Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

[wurstkuchen]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Ich glaube nicht das es Sicherheitslücken sind.
Das war eher ein Feature für die NSA und Konsorten. Microsoft oder Intel hätten das nie rausgefunden, warum auch

Was heißt hier herausgefunden. Es wurde vermutlich so durch die NSA dort eingeplant und Intel wusste das auch. Gab es nicht mal im Snowen-Papier irgend ne Erwähnung oder Hinweis, die NSA hätte eine Backdoor die quasi alle Geräte weltweit betrifft, man wisse nur nicht, was damit gemeint ist? Das sieht doch sehr nach sowas aus.

 

[kilo1128]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

@wurstkuchen: Das mit MS und Intel war ironisch gemeint.

 

[PCGH_Torsten]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Der Itanium hatte noch ganz andere Probleme als AMD64. Namentlich vernünftige Compiler und katastrophale Kompatibilität zu x86. Während letzteres heute keine größere Rolle mehr spielen dürfte, bleibt die schwierige Aufgabe des Compilers bestehen.

Wenn schon AMD64 den Bach runtergeht, dann hoffentlich zugunsten einer wirklich vernünftigen Architektur wie Power, ARM oder MIPS.

Power, ARM und MIPS haben genau das gleiche prinzipielle Problem. Gerade der Transfer von CPU-Aufgaben an den Compiler ist es, was Itanium immun gegen Spectre und Meltdown macht – es gibt keine Spekulativen Berechnungen, die man missbrauchen könnte, sondern bereits bei der Programmcompilierung müssen alle Möglichkeiten berücksichtigt werden.

Mir ist insgesamt immer noch nicht klar, warum diese Sicherheitslücke so groß aufgebauscht wurde und andere unter den Teppich gekehrt werden, aber es ist wohl jetzt eine sehr willkomene Bühne für Intel-Hater. Ob Fanboy oder nicht, jetzt kann man (zu Recht) Intel wegen ihres aggressiven Cachings verurteilen... aber nicht unbedingt, wie viele das hier machen ansprucken.

Tritt das Problem eigentlich auch auf, wenn ich nicht gerade mit Virtualisierungstechnologie oder Virtuellen Maschinen arbeite? Habe ich bislang noch nicht genau nachgelesen

Das Prinzip ist komplett unabhängig von der laufenden Software. Virtualisierte Umgebungen finden deswegen viel Beachtung, weil sie gegen sehr viele andere Sicherheitslücken immun sind – aber nicht gegen Spectre und Meltdown. Das Funktionsprinzip umgeht alle etablierten Software-Isolierungsmaßnahmen wie Virtualisierung und Sandboxes und insbesondere Meltdown darüber hinaus sogar Hardware-Mechanismen. Genau deswegen finden diese Sicherheitslücken so große Aufmerksamkeit – quasi nichts ist mehr sicher. Und ich wiederhole noch einmal:
Es ist keine Sicherheitslücke. Es ist ein konzeptioneller Fehler. Und deswegen so brisant, denn man kann den eigentlichen Mechanismus vermutlich nicht abschalten – nur versuchen, alle wichtigen Informationen außer Reichweite zu bringen.

Es kann bei VMs zu Ausbruch verwendet werden. Bei normaler Software sind die üblichen Attacken zum Erlangen von Root-Rechten möglich.

Weder Spectre noch Meltdown erlauben Schreibzugriffe. Man könnte zwar Passwörter für einen Root-Zugang ausspähen, aber wenn die VM keine passende Schnittstelle dafür hat, ist ein Ausbruch auf den Host nicht möglich. Allerdings ist die volle Kontrolle über den Host wohl nur ein kleines Trostpflaster, wenn der Angreifer die Zugangsdaten zu allen VMs abgehört hat.

bevor hier wieder ein shitstorm losgeht gegen Intel, sollte vielleicht auch mal (wie bei AMD normalerweise immer) erwähnt werden das der Fehler kein Intel Problem war / ist sondern ein OS Problem!

Die Umgehungsmaßnahmen erfolgen zwar auf OS-Ebene, der Fehler liegt aber beim Prozessor. Software orientiert sich immer nur an dem, was Hardware machen soll – in diesem Fall verhält sich die Hardware aber auf undokumentierte Weise. Man kann sich aber in der Tat fragen, warum Betriebssysteme so viel Risiko eingehen und Zugriffe auf den gesamten Kernel und gesamten physischen Adressraum nur durch eine einzige Sicherheitsmaßnahme verhindern.

Da bist du dir sicher das alleine ne Website ausreicht ?

Ja. Das Problem betrifft alle Rechner, auf denen unbekannter Fremdcode ausgeführt wird. Ganze virtuelle Maschinen in der Cloud sind nur ein Extrembeispiel, es recht beispielsweise einfaches Javascript – von komplexeren Elementen wie beispielsweise Spiele-Mods ganz zu schweigen. Um ein paar beliebte Buzzwords zu kombinieren:

"Spectre-Angriff auf Wallet-Passwörter aus Ethereum Smart-Contract heraus"

Das verstehe ich jetzt irgendwie auch nicht, wenn sie das seit Juni wußten, hätten sie das doch fertig haben können, zumal man das nicht ewig unter der Decke halten kann und das Ausrollen der Sicherheitspatches für Januar dürfte Intel doch bekannt gewesen sein.

Im Moment überschlagen sich die Informationen, aber soweit ich schlussfolgern kann, arbeiten sie seit Juni an dem Problem. Und eigentlich wollten sie nächste Woche erst die Updates in Umlauf bringen und dann alles erklären. Aber da vor allem gegen Spectre eben auch Patches auf Anwendungsebene nötig sind, wurde der Kreis der Wissenden zwischenzeitlich über die Hardware-Hersteller hinaus erweitert und irgendwer hat angefangen zu reden.

 

[DaHell63]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

@PCGH_Torsten
Wenn keine Schreibzugriffe möglich sind, was hat das dann für einen Privatanwender der weder online Banking betreibt noch irgendwelche andere sensiblen Daten auf seinem PC hat denn für große Gefahren?

Die Sache ansich sollte man nicht kleinreden, aber eine derartige Hexenjagd was hier betrieben wird ist übertrieben. Zumindest wenn es um private Anwender geht.
Was wollen die denn von mir erfahren was WIN10 o. Google nicht eh schon wissen.

 

[Tekkla]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

@PCGH_Torsten Gute Zusammenfassung

Wenn keine Schreibzugriffe möglich sind, was hat das dann für einen Privatanwender der weder online Banking betreibt noch irgendwelche andere sensible Daten auf seinem PC hat denn für große Gefahren?

Bei mir ist es z.B. schon sensibel, wenn wer mein Paypal Passwort kennt. Oder die Passwörter von Servern, auf denen ich mich nicht mit einem Schlüssel anmelden kann. Passwörter und Zugangsdaten von meinen Teamviever-Partnern sind bestimmt auch nett. Was sind bei dir sensible Daten?

 

[shadie]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

@PCGH_Torsten
Wenn keine Schreibzugriffe möglich sind, was hat das dann für einen Privatanwender der weder online Banking betreibt noch irgendwelche andere sensiblen Daten auf seinem PC hat denn für große Gefahren?

Die Sache ansich sollte man nicht kleinreden, aber eine derartige Hexenjagd was hier betrieben wird ist übertrieben. Zumindest wenn es um private Anwender geht.
Was wollen die denn von mir erfahren was WIN10 o. Google nicht eh schon wissen.

Du bestellst nie aus dem Internet?
Du hast weder Steam noch Origin etc. was man dir klauen könnte?

Also mir könnte wenn jemande wollte mit diesem technischen Fehler recht viel weg nehmen.

Und selbst onlinebanking auf einer VM mit Linux bringt ja rein gar nix.
Es ist ja alles angreifbar.


Also PC doch vom Internet trennen ?

 

[Grestorn]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Wer über 12 hat denn absolut GAR keine sensiblen Daten auf seinem PC oder Handy?

 

[9Strike]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Mein Eindruck: Das ist dem Autor völlig egal oder er hat genau das bezweckt. Noch mehr Gemixe zu einem undefinierbaren Brei findest du übrigens in diesem tatsächlich sehr bescheidenen Kommentar (IMHO-Artikel): Spectre und Meltdown: All unsere moderne Technik ist kaputt - Golem.de
Wenn Intel in unruhiges Fahrwasser gerät und die Souveränität etwas zu bröckeln droht (zuletzt beim Skylake-X Launch) kann man auf Fremdschämaktionen bei der Computec Media Group zählen.

Hab den Kommentar schon gelesen gehabt, fand ihn auch nicht besonders gut. Vllt ist AMD nicht 100% sicher, aber das meiste adressiert nur Intel.
Der CB Artikel ist ziemlich gut: Meltdown & Spectre: Details und Bench-marks zu den Sicherheits-lucken in CPUs - ComputerBase

@PCGH bitte Artikel überarbeiten:
Spectre CVE-2017-5753 funktioniert bei AMD nur mit aktivierten eBPF JIT, was standardmäßig nicht der Fall nicht.
Spectre CVE-2017-5715 funktioniert auf AMD wahrscheinlich nicht (wurde bis jetzt noch nicht gezeigt).
Meltdown CVE-2017-5754 funktioniert nur bei Intel.


Die Intel Liste ist einfach Hammer

Spoiler

Intel® Core™ i3 processor (45nm and 32nm)
Intel® Core™ i5 processor (45nm and 32nm)
Intel® Core™ i7 processor (45nm and 32nm)
Intel® Core™ M processor family (45nm and 32nm)
2nd generation Intel® Core™ processors
3rd generation Intel® Core™ processors
4th generation Intel® Core™ processors
5th generation Intel® Core™ processors
6th generation Intel® Core™ processors
7th generation Intel® Core™ processors
8th generation Intel® Core™ processors
Intel® Core™ X-series Processor Family for Intel® X99 platforms
Intel® Core™ X-series Processor Family for Intel® X299 platforms
Intel® Xeon® processor 3400 series
Intel® Xeon® processor 3600 series
Intel® Xeon® processor 5500 series
Intel® Xeon® processor 5600 series
Intel® Xeon® processor 6500 series
Intel® Xeon® processor 7500 series
Intel® Xeon® Processor E3 Family
Intel® Xeon® Processor E3 v2 Family
Intel® Xeon® Processor E3 v3 Family
Intel® Xeon® Processor E3 v4 Family
Intel® Xeon® Processor E3 v5 Family
Intel® Xeon® Processor E3 v6 Family
Intel® Xeon® Processor E5 Family
Intel® Xeon® Processor E5 v2 Family
Intel® Xeon® Processor E5 v3 Family
Intel® Xeon® Processor E5 v4 Family
Intel® Xeon® Processor E7 Family
Intel® Xeon® Processor E7 v2 Family
Intel® Xeon® Processor E7 v3 Family
Intel® Xeon® Processor E7 v4 Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon Phi™ Processor 3200, 5200, 7200 Series
Intel® Atom™ Processor C Series
Intel® Atom™ Processor E Series
Intel® Atom™ Processor A Series
Intel® Atom™ Processor x3 Series
Intel® Atom™ Processor Z Series
Intel® Celeron® Processor J Series
Intel® Celeron® Processor N Series
Intel® Pentium® Processor J Series
Intel® Pentium® Processor N Series

 

[Atent123]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Ich glaube Google patcht gerade einige der YouTube Server (die Performance ist im Keller).

@9Strike

Anders rum dürfte die Liste kürzer sein.

 

[9Strike]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

IAnders rum dürfte die Liste kürzer sein.

Das ist was dran

Wenn schon AMD64 den Bach runtergeht, dann hoffentlich zugunsten einer wirklich vernünftigen Architektur wie Power, ARM oder MIPS.

Wenn das wohl eher RISC-V. Keine Lizenzkosten oder unbekannte Hardware, bei der es 20 Jahre dauert bis jemand die Sicherheitslücke findet

 

[Tekkla]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Was man aber festhalten sollte: DAS IST EINE RIESEN KAKOPHONIE!

Von vielen verschiedenen Seiten kommen teils wiedersprüchliche Aussagen. Trotz 8 Monaten Vorlaufzeit wissen wir allesamt nur, dass es ein krass krankes Problem ist. Mittendrin Intel, die mit allerlei Nebelkerzen versuchen das Problem klein zu reden, während in den Nachrichten kommt, dass der Intel CEO im Herbst 2017 80% seiner Firmenanteile verkauft hat.

Just habe ich Radio in einem Satz gehört, dass ab morgen die Welt wieder heile sei, weil es Update für die Prozessoren gäbe. Dass man diese nur für die CPUs der letzten Jahre und dann auch nur per BIOS Update bekommt, von denen vermutlich nur die wenigsten Boards eines verpasst bekommen, wird gar nicht erwähnt. Selbst MS schreibt, dass deren Notfallpatch ohne Microcodeupdate nicht schützt. Was läuft hier gerade ab? Wir haben hier vermutlich das krasseste, globale IT Security-Desaster am Laufen!

Und dann lese ich mich hier durch andere Threads, wo munter weiter beraten wird sich zum Zocken eine Intel CPU zu kaufen... WTF!

 

[pilzsammler2002]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Klar warum nicht. Die Performance in den Test war doch Mega!!!11

/s

 

[Renax]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Ich empfehle hier mal (ohne Werbung machen zu wollen, der Information wegen) das Video von m4xFPS zu Meltdown, m.M. nach sehr gut zusammengefasst, worin die Gefahr besteht und wie das ganze abläuft:
YouTube

 

[wurstkuchen]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Was man aber festhalten sollte: DAS IST EINE RIESEN KAKOPHONIE!

Von vielen verschiedenen Seiten kommen teils wiedersprüchliche Aussagen. Trotz 8 Monaten Vorlaufzeit wissen wir allesamt nur, dass es ein krass krankes Problem ist. Mittendrin Intel, die mit allerlei Nebelkerzen versuchen das Problem klein zu reden, während in den Nachrichten kommt, dass der Intel CEO im Herbst 2017 80% seiner Firmenanteile verkauft hat.

Und dann lese ich mich hier durch andere Threads, wo munter weiter beraten wird sich zum Zocken eine Intel CPU zu kaufen... WTF!

Aktionäre mögen Nebelkerzen.

 

[DKK007]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Anders rum dürfte die Liste kürzer sein.

Vor allem weil die Liste unvollständig ist. Die C2D und C2Q sind sicher auch betroffen.

 

[Tharganoth]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Die Liste betrifft alle Intel CPU der letzten 20 Jahre, aber nur ab 4xxx wird gepatcht.

Und was macht der Rest?

 

[JanJake]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Für mich stellt sich gerade die Frage, seid wann gibt es das Problem? Und vor allem, warum ist es vorher nicht aufgefallen und wieso wird es von Intel und den anderen mehr oder weniger Tot geschwiegen bzw abgetan als wäre nichts?

Ich glaube kaum das für jede CPU ein Update kommen wird, schade eigentlich, normal müsste man die ganzen Hersteller auf den Kaufpreis jeder CPU verklagen die man gekauft hat wo das Problem bestand! Egal wie alt und wie lange es her ist!

Kann mir auch gut vorstellen das es sogar Vorsatz war nach dem Motto "Wird schon keiner merken", wie es bei NV der Fall war "Its not a Bug, its a Feature!"

 

[9Strike]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Für mich stellt sich gerade die Frage, seit wann gibt es das Problem? Und vor allem, warum ist es vorher nicht aufgefallen und wieso wird es von Intel und den anderen mehr oder weniger Tot geschwiegen bzw abgetan als wäre nichts?

Seit 20 Jahren. Ich glaube nicht, dass sie davon wussten. Ist eine komplizierte Angelegenheit, und da nicht so viele Leute in die Hardware schauen dürfen, kann das schon gut sein, dass darüber nie jemand nachgedacht hat.

Ich glaube kaum das für jede CPU ein Update kommen wird, schade eigentlich, normal müsste man die ganzen Hersteller auf den Kaufpreis jeder CPU verklagen die man gekauft hat wo das Problem bestand! Egal wie alt und wie lange es her ist!

Darüber kann man sich streiten. Ein Pentium 3 braucht mMn kein Update mehr. Aber zmdst ab der Core 2xxx Reihe, seit der hat sich eh nicht soo viel getan (Coffe Lake und Ryzen jetzt mal außen vor).
Irgendwo finde ich dieses alle Leute anklagen auch dämlich, aus Fehlern anderer einfach nur Geld zu ziehen nervt mich ziemlich. Es war ja nicht mit Absicht wie bei VW. Die Aktienverkäufe find ich dagegen ziemlich krass, das ist nicht in Ordnung.

 

[DARPA]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Kann mal jemand nem Laien einfach erklären, was die Patches (OS, Browser) jetzt an der Sprungvorhersage geändert haben.

Wenn ich mich recht erinner, war eine wesentliche Änderung von Haswell auf Skylake die Verbesserung (im Sinne von Performance ^^) eben dieser. Könnten daher die 6/7/8 Gen SKUs "anfälliger" sein?

 

[DKK007]

AW: Meltdown und Spectre: Intels Sicherheitslücke weitet sich branchenweit aus

Auf einem P3 läuft wohl eh nur ein XP, was keine Updates mehr bekommt.