Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

[hanfi104]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Es istz doch genau das was in den papern steht und ich auch seit ner Woche gesagt hab - was sagt der hanfvernichter dazu? Oh je - ging dien ganzes Gfrundloses gehetze und Strohmanherbeirufen nach hinten los?

Von dir kam doch bisher immer, alles was die Presse sagt ist falsch und die Medien lügen
Der Schwachsinn kam nicht von mir

Ich hatte jetzt erwartet, dass du gegen den Artikel gehst, warum auch immer, aufgrund deiner "böse Presse" Haltung

 

[wolflux]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Schade das man solche Probleme nicht mit einem einfachen Biosupdate lösen kann.

 

[Casurin]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Hier hört die Erklärung mitten im Satz auf: "Aber während einer spekulativen Ausführung erfasste auch das Caching-System das Datenfragment und speicherte es für eine etwaige künftige (legitime) Verwendung zwischen... ." Eeeeh??? Wie geht das den nun?

Es funktioniert genau so wie es ein Cache eben macht:
Daten die geladen werden landen im Cache - der "gehört" zu keinem Prozess sondern behält einfach nur daten gespeichert damit sie schneller wieder aufgerufen werden können.
Egal was an daten geladen wird - zuerst wird geschaut ob sie nicht im Cache liegen, da dadurch das laden sehr schnell gehen würde. wenn nicht, werden sie geladen und auch im Cache gespeichert.

Ist so wie bei Kleidung:
Wenns im herbst das erste mal kalt wird schaut man nach, ob man nicht doch noch ne warme Jacke oder Mantel in der Garderobe hengen hat. Wenn nicht, holt man sie aus dem Schrank. Nachdem man dann den Mantel einmal geholt hat bleibt er in der Garderobe bis es wieder so warm wird das niemand ihn mehr braucht und er durch leichtere Bekleidung abgelöst wird.
Und wenn der Mantel mal aus dem Schrank ist muss auch sonst niemand mehr zum Schrank gehen um ihn zu holen wenn man ihn anziehen will.

Von dir kam doch bisher immer, alles was die Presse sagt ist falsch und die Medien lügen
Der Schwachsinn kam nicht von mir

Ich hatte jetzt erwartet, dass du gegen den Artikel gehst, warum auch immer, aufgrund deiner "böse Presse" Haltung

Wenn ich sowas gesagt hätte - aber mit lügenmärchen erfinden bist du ja ganz toll - bravo. Hier, hast nen imaginären Lutscher der zu deinen Imaginären Anschuldigungen passt.

 

[Benie]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Sehr schöner Artikel hier

Dies zeigt uns wieder einmal mehr, das es kein System gibt was nicht irgendwann mal geknackt werden kann.
Ein Wettlauf mit der Zeit in dem es keinen Gewinner gibt. Geht ja schon seit Jahren so in der Virusbekämpfung der Computerindustrie.

Manchmal scheint es so, als würden diese "Sicherheitsfirmen" den Schadcode selbst in Umlauf bringen, um eine Daseinsberechtigung zu haben.

 

[Placebo]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Soweit ich es verstehe, sind Prozesse auf physisch distinkten CPUs voreinander sicher. Wenn also fest ein ganzer Prozesser einer VM zugewiesen wird, sollten Spectre-Angriffe aus anderen VMs auf diese unmöglich sein.

Ja.

ich weiß nicht, in wie weit die Sprungvorhersagen einzelner Kerne einer CPU untereinander Informationen austauschen

Kommt auf den Cache an. Level 1 Zugriff geht nur über den gleichen Kern (also im Prinzip nur mit Hyperthreading). Level 2 kann auch von einem anderen Kern angegriffen werden und zu Level 3 habe ich bis jetzt nichts gefunden aber sollte sich (rein logisch) wie Level 2 verhalten.

 

[Casurin]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Noch ein kleiner Zusatz:
Bei Spectre geht es nicht um das Auslesen das Caches sondern um die Ausnutzung des caches um den gesammten RAM auszulesen. Es ist ziemlich egal ob sich das Programm dessen Speicherinhalt man auslesen will auf dem selben Kern befindet oder nicht. So lange der Speicher angesprochen werden kann funnktioniert der Angriff.
Auch bei Multisocket mit geteiltem RAM (jede CPU hat ihren eigenen RAM) kann man mit Spectre noch immer den RAM auslesen wenn es inter-CPU Kommunikation gibt und RAMzugriffe erlaubt sind wenn der Code angepasst wird. Wobei die erfolgsrate und Auslesegeschwindigkeit wohl zu niedrig für praktische Angriffe wäre.

 

[tsalin]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Das Privilege Level geprüft werden, ist Kanon. Sonst würden sie gar nicht funktionieren. Aber muss man sie vor der eigentlichen Berechnung prüfen oder reicht eine Prüfung vor Freigabe des Ergebnisses? Die bisherigen Sicherheitsüberlegungen setzten nur letzteres voraus: War eine spekulative Berechnung unnötig, illegitim oder ist aus irgend einem anderen Grund nicht verwertbar, gibt es einen Rollback zum vorhergehenden Systemzustand und es gibt keine Spuren, das überhaupt eine Berechnung stattgefunden hat. Dieses Verfahren galt sowohl auf Seiten der CPU- als auch Software-Entwickler als absolut sicher. Das die physischen Prozesse deutlich weniger klar sind als dieser nominellen Ablauf der Systemlogik wurde ignoriert.

Hmm, vielleicht (und bestimmt mit dem Ignorieren) hast Du recht. Aber: http://www.ieee-security.org/TC/SP2013/papers/4977a191.pdf Seite 199 (ist die 9. Seite des Papers) Abschnitt "B. Second Attack: Double Page Fault". Das ist tatsächlich auch im Meltdown-Paper verlinkt, allerdings ohne diesen Bezug. Vielleicht verwechsel ich da etwas, aber ich lese es so als sei den damaligen Autoren bereits ein solches Verhalten aufgefallen, ohne es jedoch extra zerlegt oder ausgenutzt zu haben.

 

[Freakless08]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

@PCGH Redaktion.
Eigentlich müsste die CPU Bestenliste komplett neu gebenchmarkt werden, nachdem das UEFI (samt Microcode) und Windows Update aufgespielt wurde.
Ist das schon in Planung?

 

[Grestorn]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Freakless08, damit die AMD Prozessoren endlich die Spitzenplätze einnehmen, die ihnen gebühren, oder?

Darum geht's Dir doch. Als ob das im Moment irgendjemand interessiert. Ich finde das ziemlich traurig.

 

[Freakless08]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Freakless08, damit die AMD Prozessoren endlich die Spitzenplätze einnehmen, die ihnen gebühren, oder?

Darum geht's Dir doch. Als ob das im Moment irgendjemand interessiert. Ich finde das ziemlich traurig.

Warum willst du hier trollen?
Natürlich damit man sieht wie die wirkliche Leistung aussieht. Was bringen Werte in einem Hardware-Testmagazin, wenn diese gar nicht mehr mit der Realität übereinstimmen?
Und wer sagt das sich ggf. nicht auch bei AMD was ändert, die hatten nämlich teilweiße auch Probleme mit Sectre Variante 1.
Aber klar. Lieber totschweigen das es Leistungsverluste gibt. Wohl das bessere deiner Meinung nach, damit man beim Schwanzvergleich mit veralteten und ungültigen Werte noch den dicken raushängen kann.

Als könnte man mit veralteten Werte darauf noch Kaufempfehlungen stützen. Natürlich muss das nachgetestet und bewertet werden.

 

[Hills1975]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Freakless08, damit die AMD Prozessoren endlich die Spitzenplätze einnehmen, die ihnen gebühren, oder?

Darum geht's Dir doch. Als ob das im Moment irgendjemand interessiert. Ich finde das ziemlich traurig.

Hm wenn man so einige Kommentare auf den Webseiten so liest, geht vielen da der Leistungsverlust vor Sicherheit, traurig aber war.

 

[Grestorn]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Warum willst du hier trollen?

Du weißt, dass das normalerweise eine Verwarnung gibt?

Du wirst nicht müde, immer und immer wieder darauf herumzureiten, dass AMD ja jetzt vieeeel schneller als Intel sei. Schön für Dich (ohne das wirklich geprüft zu haben). Wie gesagt, als ob das gerade das wichtigste Problem wäre. Freu Dich, dass Dein geliebtes AMD jetzt besser dasteht. Dafür können sie zwar nix, die haben nur Glück gehabt, aber bitte.

Mir ist diese Häme, die Du zeigst, einfach zuwider.

Übrigens: Im Moment finde ich AMD selbst attraktiver. Und zwar auch dann, wenn Ryzen ein paar Prozent langsamer wäre oder ist. Aber Fans, wie Du einer bist, bringen mich zum zweifeln. Denn mit solchen Menschen möchte ich mich nicht assoziieren.

 

[Freakless08]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Ist mir doch egal ob du Intel oder AMD magst.
Was spricht denn gegen eine neutrale Neubewertung?

Nur weil ich eine neutrale Neubewertung für notwendig halte und diese auch nötig sind für Kaufempfehlungen bzw. Beratungen unterstellst du mir hier "AMD Fanboytum".
Was ist an einer neutralen Bewertung nach Spectre & Meltdown verkehrt?

Jeder der sich demnächst einen neuen Rechner zusammenbaut/updatet wird automatisch auch nicht mehr die veralteten Werte erreichen, sondern eben die "nach" Spectre & Meltdown. Da kann man sich auf die alten Testergebnisse nicht mehr verlassen.

Würdest du bei einem neutralen Nachtest von PCGH jetzt auch behaupten die PCGH Redakteure wären AMD Fanboys? Lächerlich.

Du weißt, dass das normalerweise eine Verwarnung gibt?

DU warst es doch der bei einer neutralen Frage wieder in eine einseitige Richtung einschlägt und der mich als "Fanboy" betitelt. Was soll das sonst von dir sein?
Darf man jetzt gar keine Nachtest mehr machen, sondern erst wenn die nächste CPU Generation erhältlich ist und den Rest kehrt man mal lieber so lange heimlich unter den Teppich?

 

[Grestorn]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Nichts, nur wird das früher oder später sowieso passieren, ob man das nun in 1000 Threads fordert oder nicht.

 

[Freakless08]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Nichts, nur wird das früher oder später sowieso passieren, ob man das nun in 1000 Threads fordert oder nicht.

In welchen 1000 Threads? Das ist der erste an dem ich danach FRAGE. Aber anscheinend greife ich dich wohl irgendwie allein durch die Nachfrage persönlich an (wie auch immer das sein soll). Scheint wohl schlimm für dich zu sein.
Und das Leistung wichtiger wäre anstatt Sicherheit habe ich nie behauptet. Ich rate generell jedem immer das neuste Windows samt Updates installiert zu haben. Wer veraltete Software verwendet handelt Fahrlässig.

 

[Cross-Flow]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Freakless lass den Grestorn mal Lauch sein und kümmer dich nicht weiter drum

 

[The_Rock]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Hm wenn man so einige Kommentare auf den Webseiten so liest, geht vielen da der Leistungsverlust vor Sicherheit, traurig aber war.

Sicherheit sollte natürlich immer an erster Stelle stehn. Das heißt aber nicht, dass Leistung dadurch gleich unwichtig ist
Und zumindest in diesem Forum, welches den Namen "PC GAMES Hardware" trägt, geht es eben primär um die Leistung der Hardware.

Wenn alle Patches und Firmwareupdates durch sind, würd ich mir auch neue Benchmarks wünschen (nach Möglichkeit auch mit Win 7 und älteren Prozessoren).

 

[ARCdefender]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

@PCGH Redaktion.
Eigentlich müsste die CPU Bestenliste komplett neu gebenchmarkt werden, nachdem das UEFI (samt Microcode) und Windows Update aufgespielt wurde.
Ist das schon in Planung?

Junge Junge, den Artikel hier mal gelesen?
Die Leistung ist gerader das kleinste Problem, die juckt Leute die sich mal wirklich ein paar ernsthafte Gedanken machen nicht die Bohne.
Was nutzt ein Auto mit über 500PS, wenn die Bremsen nicht zuverlässig funktionieren.

 

[DieLutteR]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

Vorab vielen Dank für den sehr gut geschriebenen Artikel!
Ich merke immer wieder, wie groß der Qualitätsunterschied ist, wenn hier Artikel von PCGH-Redakteuren veröffentlicht werden (im Gegensatz zu nicht PCGH-Redakteuren, wenn Ihr versteht was ich meine )

Ich persönlich bin mit mir selbst noch nicht im Reinen, in wie fern die genannten Schwachstellen wirklich gravierend sind. Einerseits liest es sich wie der schlimmste Sci-Fi-Horror: "Unsere Hardware ist vom Grund auf unsicher!", andererseits gibt es so viele Sicherheitsmechanismen, die zwischen den von mir betreuten Systemen und dem Angreifer stehen, dass es für mich schwer vorstellbar ist, dass ein Angreifer außerhalb unserer Firma sich wirklich mittels dieser "Features" Zugang auf unsere Systeme verschafft ...

 

[Casurin]

AW: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch

andererseits gibt es so viele Sicherheitsmechanismen, die zwischen den von mir betreuten Systemen und dem Angreifer stehen, dass es für mich schwer vorstellbar ist, dass ein Angreifer außerhalb unserer Firma sich wirklich mittels dieser "Features" Zugang auf unsere Systeme verschafft ...

Naja - eine gute IT-Abteilung kann schon den großteil abwehren. das problem bei meltdown/Spectre ist trozdem das schon ein kleines javaScript ausreichen kann um Daten auszulesen.
wen zB der Netzzugang über signierte Zertifikate geregelt ist bringt es dem Angreifer wenig dein Passwort zu kennen. Wenn es aber um Sachen wie Email-Kontos geht dann wirst do wohl auch kaum wollen das da jemand Zugang erhält.