Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Anfangs war nur von einer Sicherheitslücke in Intel-Prozessoren die Rede. Die war schon verdächtig groß und ist klar als Bug zu definieren. Nun aber weitet sich das Thema aus, denn zu "Meltdown" kommt auch "Spectre" und diese Konzeptschwäche betrifft auch AMD und ARM.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Seit Intel CPUs aus dem Jahr 1995? Ja leeeeeeck XD
Und siehe da selbst AMD IST BETROFFFEN und sogar ARM Chips O.O

Was ist mit VIA CPUS?
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Das ist so zu Spectre nicht ganz korrekt: Wenn man Spectre nur an einer Stelle beheben wollen würde, dann wäre eine Hardware-Änderung an der CPU nötig. Da dies aber nicht geht, bedarf es Änderungen in den verantwortlichen Programmen selbst. Deswegen wird Spectre schwerer zu lösen weil es nicht an einer zentralen Stelle behoben werden kann.

Die Updates im Betriebssystem ist nur für Meltdown und somit nur wegen Intel nötig.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

"...das Intel-CEO Brian Krzanich Ende November so viele Aktionen verkaufte, wie er konnte..."

Jemand der weiß wie es um das Unternehmen steht (weiß er wohl am allerbesten) macht sowas...

Das sagt schon viel aus und ist ein Ausrufezeichen !
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Genau jetzt wäre der perfekte Zeitpunkt für einen neuen CPU-Hersteller der diese Schwachstellen nicht hat und damit "sicherer" ist.
Btw. ist uns das auch schon aufgefallen, die Patches waren einfach zu schnell da - sprich man wusste über die Lücken bescheid. Respekt auch an Intel, seit 1995 alle CPUs betroffen :stick:

Und das mit den Aktien... Hoffentlich klagt da jemand :)
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Scheint als funktioniert hier im Kommentarbereich Intels Startegie "Oh schaut ... da drüben ist ein Drache" auf zu gehen. Man nehme eine deutlich schwerer auszunutzende Lücke und zeige auf die Konkurenz die auch betroffen ist um vom eigentlichen Problem ab zu lenken.

Ja all diese Lücken sollten geschlossen werden, aber ich bin ja gespannt wie groß die Performanceauswirkungen am Ende wirklich ausfallen. Denn Meltdown ist relativ leicht aus zu nutzen, der Patch kostet 5-30% Performance wohl und er betrifft nur Intel. Spectre scheint schwerer zu beheben zu sein, aber ist auch deutlich schwerer auszunutzen, fixes kosten wohl keine Performance und sie betreffen alle CPU Hersteller.

Mal sehen wie sich das entwickelt.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

@hudson:

eigentlich lächerlich, dass das erlaubt ist......
ich lese überall, dass das wohl kein insiderhandel wäre. als börsenlaie stellt sich mir da die frage, wieso nicht?
kann das jemand erklären?
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

"...das Intel-CEO Brian Krzanich Ende November so viele Aktionen verkaufte, wie er konnte..."

Jemand der weiß wie es um das Unternehmen steht (weiß er wohl am allerbesten) macht sowas...

Das sagt schon viel aus und ist ein Ausrufezeichen !

Würde mich extrem wundern, wenn es da nicht zumindest zu Ermittlungen seitens der Staatsanwaltschaft wegen Insiderhandel und wenigstens einer Geldstrafe kommt.

Vermutlich wird man versuchen zu argumentieren, dass man die Sicherheitslücke nicht zu früh vor dem Finden einer Lösung bekannt machen wollte. Kann ich auch durchaus verstehen.

Bin aber definitiv mal gespannt in welchen Anwendungsfällen es zu den erwähnten Leistungseinbußen kommt.

@TheGermanEngineer

Naja, AMD ist von einem anderen weniger schwerwiegenden Problem betroffen. Das eigentliche Meltdown-Problem, auf welches sich die Berichterstattung die letzten Tage bezog ist Intel exklusiv!

Wenn die RAM-Preise und das neue Auto nicht wären, wäre das bei mir vermutlich der letzte Stoß in Richtung Umstieg auf Ryzen gewesen. :(
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Denn Meltdown ist relativ leicht aus zu nutzen, der Patch kostet 5-30% Performance wohl und er betrifft nur Intel.

so allgemein kann man das zum jetzigen zeitpunkt nicht sagen. die ersten benchmarks deuten eher daraufhin, dass es für normale desktopnutzer keine performanceeinbußen gibt.
bei servern sieht es wohl anders aus. aber diese unterscheidung sollte man schon treffen.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Sinnvolles Vorgehen. Die Lücke existiert so oder so. Eine Publizierung würde das bekannt machen und die Ausnutzung jener wäre wahrscheinlich noch höher. Daher: Erst einen Patch entwickeln um es dann geordnet zu sichern
 
Zuletzt bearbeitet:
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Würde mich extrem wundern, wenn es da nicht zumindest zu Ermittlungen seitens der Staatsanwaltschaft wegen Insiderhandel und wenigstens einer Geldstrafe kommt.

Vermutlich wird man versuchen zu argumentieren, dass man die Sicherheitslücke nicht zu früh vor dem Finden einer Lösung bekannt machen wollte. Kann ich auch durchaus verstehen.

Bin aber definitiv mal gespannt in welchen Anwendungsfällen es zu den erwähnten Leistungseinbußen kommt.

@TheGermanEngineer

Naja, AMD ist von einem anderen weniger schwerwiegenden Problem betroffen. Das eigentliche Meltdown-Problem, auf welches sich die Berichterstattung die letzten Tage bezog ist Intel exklusiv!

Wenn die RAM-Preise und das neue Auto nicht wären, wäre das bei mir vermutlich der letzte Stoß in Richtung Umstieg auf Ryzen gewesen. :(
Vielleicht findet man in 10 Jahren nen kritischen Sicherheitsbug in der Zen Architektur. Ich kann Intel da ausnahmsweise mal keinen großen Vorwurf machen, bei so komplexen Dingen kommt es immer zu Fehler und Dingen die man so nicht bedacht hat.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Und AMD hat sogar noch beteuert "Bei uns gibt es keine Sicherheitslücken". Ja ne, ist klar, solange es keiner merkt. Bei ARM steht man immerhin zu dem Problem

Das ist FALSCH!

Project Zero: Reading privileged memory with a side-channel

Variant 1: Bounds check bypass
This section explains the common theory behind all three variants and the theory behind our PoC for variant 1 that, when running in userspace under a Debian distro kernel, can perform arbitrary reads in a 4GiB region of kernel memory in at least the following configurations:

Intel Haswell Xeon CPU, eBPF JIT is off (default state)
Intel Haswell Xeon CPU, eBPF JIT is on (non-default state)
AMD PRO CPU, eBPF JIT is on (non-default state)

The state of the eBPF JIT can be toggled using the net.core.bpf_jit_enable sysctl.

AMD ist nur unter bestimmten Umständen anfällig, wenn vorher manuell eingegriffen wurde, per Default ist AMD nicht anfällig für Spectre und für Meltdown sowieso nicht!

Daher kann AMD zurecht behaupten, dass ihre CPUs nicht verwundbar sind. Denn wenn der User ersteinmal eine Sicherheitslücke aktivieren muss gibt es unzählige Möglichkeiten.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

@pope82:
@blink86:

Die Frage stellt sich ab wann ist es Insiderhandel. Vielleicht hat er dies nur aufgrund der schon so oder so bekannten Tatsachen gemacht. Nämlich, dass bekannt ist, dass Ryzen noch viel mehr Potential habe und jetzt so oder so bekannt ist, dass Intel schwere Probleme habe. Insofern hat er keine vertrauliche Information verwendet. ... Aber insgesamt können wir hier nur spekulieren.

Ich denke die Situation ist von Anfang an seit Feb/März letzten Jahres klar: Intel hat ab jetzt einen massiven Gegner. Intel wird von zwei Seiten unter Beschuss genommen werden: Erstens kann Intel die Verkaufszahlen nicht mehr halten. Zweitens kann es die Preise nicht mehr halten. Und wenn doch, dann nur auf Kosten der Rendite. Letzteres ist keine Lösung.

Und selbst wenn Intel eine neue Architektur entwickeln sollte... was soll das bringen? Erstens brauchst das 4 bis 5 Jahre Entwicklungszeit. Sowas stampft man nicht einfach so aus dem Nichts. Man muss also lange lange Zeit sehr viel Geld vorstrecken. Zweitens ist damit nicht gesagt, dass die neue Architektur besser sein wird. Sowas kann auch nach hinten losgehen. Und drittens selbst wenn die neue Architektur schneller sein sollte, ich glaube niemals, dass diese massivst schneller/besser wäre. Evtl. ein paar Prozentpunkte aber mehr? Und genau das ist das Dilemma in dem Intel steckt.
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Und AMD hat sogar noch beteuert "Bei uns gibt es keine Sicherheitslücken". Ja ne, ist klar, solange es keiner merkt. Bei ARM steht man immerhin zu dem Problem

Informier dich bitte richtig, bevor du so Halbwahrheiten verbreitest. Die originale Meldung, dass AMD-Prozessoren nicht betroffen sind kommt von einem AMD Entwickler und bezieht sich auf die Kernel Page Table Isolation. Das ist der Meltdown-Bug.
LKML: Tom Lendacky: [PATCH] x86/cpu, x86/pti: Do not enable PTI on AMD processors

Intel hat in ihrer Aussendung Spectre-Bug und Meltdown-Bug quasi gemixt und konnte so einen gewisse "Teilschuld" auf AMD und ARM abwälzen.

Die Richtigstellung von AMD schließt die Lücken nicht 100% aus, sondern bezeichnet sie nur als quasi "unmöglich":

To be clear, the security research team identified three variants targeting speculative execution. The threat and the response to the three variants differ by microprocessor company, and AMD is not susceptible to all three variants. Due to differences in AMD's architecture, we believe there is a near zero risk to AMD processors at this time.

https://www.cnbc.com/2018/01/03/amd-rebukes-intel-says-flaw-poses-near-zero-risk-to-its-chips.html
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Meltdown - die intel-spezifische Sicherheitslücke - wurde bereits mit dem Holzhammer geschlossen. Das ging Softwareseitig und ist dadurch schnell zu implementieren, dafür aber auch die schlechtest mögliche Leistung (und trozdem im normalfall < 5%).
Das Problem ist das Sicherheitsrisiko für Serveranbieter - auch wen dies nach bisherigen erkenntnissen gering ist, da es nur um lesezugriffe geht.
Trozdem ist das ein gewaltiger Nachteil denn viel Serversoftware, im gegensatz zu jeglicher Software die auf Rechenleistung setzt, nutzt oft viele SystemCalls und genau das wird durch den Holzhammer stark beeinträchtigt.

Denn Meltdown ist relativ leicht aus zu nutzen, der Patch kostet 5-30% Performance wohl und er betrifft nur Intel. Spectre scheint schwerer zu beheben zu sein, aber ist auch deutlich schwerer auszunutzen, fixes kosten wohl keine Performance und sie betreffen alle CPU Hersteller.
Da hast du es genau falsch herrum.
Meltdown ist leichter herbei zu führen, dabei aber nciht wirklich dazu geeignet Schadcode auszuführen da es nur das Auslesen ebreits bekannter Ram-Adressen erlaubt. Auch ist dies durch die Architektur des TLB geschuldet - was aber wiederum das ganze auch per Microcode änderbar macht.
Spectre dagegen erlaubt auch Code-injection und ist ein Grundlegendes problem von OoOe und iwürde bei einer ähnlichen Holzhammermethode wie der Linux-kernel-patch deutliche und konsistente leistungseinbusen bedeuten (nicht nur in spezialfällen).



Nein, AMD ist von Spectre nicht betroffen:
An Update on AMD Processor Security | AMD

Edit: Google verlinkt auch das AMD Statement:
Project Zero

.. Kannst du auch die seiten die du verlinkst zuerst lesen bevor du hier herrum lügsts?
Direkt von der von dir verlinkten Seite geht hervor das AMD nur nicht von Meltdown, sowohl aber von beiden varianten von Spectre betroffen ist - wobei ihre Einschätzung auf den leistungseinfluss sehr sehr optimistisch sind .... sie glauben sie können ein Grundproblem der gesammten x86_64 einfach in Software ohne auswirkungen lösen XD
 
AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Informier dich bitte richtig, bevor du so Halbwahrheiten verbreitest. Die originale Meldung, dass AMD-Prozessoren nicht betroffen sind kommt von einem AMD Entwickler und bezieht sich auf die Kernel Page Table Isolation. Das ist der Meltdown-Bug.
LKML: Tom Lendacky: [PATCH] x86/cpu, x86/pti: Do not enable PTI on AMD processors

Intel hat in ihrer Aussendung Spectre-Bug und Meltdown-Bug quasi gemixt und konnte so einen gewisse "Teilschuld" auf AMD und ARM abwälzen.

Die Richtigstellung von AMD schließt die Lücken nicht 100% aus, sondern bezeichnet sie nur als quasi "unmöglich":



https://www.cnbc.com/2018/01/03/amd-rebukes-intel-says-flaw-poses-near-zero-risk-to-its-chips.html

Um richtig Klug zu kacken: Ihr liegt alle daneben. AMD ist anfällig für Spectre1 nicht für Spectre2. Es gibt (bisher) 3 Bugs. MeltDown, Spectre1 und Spectre2. Und genau das steht auch so in der AMD Stellungnahme. Spectre1: anfällig, software Fix. Spectre2: wohl nicht anfällig. MeltDown: nicht anfällig. So wie es aussieht kann es in Zukunft aber "beliebig viele" weitere Spectre x y und z geben (aufgedeckt werden). Intel kann wohl nicht per OS zu Spectre1/2 gefixt werden, daher sind spezifische Software Fixes notwendig zB in Browsern, Java ect, die Timing Angriffe verhindern sollen.
 
Zurück