Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Mit Lazy FP State Restore wird die dritte der acht weiteren, im Mai bekannt gewordenen Sicherheitslücken im Zusammenhang mit Spectre konkretisiert. Die Schwachstelle weist Ähnlichkeiten zu Meltdown auf und erlaubt das Auslesen von FPU-Registern. Betroffen sind ausschließlich Intel-Prozessoren mit Core-Architektur.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Möglicherweise ist es ein Grund, weshalb INTEL in der Vergangenheit so schnell mit der CORE I Technik AMD davon geeilt sind, wenn man weniger WERT auf SICHERHEIT legt. Gut ist, dass das Problem mit einen simplen Software Update geschlossen werden kann. Jetzt gibts es nur noch fünf Lücken. Mal schauen, wie gefährlich die sind.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Zum Glück habe ich mich gegen einen 8700k entschieden. Auch wenn sich manche Sicherheitslecks mit einem Update schließen lassen, so ist es doch wahrscheinlich, dass da noch mehr Lücken sind von denen wir normale Anwender gar nichts wissen. Da wird bestimmt noch mehr kommen was sich nicht so einfach beheben lässt...
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Ripcord schrieb:
Zum Glück habe ich mich gegen einen 8700k entschieden. Auch wenn sich manche Sicherheitslecks mit einem Update schließen lassen, so ist es doch wahrscheinlich, dass da noch mehr Lücken sind von denen wir normale Anwender gar nichts wissen. Da wird bestimmt noch mehr kommen was sich nicht so einfach beheben lässt...
Zum Vergrößern anklicken....

Und alle diese Lücken sind, seit dem die Browser gepatcht wurden, für Normalnutzer irrelevant, jedenfalls solange sie keine virtuellen Maschinen betreiben und sich Feinde mit sehr großem Budget gemacht haben.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Pu244 schrieb:
Und alle diese Lücken sind, seit dem die Browser gepatcht wurden, für Normalnutzer irrelevant, jedenfalls solange sie keine virtuellen Maschinen betreiben und sich Feinde mit sehr großem Budget gemacht haben.
Zum Vergrößern anklicken....

Und vorher als noch keiner davon wusste?

Wie gesagt, sorgen sollte einen nicht das was schon bekannt ist, sondern das was noch kommen wird. Und bisher sieht es so aus, als ob Intel da in einer eigenen Liga spielt. Ansonsten hätte Intel-Chef Brian Krzanich nicht Ende letzten Jahres einen Großteil seiner Aktien verkauft. Die wissen genau was noch kommt.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Und es fehlt wieder die hälfte der eigentlichen nachricht - weil neu ist das ganze nicht - das ist ein gut Dokumentiertes FEATURE.

Ja -dieses mal ist es wirklich kein Bug sondern ein Feature das bewusst genutzt werden muss:
Programme können - wenn sie es denn wollen - bei Taskwechsel einen lazy switch durchführen womit die Register nicht - wie üblich - vollständig geleert werden müssen.
Bei fast allen Betriebssystem wird dieses Feature schon generell nicht eingesetzt - bei Windows Server 2008 wird es noch intern im Kernel genutzt, nicht aber wenn in den UserMopde gewechselt wird.

Es ist also genauso eine "Sicherheitslücke" wie das Passwort in "password.txt" am Desktop zu speichern.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Ripcord schrieb:
Und vorher als noch keiner davon wusste?

Wie gesagt, sorgen sollte einen nicht das was schon bekannt ist, sondern das was noch kommen wird. Und bisher sieht es so aus, als ob Intel da in einer eigenen Liga spielt. Ansonsten hätte Intel-Chef Brian Krzanich nicht Ende letzten Jahres einen Großteil seiner Aktien verkauft. Die wissen genau was noch kommt.
Zum Vergrößern anklicken....

Daher haben die auch Jim Keller geholt, wenn die eigenen Ingenieure keine Ideen haben, wie es in den späteren CPU geregelt bekommen. Bin ja gespannt, was nach dem fünf Lücken, noch kommen wird. Daher kann man, sofern Sicherheit wichtig ist, möglicherweise gar kein INTEL mehr holen.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Casurin schrieb:
Und es fehlt wieder die hälfte der eigentlichen nachricht - weil neu ist das ganze nicht - das ist ein gut Dokumentiertes FEATURE.

Ja -dieses mal ist es wirklich kein Bug sondern ein Feature das bewusst genutzt werden muss:
Programme können - wenn sie es denn wollen - bei Taskwechsel einen lazy switch durchführen womit die Register nicht - wie üblich - vollständig geleert werden müssen.
Bei fast allen Betriebssystem wird dieses Feature schon generell nicht eingesetzt - bei Windows Server 2008 wird es noch intern im Kernel genutzt, nicht aber wenn in den UserMopde gewechselt wird.

Es ist also genauso eine "Sicherheitslücke" wie das Passwort in "password.txt" am Desktop zu speichern.
Zum Vergrößern anklicken....

So kann man auch die Gefahr, die im Moment von den INTEL CPUs bzw. Sicherheitslücken ausgeht relativieren. Wenn es so wäre. dann bräuchte man ja erst gar kein Betriebssystempatches dafür.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Zer011 schrieb:
Daher kann man, sofern Sicherheit wichtig ist, möglicherweise gar kein INTEL mehr holen.
Zum Vergrößern anklicken....

Und auch keinen AMD, sowie jede andere CPU, die Cache oder (wie in dem Fall) irgendwelche Sonderfunktionen hat. Mit anderen Worten: alle größeren CPUs der letzten 29 Jahre scheiden aus.

Viel Spaß mit dem 386er

(aber nur die von Intel, AMD hat Cache hinzugefügt)
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Zer011 schrieb:
So kann man auch die Gefahr, die im Moment von den INTEL CPUs bzw. Sicherheitslücken ausgeht relativieren. Wenn es so wäre. dann bräuchte man ja erst gar kein Betriebssystempatches dafür.
Zum Vergrößern anklicken....
Oder man kann so wie du immer den Teufel an die Wand malen ohne auch nur irgend etwas von den Materie zu verstehen.
Und betriebssystem-patch? ja - wenn ein betriebssystem so geschrieben wurde dann kann ein Patch notwendig sein - aber wie man da auch sieht - es ist eine bewusste entscheidung deises Feature zu nutzen. der letzte linux-kernel der das gemacht hat stammt von 2016. Begründung für die nicht-Nutzung war marginale Leistung und hoher Aufwand um das sicher zu gestallten.

Wenn du schon so groß daherredest kannst du uns ja sicher erklären was das Problem ist - na dann viel Spaß - wird lustig sein zu sehen was du als nächstes aus dem Aluhut zauberst.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Casurin schrieb:
Oder man kann so wie du immer den Teufel an die Wand malen ohne auch nur irgend etwas von den Materie zu verstehen.
Und betriebssystem-patch? ja - wenn ein betriebssystem so geschrieben wurde dann kann ein Patch notwendig sein - aber wie man da auch sieht - es ist eine bewusste entscheidung deises Feature zu nutzen. der letzte linux-kernel der das gemacht hat stammt von 2016. Begründung für die nicht-Nutzung war marginale Leistung und hoher Aufwand um das sicher zu gestallten.

Wenn du schon so groß daherredest kannst du uns ja sicher erklären was das Problem ist - na dann viel Spaß - wird lustig sein zu sehen was du als nächstes aus dem Aluhut zauberst.
Zum Vergrößern anklicken....


Brian Krzanich hat 80% seiner Aktien kurz vor der Veröffentlichung verkauft und nur so viel behalten wie er in seiner Position halten muss. Als User brauch ich da gar keinen Teufel mehr an die Wand malen oder etwas verteidigen. Das kleine 1×1 reicht dazu völlig aus.

Das hätte er bestimmt nicht wegen ein paar unbedeutenen Lecks getan die sich ratz fatz schließen lassen.
 
Zuletzt bearbeitet:
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Casurin schrieb:
Und es fehlt wieder die hälfte der eigentlichen nachricht - weil neu ist das ganze nicht - das ist ein gut Dokumentiertes FEATURE.

Ja -dieses mal ist es wirklich kein Bug sondern ein Feature das bewusst genutzt werden muss:
Programme können - wenn sie es denn wollen - bei Taskwechsel einen lazy switch durchführen womit die Register nicht - wie üblich - vollständig geleert werden müssen.
.
Zum Vergrößern anklicken....

Japp, bei den meisten ist das schon gepatcht. Lediglich OpenBSD bekam die Info später, weil sie früher oft zu früh Patches veröffentlicht haben und die Lücke so öffentlich wurde.

Hier allerdings ist das ein gewolltes Feature, welches dummerweise den Nebeneffekt der Sicherheitslücke hat.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Ripcord schrieb:
Wie gesagt, sorgen sollte einen nicht das was schon bekannt ist, sondern das was noch kommen wird.
Zum Vergrößern anklicken....
Auch da mache ich mir viel mehr Sorgen um Lücken in meinem Router, in meinem dauerhaft laufen NAS ohne gewollte Internetanbindung (auch bei Linux wird es unbekannte Lücken geben) und u.U. noch um Bugs im Browser. Aber nicht um Bugs in der CPU, die keine Datenfehler erzeugen (FDIV-Bug) sondern nur potentielle Sicherheitslücken der Güte von Spectre/Meltdown eröffnen. Wenn jemand auf meinem PC (geheime) Daten auslesen will, gibt es abermilionen bessere/effektivere/einfachere Möglichkeiten dazu.

Bei Betreibern von virtuellen Servern und Mulituser-Systemen sieht es natürlich anders aus, aber sowas betreibe weder ich noch meine gesamten Verwandtschaft/Bekanntschaft zu Hause.

Ripcord schrieb:
Brian Krzanich hat 80% seiner Aktien kurz vor der Veröffentlichung verkauft und nur so viel behalten wie er in seiner Position halten muss. Als User brauch ich da gar keinen Teufel mehr an die Wand malen oder etwas verteidigen. Das kleine 1×1 reicht dazu völlig aus.
Zum Vergrößern anklicken....
Die Reaktion der Presse und die von ihr angestachelten unbedarften User war doch vorher schon klar. Mit Argumenten braucht man denen nicht zu kommen, da zählen nur reisserische Artikel und die Panik, dass man mir mal wieder meine KK-Nummer oder meine Passwörter klauen könnte. Dass das Masterpasswort nicht nur bei Keypass offen im Ram steht und sich sowas mit einem lokalen Programmen viel einfacher und schneller auslesen lässt wie mit Spectre und co., ist vollkommen egal.

PCGH lockt niemanden auf ihre Seite wenn sie schon im Titel schreiben "mal wieder eine für den Heimuser nahezu irrelevante Lücke gefunden" und dann im Text einfach nur: haltet eure Systeme aktuell, schaltet asusnahmsweise mal euer Gehirn ein, bevor ihr auf jeden Link klickt und jedes fremde Programm startet und ihr habt weiterhin keine Sicherheitsprobleme.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Wieder ein Fehler der bei Behebung vielleicht Leistung kostet. Einzeln nicht von Belang, aber wenn dies weiter anwächst hat man irgendwann mal Leistung Minus 8% + 2% + 5% + 3% + 2% ... usw.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

fotoman schrieb:
Auch da mache ich mir viel mehr Sorgen um Lücken in meinem Router, in meinem dauerhaft laufen NAS ohne gewollte Internetanbindung (auch bei Linux wird es unbekannte Lücken geben) und u.U. noch um Bugs im Browser. Aber nicht um Bugs in der CPU, die keine Datenfehler erzeugen (FDIV-Bug) sondern nur potentielle Sicherheitslücken der Güte von Spectre/Meltdown eröffnen. Wenn jemand auf meinem PC (geheime) Daten auslesen will, gibt es abermilionen bessere/effektivere/einfachere Möglichkeiten dazu.

Bei Betreibern von virtuellen Servern und Mulituser-Systemen sieht es natürlich anders aus, aber sowas betreibe weder ich noch meine gesamten Verwandtschaft/Bekanntschaft zu Hause.

Die Reaktion der Presse und die von ihr angestachelten unbedarften User war doch vorher schon klar. Mit Argumenten braucht man denen nicht zu kommen, da zählen nur reisserische Artikel und die Panik, dass man mir mal wieder meine KK-Nummer oder meine Passwörter klauen könnte. Dass das Masterpasswort nicht nur bei Keypass offen im Ram steht und sich sowas mit einem lokalen Programmen viel einfacher und schneller auslesen lässt wie mit Spectre und co., ist vollkommen egal.

PCGH lockt niemanden auf ihre Seite wenn sie schon im Titel schreiben "mal wieder eine für den Heimuser nahezu irrelevante Lücke gefunden" und dann im Text einfach nur: haltet eure Systeme aktuell, schaltet asusnahmsweise mal euer Gehirn ein, bevor ihr auf jeden Link klickt und jedes fremde Programm startet und ihr habt weiterhin keine Sicherheitsprobleme.
Zum Vergrößern anklicken....

Von Panikmache kann keine Rede sein, Meltdown und Spectre sind im Moment die größten Sicherheitslücken der letzten Jahrzehnte, dies wird von allen anerkannten Experten bestätigt. Nicht ohne Grund hat Google und Co. mit der Offenlegung der Sicherheitslücken gewartet! Auch wir Privatanwender sind davon betroffen, nur wann die Sicherheitslücken ausgenutzt werden, dass werden und können wir nicht bemerken. Deswegen ist es ja so gefährlich. Diese Gefahr zu relativieren zeigt, wie fahrlässig, leichtsinnig oder sogar wie bösartig manche Menschen doch sind. Welche Gründe dieser Personenkreis hat, interessiert mich nicht, es ist auf jedenfall inakzeptabel! Ob aus Fanboy Gründen oder nicht.

AMD ist nicht so schlimm dran, wie INTEL. Das ist Fakt!!!

Da werden abenteuerliche Gründe gesucht, nur um die Gefahr von Meltdown und Spectre zu relativieren. Z.B. wird von der Lügenpresse gesprochen oder PCGH würde nur wegen der vielen möglichen Klicks die Nachricht bringen. Die Methoden sind immer die selben und ich scheine den Nerv bei einigen getroffen zu haben!!!
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Zer011 schrieb:
Von Panikmache kann keine Rede sein, Meltdown und Spectre sind im Moment die größten Sicherheitslücken der letzten Jahrzehnte, dies wird von allen anerkannten Experten bestätigt. Nicht ohne Grund hat Google und Co. mit der Offenlegung der Sicherheitslücken gewartet! Auch wir Privatanwender sind davon betroffen, nur wann die Sicherheitslücken ausgenutzt werden, dass werden und können wir nicht bemerken. Deswegen ist es ja so gefährlich. Diese Gefahr zu relativieren zeigt, wie fahrlässig, leichtsinnig oder sogar wie bösartig manche Menschen doch sind. Welche Gründe dieser Personenkreis hat, interessiert mich nicht, es ist auf jedenfall inakzeptabel! Ob aus Fanboy Gründen oder nicht.

AMD ist nicht so schlimm dran, wie INTEL. Das ist Fakt!!!

Da werden abenteuerliche Gründe gesucht, nur um die Gefahr von Meltdown und Spectre zu relativieren. Z.B. wird von der Lügenpresse gesprochen oder PCGH würde nur wegen der vielen möglichen Klicks die Nachricht bringen. Die Methoden sind immer die selben und ich scheine den Nerv bei einigen getroffen zu haben!!!
Zum Vergrößern anklicken....

Meltdown ist einfach zu beheben - wurde ja auch schon behoben. Und Spectre ist eine Nebenerscheinung der derzeitigen Cahce-Architekturen und betrifft AMD genauso.

Tut hier aber wenig zur Sache denn deine Aluhut-Theorien werden dadurch auch nicht besser.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Statt hier Halbwahrheiten zu verbreiten könnte man auch einfach die News lesen, denn dort steht
Betroffen sind ausschließlich Prozessoren von Intel mit Core-Mikroarchitektur laut Xen Security Advisory XSA-267.
Zum Vergrößern anklicken....
zur Spectre-NG 3 Lücke.
Es gibt eben nicht nur eine Spectre Lücke sondern mehrere verschiedene.
Da die Lücke bei aktuelleren Systeme aber sowieso schon etwas länger gefixt ist, ist es halb so wild.
 
Zuletzt bearbeitet:
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Ok gut, man kann ja immer was finden. Ich denke dann gibt es halt alle 10 Jahre nur noch neue Prozessoren wenn´s die Hersteller denn ordentlich machen sollen.
 
AW: Spectre Next Generation: Dritte Sicherheitslücke "Lazy FP State Restore" erlaubt das Auslesen von FPU-Registern

Eventuell sollte man dann noch sämtliche Chips sich vornehmen auf den Mainboards.. Soundchips bzw Karten ... Netzwerkcontroller... Da findet bestimmt jeder Hobbysicherheitsforscher was der ne Menge Zeit hat irgendwann was. Dann dauert es halt immer 4 mal so lang bis ein Nachfolger der genannten Geräte letzendlich auf den Markt kommt... Super. Läasst sich leider nicht ganz vermeiden manche Sicherheitslücken. Und die schönen Patches dazu sorgen eventuell vermeintlich für die bekannte Lücke an Sicherheit aber die Performance bzw Lauffähigkeit des Systems leider darunter schon deutlich. Eventuell sollte man nicht jede Sicherheitslücke öffentlich kommunizieren kann sein das sich der eine oder andere selbst ins eigene Fleisch mit schneidet wenn diese Lücke dann ausgenutzt wird und jemand in kurzer Zeit ein passendes Tool kreiert um nen Angriff zu starten. Eine Meldestelle sollte es geben die nach Gefahrenpotenzial dann ausgewertet wird direkt bei Betriebssystem Anbietern. Dazu müssten halt die schlauen findigen Füchse die Fresse halten. Und das ist halt nicht so möglich. Da mag sich der eine oder andere dann doch gerne profilieren.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

Painkiller
Spectre Reborn: Neue CPU-Sicherheitslücke "I see dead µOps" entdeckt
Antworten
9
Aufrufe
4K
Wumpi747
W
PCGH-Redaktion
Ryzen und Epyc: AMD-Prozessoren von Sicherheitslücke betroffen
2 3 4
Antworten
72
Aufrufe
7K
Khabarak
K
PCGH-Redaktion
Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein
2 3
Antworten
57
Aufrufe
5K
PCGH_Torsten
PCGH_Torsten
PCGH-Redaktion
Intel: Auch nächste CPU-Generation von Spectre betroffen?
2
Antworten
24
Aufrufe
3K
DKK007
DKK007
PCGH-Redaktion
Spectre Next Generation: Intel-Updates angeblich um zwei Wochen verschoben
Antworten
4
Aufrufe
637
fotoman
F
Oben Unten
Zurück