine Lösung in Hardware wird ( wahrscheinlich) noch länger dauern.

Microsoft hat sich da wohl schon grundlegende Gedanken gemacht:
Mitigation options

Speculative execution side channel vulnerabilities can be mitigated by making changes to source code. These changes can involve mitigating specific instances of a vulnerability, such as by adding a speculation barrier, or by making changes to the design of an application to make sensitive information inaccessible to speculative execution.

https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution?view=vs-2019#mitigation-options
 
Zuletzt bearbeitet:
Update bei heise:

[Update: ] AMD betont, dass die eigenen Prozessoren nicht von MDS betroffen sind.

Update Mehr MDS-Varianten

[Update: ] Die Experten der TU Graz haben noch Papers zu weiteren Sicherheitslücken veröffentlicht: Die Seite cpu.fail verweist außer auf ZombieLoad auch auf Store-to-Leak-Forwarding sowie die MDS-Attacken RIDL und Fallout. Die Sicherheitsforscher hatten im vergangenen November bemängelt, dass CPU-Hersteller nicht systematisch genug nach weiteren Schwachstellen ihrer Prozessoren suchen.
2. Update: Yet Another Meltdown

Die Firma Bitdefender hat zudem die Schwachstelle "Yet Another Meltdown" (YAM) gefunden. Sie soll vor allem für die Server von Cloud-Anbietern problematisch sein. YAM steckt laut Bitdefender in älteren Intel-Prozessoren der Generationen Ivy Bridge, Haswell, Skylake und Kaby Lake. Auch gegen YAM sollen Microcode-Updates sowie Patches für Hypervisors kommen.
Sicherheitslücken durch Microarchitectural Data Sampling (MDS) in Intel-Prozessoren
Microarchitectural Store Buffer Data Sampling (MSBDS) CVE-2018-12126
Microarchitectural Fill Buffer Data Sampling (MFBDS), ZombieLoad CVE-2018-12130
Microarchitectural Load Port Data Sampling (MLPDS) CVE-2018-12127
Microarchitectural Data Sampling Uncacheable Memory (MDSUM) CVE-2019-11091

--- Update ---

Intel ZombieLoad: Hyper-Threading sorgt erneut für große Sicherheitslücken (Computerbase)
Neue Side-Channel-Attacke betrifft alle Intel-CPUs mit Hyper-Threading (Update) (HardwareLUXX)

--- Update ---

Neue Linux-Kernel schützen vor ZombieLoad aka MDS (heise)

--- Update ---

ZombieLoad & Co.: Apple ergreift Gegenmaßnahmen (heise)

--- Update ---

Updates gegen die Intel-Prozessorlücken ZombieLoad & Co. (heise)

--- Update ---

AUA:

Product Status: Microarchitectural Data Sampling (MDS) (Google)

Google Chrome OS (Chromebooks, etc.)

Google has disabled Hyper-Threading by default on Chrome OS 74 and later. Chrome OS 75 will include additional mitigations.

--- Update ---

Sicherheitslücken: Zombieload in Intel-Prozessoren (golem)
 
Bei all den Lücken, warum wollen Leute immer noch Intel CPUs kaufen??

Weil es ihnen egal ist und sie die Dimension und Komplexität garnicht verstehen.
Außerdem sind oftmals nur die Server betroffen, die dem Privaten komplett egal sind.
 
Außerdem sind oftmals nur die Server betroffen, die dem Privaten komplett egal sind.

Betroffen sind alle, aber es gibt genug Leute die meinen das hat für Privatuser alles keine Relevanz da würde sich keiner die Mühe machen um auf so einen Rechner zu kommen.
Die spielen auch die entsprechenden Patche nicht ein um weiter den vollen "Speed" zu haben. Bei solchen Usern musst man sich dann keine Gedanken machen warum die weiter intel kaufen. Komisch das Google bei Chromebooks HTT ausschaltet.
 
Bei all den Lücken, warum wollen Leute immer noch Intel CPUs kaufen??

Weil über Jahrzehnte mit Benchmarks betrogen wurde.
Weil Mediamarkt und CO von Intel gekauft wurde.
Das ist einfach in den Köpfen der Leute verankert wie ein Virus.
CSL hat z.b. nen 2700x mit Vega 56.....für 799EU.
Der i9 mit GTX kostet über doppelt so viel bringt in dem Beispielspiel aber nur 1-2 FPS mehr.

Mein Vater......ja das Angebot mit dem AMD ist nicht schlecht,ABER ist kein Intel........
 
The Performance Impact Of MDS / Zombieload Plus The Overall Cost Now Of Spectre/Meltdown/L1TF/MDS (phoronix)

If looking at the geometric mean for the tests run today, the Intel systems all saw about 16% lower performance out-of-the-box now with these default mitigations and obviously even lower if disabling Hyper Threading for maximum security. The two AMD systems tested saw a 3% performance hit with the default mitigations. While there are minor differences between the systems to consider, the mitigation impact is enough to draw the Core i7 8700K much closer to the Ryzen 7 2700X and the Core i9 7980XE to the Threadripper 2990WX.

A Look At The MDS Cost On Xeon, EPYC & Xeon Total Impact Of Affected CPU Vulnerabilities (phoronix)

If looking at the geometric mean of all the benchmarks carried out, the EPYC 7601 averages out to about a 1% hit with its Spectre mitigations. The dual Xeon Platinum 8280 Cascadelake setup with its mostly hardware-based mitigations was slower by 4% with the relevant mitigations enabled (l1tf: Not affected + mds: Not affected + meltdown: Not affected + spec_store_bypass: Mitigation of SSB disabled via prctl and seccomp + spectre_v1: Mitigation of __user pointer sanitization + spectre_v2: Mitigation of Enhanced IBRS IBPB: conditional RSB filling). Meanwhile the dual Xeon Gold 6138 server that unfortunately doesn't have the hardware mitigations saw a 11% hit from the benchmarks run with these Spectre/Meltdown/L1TF/MDS mitigations or 15% if disabling Hyper Threading as an additional measure based on the benchmarks carried out today.
 
Zuletzt bearbeitet:
RIDL and Fallout: MDS attacks. Attacks on the newly-disclosed "MDS" hardware vulnerabilities in Intel CPUs

Da gibt es auch das MDS Tool from RIDL Team für Windows, Liunx und Mac OS X

mdstool.png


Exploit demos gibt es auch zu sehen.
 
Damit wäre Zen 2 nach heutigen Stand also komplett sicher?
 
Spectre V1 setzt soweit ich das beurteilen kann immer Fixe in Software voraus (Browser z.B. ), gegen den Rest sollte ZEN 2 geschützt sein.
 
Zurück
Oben Unten