Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Okay, womöglich habe ich überreagiert. Das mit dem Tonfall ist tatsächlich ein Problem und deine Ratschläge an sich auch sinnvoll - nur passten sie halt gerade nicht auf den Sachverhalt, den ich anreißen wollte. Wobei ich wiederum nicht ausschließen kann, dass ich es nicht klar genug umrissen habe.

Was Windows-Updates angeht, scheinen wir ohnehin komplett auf einer Linie zu sein und was die Einflussnahme auf Hardware (außer über die Treiberebene wie gewollt) durch das BS angeht, wird man vielleicht auch erst einmal abwarten müssen, wie Microsoft das nun tatsächlich regeln wird. Ich kann mir eigentlich auch nicht vorstellen, dass Microsoft die rechtlichen Implikationen nicht selbst durchdenkt.

Wie auch immer, nix für ungut ... :) *handshake*
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Freiheraus schrieb:
Gibt es Hinweise, dass sich das mit den finalen/fehlerfreien Microcode-Updates ändert?
Zum Vergrößern anklicken....

Ich hab seit rund 6 Wochen den "finalen" Microcode für SKL-S drauf (der bereits veröffentlichte und wieder zurückgezogene MC C2 wird unverändert wieder neu ausgerollt).
Die Performance Impacts sind vernachlässigbar und bewegten sich in Benchmarks zwischen 0 und 4%.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Mahoy schrieb:
Was Windows-Updates angeht, scheinen wir ohnehin komplett auf einer Linie zu sein und was die Einflussnahme auf Hardware (außer über die Treiberebene wie gewollt) durch das BS angeht, wird man vielleicht auch erst einmal abwarten müssen, wie Microsoft das nun tatsächlich regeln wird. Ich kann mir eigentlich auch nicht vorstellen, dass Microsoft die rechtlichen Implikationen nicht selbst durchdenkt.
Zum Vergrößern anklicken....
Siehe weiter vorne: MS hat schon früher Intel Microcode verteilt. Und zwar für sowas unwichtiges wie das unterbinden von OC.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

DARPA schrieb:
Ich hab seit rund 6 Wochen den "finalen" Microcode für SKL-S drauf (der bereits veröffentlichte und wieder zurückgezogene MC C2 wird unverändert wieder neu ausgerollt).
Die Performance Impacts sind vernachlässigbar und bewegten sich in Benchmarks zwischen 0 und 4%.
Zum Vergrößern anklicken....

Setzt du denn auch gepatchte Benchmarks ein, die Indirect Branch Control bereits nutzen? Wenn nicht, dann sind die von dir beobachteten 0-4% einfach nur das Rauschen der Messtoleranz.
Man kann es nicht oft genug wiederholen: Nach dem MC-Update stehen den CPUs erweiterte Befehle zur Verfügung. Diese müssen von der eingesetzten Software aktiv genutzt werden. Ein gepatchtes Windows schützt nur und ausschließlich Windows-Prozesse. Nicht jedoch die installierten Programme. Diese müssen einzeln vom Hersteller nachgepatcht werden, um Indirect Branch Control nutzen zu können.

MC-Update + gepatchtes Windows + gepatchte Programme = korrekte Nutzung (sicherer, läuft dafür aber in vielen Szenarien mit abgeschalteter Sprungvorhersage, was automatisch zu massiven Geschwindigkeitseinbußen führt)
MC-Update + gepatchtes Windows + ungepatchte(s) Programm(e) = das Programm nutzt Indirect Branch Control nicht, läuft genauso wie zuvor (unsicher, dafür ungebremst).

Nur die reinen Softwarepatches der letzten Zeit, die sich z.B. gegen Meltdown richteten, können momentan in ihren Auswirkungen auf die Leistung bewertet werden. Und die durch diese verursachten Leistungseinbußen bewegen sich in der Tat (so man keine Cloud-Server betreibt) in dem von dir beobachteten Bereich. Das ist aber eine andere Baustelle.
Wenn Programme Indirect Branch Control nicht aktiv nutzen, weil sie darauf noch nicht angepasst wurden (was momentan noch fast alle sind), merkt man natürlich auch keine Geschwindigkeitseinbußen.

Interessant wird es erst, wenn die entsprechenden Patches für Spiele und Co. erscheinen (so sie denn für Titel der letzten Zeit und älter überhaupt noch das Licht der Welt erblicken).

Für eine Entwarnung gibt es also absolut keinen Grund. Denn die Sprungvorhersage ist verantwortlich für die Leistungssteigerungen der letzten Jahrzehnte, eine situative Abschaltung wird alles andere als "vernachlässigbar" sein.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Olstyle schrieb:
Siehe weiter vorne: MS hat schon früher Intel Microcode verteilt. Und zwar für sowas unwichtiges wie das unterbinden von OC.
Zum Vergrößern anklicken....

Was jedoch auch ... eher nicht so wohlwollend aufgenommen wurde.

Wobei mir auch wieder einfällt, wie das damals rechtlich begründet wurde - nämlich damit, das die Veränderung ja nicht permament, sondern an die Nutzung des Betriebssystems gekoppelt sei. Wobei zu prüfen wäre, ob die Unterbindung eines (ungewünschten) Features gleichbedeutend mit der grundsätzlichen Verringerung der Prozessorleistung gegenüber der zuvor erbrachten Leistung.

DARPA schrieb:
Ich hab seit rund 6 Wochen den "finalen" Microcode für SKL-S drauf (der bereits veröffentlichte und wieder zurückgezogene MC C2 wird unverändert wieder neu ausgerollt).
Die Performance Impacts sind vernachlässigbar und bewegten sich in Benchmarks zwischen 0 und 4%.
Zum Vergrößern anklicken....

Leider variiert das sehr stark zwischen Prozessorgenerationen und Anwendungsbereichen. Ich hatte mit dem Meltdown-Patch bei meinem Ivy-Bridge-Xeon beispielsweise Einbrüche von über 20 Prozent bei Reindizierungen von Datenbanken etc. - das ist mir zu viel für das Schließen einer Lücke, deren Ausnutzung man mit weniger Einbußen unterbinden kann. Vier Prozent wären allerdings erträglich.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Taskmaster schrieb:
Man kann es nicht oft genug wiederholen: Nach dem MC-Update stehen den CPUs erweiterte Befehle zur Verfügung. Diese müssen von der eingesetzten Software aktiv genutzt werden. Ein gepatchtes Windows schützt nur und ausschließlich Windows-Prozesse. Nicht jedoch die installierten Programme. Diese müssen einzeln vom Hersteller nachgepatcht werden, um Indirect Branch Control nutzen zu können.
Zum Vergrößern anklicken....

Ok, das wusste ich nicht. Hab mich mit der ganzen Thematik aber bisher auch nur rudimentär beschäftigt. Ich ging davon aus, dass durch die neuen MCs die Sprungvorhersage bereits aktiv beeinflusst wird.
Meinen Tests hatten demnach die Änderung von Windows Patch + MC Update gezeigt. Hab das auch nicht groß dokumentiert, wollte nur nen groben Überblick für meine eigenen Anwendungsfelder.

Mahoy schrieb:
Leider variiert das sehr stark zwischen Prozessorgenerationen und Anwendungsbereichen. Ich hatte mit dem Meltdown-Patch bei meinem Ivy-Bridge-Xeon beispielsweise Einbrüche von über 20 Prozent bei Reindizierungen von Datenbanken etc. - das ist mir zu viel für das Schließen einer Lücke, deren Ausnutzung man mit weniger Einbußen unterbinden kann. Vier Prozent wären allerdings erträglich.
Zum Vergrößern anklicken....

Jap, ich kann natürlich nur von meinem Szenario sprechen, also 6700K und 08/15 Gam0r und Bencher ;)
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Ist ja kein Ding. Dafür sind Foren ja da. :)
Vielleicht hier noch mal:
Reaktionen auf Spectre und Meltdown
Anders sieht dies bei Spectre "2" aus, der potenziell alle Teile des Programm-Codes seines Ziels missbrauchen kann. Zur Abwehr dieser Gefahr haben Microsoft und Intel eine Kombination aus Patch und CPU-Microcode-Update angekündigt, die die spekulative Sprungvorhersage in kritischen Situationen abschalten soll. Unklar ist, wie diese identifiziert werden und wie groß der Betriebssystemteil ist, der hierdurch von den Leistungsvorteilen des Out-of-Order-Prinzips abgeschnitten wird. Auswirkungen auf die Gesamtleistung sind wahrscheinlich.

Beiden Patches ist eins gemein: Sie schützen nur das Betriebssystem selbst. Es wurde aber bislang kein Mechanismus öffentlich diskutiert, wie dies andere Prozesse vor Spectre schützen kann. Vielmehr muss gegen jedes einzelne Programm immunisiert werden, das mit für Angreifer interessanten Daten arbeitet - in Zeiten zunehmender Account-Bindung eine kaum überschaubare Zahl von Anwendungen.
Zum Vergrößern anklicken....
Der neue MC und das Windows-Update schützen die Prozesse von Fremdsoftware einfach nicht.
Jedes einzelne Programm muss nachgearbeitet werden und die neuen Funktionen des MC-Updates (Indirect Branch Prediction Barrier, Indirect Branch Restricted Speculation und Single Thread Indirect Branch Predictor) implementieren, so man Spectre die Angriffsfläche entziehen möchte. Wenn das dann mal geschehen ist, wird man auch erst die tatsächlichen Leistungseinbußen bei den eingesetzten Programmen identifizieren können.
Programme, deren Prozesse nicht per IBC abgesichert werden, werden auch wie zuvor ungebremst laufen und (wenn überhaupt) durch Windows-Hintergrundprozesse (weil diese womöglich durch im OS aktives IBC CPU-Kerne länger als zuvor vereinnahmen) verlangsamt.
Dafür sind deren Prozesse dann aber potentielle Ziele für einen Angriff nach Spectre 2.
 
Zuletzt bearbeitet:
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Was aber auch garkein Problem ist solang mit das bei Normalusern einzige mit potenziellen unsicherem Code arbeitende Programm gehärtet hat, nämlich den Browser.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Was ist eigentlich wenn man ausschließlich Linux nutzt?

Ich persönlich tue das seit über einem Jahr und fahre sehr gut damit, fühle mich im Internet wesentlich sicherer, werde nicht von stundenlangen Update-Sessions entnervt usw..
Wenn ich mal an meinem A10-7800-Rechner sitze, auf dem Windows 10 läuft und die Updateflut von ein paar Monaten über mich ergehen lasse, vergehen da gut und gerne schonmal ein paar Stunden bei großen Funktionsupdates, bis das Ding wieder up-to-date gepatcht ist, bei meinen Linux-Rechnern dauert das in der Regen nur paar Minuten und das Defragmentieren kann ich mir beim Linux-Dateisystem auch noch sparen, ebenso die elendig lahme Datenträgerbereinigung der großen Windows-Updates unter Windows 10.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

@Olstyle
Jain. Der Browser ist der offensichtlichste Einfallspunkt (bspw. über JavaScript). Bei den Browseranbietern hat man bisher lediglich dadurch reagiert, dass man keinen genauen Zeitgeber mehr anbietet. Das ist zwar eine Hürde, jedoch keine, die wirklich vollkommen wirksam ist.
Es kann auch jedes bewusst oder unbewusst installierte Tool oder noch so kleine Browser-Addon, etc. pp. die Tür öffnen.
Jetzt kann man natürlich anführen, dass potentielle Angreifer doch mit einem Trojaner, Keylogger oder ähnlich viel einfacher ans Ziel kommen.
Aber das stimmt nur bedingt. Denn diese Art der Schadsoftware ist für Virenscanner im Normalfall schnell zu identifizieren.
Bspw. ein Tool, das ganz nebenbei Code nach Spectre einschleust, benötigt nicht mal Administratorenrechte, der Vorgang des Datenabgriffs ist nicht als "schädlich" zu identifizieren.
Das ist der große Vorteil dieser Angriffsmuster.

Deswegen ist es sinnvoll, so wenig Angriffsfläche wie möglich zu bieten, die eingesetzte Software zu immunisieren. Darum führen Intel und AMD MC-Updates durch. Windows ist vorbereitet, einzig der Rest steht noch aus.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Taskmaster schrieb:
Interessant wird es erst, wenn die entsprechenden Patches für Spiele und Co. erscheinen (so sie denn für Titel der letzten Zeit und älter überhaupt noch das Licht der Welt erblicken).

Für eine Entwarnung gibt es also absolut keinen Grund. Denn die Sprungvorhersage ist verantwortlich für die Leistungssteigerungen der letzten Jahrzehnte, eine situative Abschaltung wird alles andere als "vernachlässigbar" sein.
Zum Vergrößern anklicken....

Ich würde nicht mit einer Welle an Spiele-Patches rechnen. Diese sind schlichtweg nicht nötig: Spectre kann nur Daten abgreifen, die für den Zielprozess regulär zugänglich sind. Kritisch sind somit Betriebssysteme, Browser, Mailprogramme, Passwort-Manager und DRM-Clients. Aber ein Spiel als solches kann schlichtweg darauf verzichten, während der Laufzeit mit schützenswerten Daten zu arbeiten und benötigt dann auch keine leistungsfressenden Spectre-Gegenmaßnahmen.


Tim1974 schrieb:
Was ist eigentlich wenn man ausschließlich Linux nutzt?
Zum Vergrößern anklicken....

Das macht keinen großen Unterschied. Meltdown-Patches sind dringend zu empfehlen und sollten mittlerweile für alle wichtigen Distributionen verfügbar sein. Gegen Spectre nutzen die Kernel-Entwickler bislang ausschließlich Retpoline und sind somit nicht auf Hardware-Patches angewiesen, aber beim Schutz von Anwendungen hat das jeweilige Team die freie Wahl. Daher sollten auch Linux-PCs mit neuem Microcode versehen werden. (Wird dieser nicht benutzt, sind auch keine Auswirkungen auf die Performance zu erwarten.)
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Ist halt die Frage, wie sich das zukünftig bspw. mit dem immer wichtigeren Thema "Lootboxen" und "einfacher Bezahlvorgang" überschneidet.
Und da Mods bspw. sogar schon Mining-Malware verteilen, Angriffe auf Spieler gar nicht so uninteressant sind...

(P.S.: Zufällig neulich im Heft drüber gestolpert... Ich hoffe, der Lunge geht es wieder gut? :huh:)
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Bei Free 2 Pays, die an jeder Ecke des Spiels Echtgeld nutzen, könnte es in der Tat zu Performance-Einbußen kommen. Aber ist das jetzt wirklich ein Nachteil, wenn diese Spiele auf einigen Low-End-Rechnern noch weniger Spaß machen? :-D

Mining-Malware in Mods (und anderswo) ist dagegen ein anderes Thema. Spectre ermöglicht nur das Auslesen von Daten, aber kein Einschleusen von Code. Man kann also keine fremden Rechner für sich arbeiten lassen, sondern allenfalls die Pool-Informationen des Malware-Verteilers ausspähen. Dafür kann man sich den Mod aber auch einfach selber runterladen. :-) Womit ich aber definitiv rechnen würde: Spectre-Angriffe auf Wallets. Ein attraktiveres Ziel für Cyberkriminelle ist kaum vorstellbar.


OT Gesundheit: Rückfall :-(. Wie man auch im neuen Heft sehen kann, habe ich in den letzten anderthalb Monaten nur sehr wenig Zeit in der Redaktion verbracht. Einen Tag um genau zu sein.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Warum, muß ich jetzt an Mining denken.
Unter m.Heise.de habe ich gelesen, dass auch Grafikkarten
durch neue Treiber, Patches gegen Spectre sicher gemacht werden sollen.
Habe hier bisher nichts davon gelesen.
 
Zuletzt bearbeitet:
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Stand hier auch, ca 2 Tage nach Bekanntwerden hat NV auch Patches angekündigt. Wobei mir der Angriffsvektor GPU-Treiber nach wie vor nicht klar ist.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

@PCGH_Torsten
Das mit der Mining-Malware war ja nur ein Beispiel für die Dreistigkeit und die vielen verschiedenen unerwarteten Richtungen, aus denen heutzutage Attacken auf die User kommen.
Und wenn Spiele immer mehr Zusatz ingame anbieten, dazu verleiten, für eine "lila Rüstung" mal schnell Zahlungsinformationen einzugeben (was ja nun schon lange nicht mehr nur die F2P MMOs betrifft), wird doch wohl zu erwarten sein, dass diese gegen Spectre abgedichtet werden (was hoffentlich zukünftig einfach schon bei der Engine-Programmierung berücksichtigt wird, damit aber wohl auch Spiele betreffen könnte, die nicht mal Ingame-Verkäufe anbieten). Zumindest kann ich mir nicht vorstellen, dass eine Anfälligkeit zwecks Performance hingenommen wird, um dann wegen eines vermeidbaren Angriffs in einem Skandal aufgerieben zu werden.

Zur Lunge: Herje, das ist nicht schön zu hören. Meine Luge hat mir auch schon einige Späße bereitet (was dann zu einer recht großen OP führte). Die Schmerzen waren nicht selten abartig. Wünsche gute Besserung! :(
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Olstyle schrieb:
Stand hier auch, ca 2 Tage nach Bekanntwerden hat NV auch Patches angekündigt. Wobei mir der Angriffsvektor GPU-Treiber nach wie vor nicht klar ist.
Zum Vergrößern anklicken....

Prinzipiell lässt sich jedes Stück Software mit Spectre angreifen und der Grafiktreiber hat nicht nur Zugriff auf den gesamten Bildinhalt, sondern bei GPGPU gegebenenfalls auch auf interessante Datensätze. Die Motivation für Nvidias Patches lag sicherlich eher bei letzterem – man versucht Teslas ja auch an die Finanzindustrie zu verkaufen.

Taskmaster schrieb:
@PCGH_Torsten
Das mit der Mining-Malware war ja nur ein Beispiel für die Dreistigkeit und die vielen verschiedenen unerwarteten Richtungen, aus denen heutzutage Attacken auf die User kommen.
Und wenn Spiele immer mehr Zusatz ingame anbieten, dazu verleiten, für eine "lila Rüstung" mal schnell Zahlungsinformationen einzugeben (was ja nun schon lange nicht mehr nur die F2P MMOs betrifft), wird doch wohl zu erwarten sein, dass diese gegen Spectre abgedichtet werden (was hoffentlich zukünftig einfach schon bei der Engine-Programmierung berücksichtigt wird, damit aber wohl auch Spiele betreffen könnte, die nicht mal Ingame-Verkäufe anbieten). Zumindest kann ich mir nicht vorstellen, dass eine Anfälligkeit zwecks Performance hingenommen wird, um dann wegen eines vermeidbaren Angriffs in einem Skandal aufgerieben zu werden.
Zum Vergrößern anklicken....

Solche Titel sind sicherlich attraktive Ziele und ich glaube nicht, dass man sich zugunsten von ein paar Fps mehr angreifbar macht. Es wird aber spannend sein zu beobachten, ob gerade diese Entwickler die nötige Sorgfalt zur Schließung aller denkbaren Angriffswege aufbringen. Beispielsweise habe ich von den großen F2P-Anbietern noch nicht gehört, dass sie Mods verbieten wollen. Diese stellen aber immer Fremdcode, gerne auch aus durchaus zwielichtigen Quellen, dar, der weitreichenden Zugriff auf das Spiel erhält. Wenn dann die Echtgeldzahlungsvorgänge ebenfalls aus dem Spiel heraus abgewickelt werden, können sich Angreifer wohl kaum bessere Bedingungen vorstellen.
 
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

Olstyle schrieb:
Stand hier auch, ca 2 Tage nach Bekanntwerden hat NV auch Patches angekündigt. Wobei mir der Angriffsvektor GPU-Treiber nach wie vor nicht klar ist.
Zum Vergrößern anklicken....

Das stimmt, dazu klarere Aussagen finde ich auch nicht.
Würde jemand ein Ultrabook herstellen, dass nicht angreifbar wäre, würde ich tatsächlich sofort 2500.00€ bezahlen.
das erinnert mich an die Zeiten, mit Amiga habe ich angefangen, in dem ein komplettes Betriebssystem beim Bootvorgang im Ramspeicher hatten oder später, eines auf einer DVD. von der mit Netzwerk und Internet bedienen konnte.
Das war irgendwie eine coole Zeit.
Nun, besser wird es wohl jetzt auch nicht werden, eher schlimmer.Leider!
 
Zuletzt bearbeitet:
AW: Intel-Microcode gegen Spectre: Von Microsoft über Windows-Updates

PCGH_Torsten schrieb:
Prinzipiell lässt sich jedes Stück Software mit Spectre angreifen und der Grafiktreiber hat nicht nur Zugriff auf den gesamten Bildinhalt, sondern bei GPGPU gegebenenfalls auch auf interessante Datensätze. Die Motivation für Nvidias Patches lag sicherlich eher bei letzterem – man versucht Teslas ja auch an die Finanzindustrie zu verkaufen.
Zum Vergrößern anklicken....
Nur ist Spectre ja ein Prozess-Interner Angriff. Also müsste man Code im Treiber ausführen. Afaik bekommt der aber nach wie vor nur eine ausgesuchte Menge API-Befehle. Ein Programm was Shader anbietet welche der NV Treiber so kompiliert dass daraus ein Spectre Angriff wird klingt für mich schon ziemlich absurd.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News CacheWarp: AMD verteilt Updates gegen Sicherheitslücke in SEV-ES und SEV-SNP
Antworten
5
Aufrufe
794
Pleasedontkillme
Pleasedontkillme
PCGH-Redaktion
News Microcode-Trick: So schützte sich Intels erste x86-CPU gegen Rechtediebstahl
Antworten
12
Aufrufe
1K
x2K
x2K
PCGH-Redaktion
News Intel: Bis zu 50 Prozent weniger Leistung durch Schutzmaßnahmen gegen Downfall
2 3
Antworten
58
Aufrufe
3K
PCGH_Torsten
PCGH_Torsten
MrPe
Nach Intel-Microcode-Update auf Version 0x123 Probleme mit RAM-Controller
Antworten
0
Aufrufe
5K
MrPe
MrPe
PCGH-Redaktion
News Windows Vista letztes Betriebssystem von Microsoft? (Update)
Antworten
0
Aufrufe
29
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück