News Intel/ARM/AMD: Sicherheitslücken Meltdown & Spectre V1, V2 etc. (Links in Post 1)

Da fällt mir ein: Nachdem ich die Updates eingespielt hatte, hat Windows Update mir Jahre alte Updates für AMD SMBus Treiber, Realtek Netzwerk Treiber und das Monitor Profil meines Fujitsu neu angeboten, die ebenfalls schon lange eingespielt waren.
 
So halben Samstag mit patchen/updaten/überprüfen der Systeme verbracht. Und das ist vermutlich erst der Anfang.
wer nicht... *admin*
Hoffe das die Updates für Win7 am Dienstag gut verlaufen im Bekannten-/Verwandten-/Nachbarschafts- kreis sonst kotze ich nur noch. Interessanter Weise wenig telefonische Rückfragen, trotz des in den Medien breitgetretenen Themas.

Schön auch das Ubuntu für 14.04 das Patch liefert. Fast alle Boincsysteme laufen bei mir mit Kernel 3.13, auch wenn ich das Risiko da, als nicht besonders relevant einstufe.

Auch interessant, das die großen Serveranbieter von nur geringen Performance Einbußen reden und dann tauchen solche Grafiken auf:
, ob da eine gewisse blaue Marketingabteilung Überstunden gemacht hat. *aluhutsmiley*
 
Zuletzt bearbeitet:
Bei mir waren auch ein paar Systeme dabei die länger unbenutzt in der Ecke standen und nur zu Gelegenheit an sind (crunchen, HTPC im Schalfzimmer....) - da standen noch recht viel Updates an. Zu dem habe ich bei alle es mit der Powershell überprüft und die Gelegenheit genutzt auch Treiber und Tools auf den aktuellen Stand zu bringen. Da shat sich dann gezogen.

Überprüfungen bei den Herstellern hat ergeben das für keinen Rechner ein UEFI/BIOS Update dafür bereit steht, die sind entweder zu alt oder nicht betroffen (Ryzen). Mal gucken was da im Endeffekt kommt.

AMD Did NOT Disable Branch Prediction With A Zen Microcode Update (phoronix)

Kein Windows 7 Rechner hatte dabei ein Problem.

--- Update ---

Weißes Haus: NSA wusste nichts von Computerchip-Schwachstelle (heise)

"Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten"

sicher sicher - muhaha

--- Update ---

Windows 7 Rechner haben alle heute nochmal ein Update bekommen:



--- Update ---

Prozessorlücke: Auch Qualcomm-CPUs sind anfällig (heise)
 
Windows 7 Rechner haben alle heute nochmal ein Update bekommen:

Das dürfte das erste Mal sein, dass ein Security-Only-Paket via Windows Update kommt, denn KB4056897 ist genau ein solches während KB4056894 das Monthly Rollup ist. Damit sieht es irgendwie so aus, als hätte MS den Patchday vorgezogen. Kann das sein? Gibt's Offizielles dazu? Im Security Guidance Summary finden sich zwar schon die Updates, allerdings sehr aussagekräftig benannt ...


Grüße
Dalai
 
Die sind beide vorgezogen geplant war ab 9.1 nächste Woche. Stand auch in einigen News dazu. Das hat ja dann einige Hersteller von Anti Viren Tools "überrumpelt". Das KB4056897 hat schon das Update gegen Meltdown & Spectre V2 (gegen V1 waren Updates für den IE und Edge beinhaltet) gebracht. V2 braucht aber noch ein Update der Firmware.

KB4056894
Security updates to Windows SMB Server, Windows Kernel, Microsoft Graphics Component, Internet Explorer, and Windows Graphics.

Deskmodder dazu:

Microsoft hat nun auch das monatliche Rollup Update mit der KB4056894 hinterher geschoben. Hier sind aber keine anderen Probleme oder Verbesserungen aufgezählt, ausser eben dem CPU-Patch in der KB4056897.
 
Zuletzt bearbeitet:
noch zwei Server nach dem Patch gefunden bei Fefe
DSxqp9yWAAE_H5q.jpg
DS0h-eHVoAAMfjh.jpg

sind ja nur ~10%...
 
noch zwei Server nach dem Patch gefunden bei Fefe
sind ja nur ~10%...

... daraus:
Es tauchen noch mehr Grafiken auf. Hier ist Elasticache, und hier ist Apache Kafka. Wenn man bedenkt, dass Intel am oberen Rand für 10% Performance gerne mal 50% Aufpreis verlangt, ist das schon eine echte Farce, dass Intel ihre Kunden jetzt mit "gehen Sie weiter, hier gibt es nichts zu sehen" abzuspeisen versucht.

... und noch was aus einem weiterführenden Link:
Slide from a talk I gave at Intel (and many other places) 6 years back. The talk was on design time tools and techniques to detect and mitigate microarchitectural side channels (Side Channel Vulnerability Factor measurement and method, and the TimeWarp mitigation from ISCA12).

DSzNatBWAAEaPP7.jpg


Ach Herrjeh.
Da hat aber jemand (Intel) wirklich fest geschlafen (bzw. bewusst ignoriert).
Klar das man da die Firmenaktien raushaut ...
 
Docker Performance With KPTI Page Table Isolation Patches (phoronix)

--- Update ---

Meltdown und Spectre: NSA will nichts von Prozessor-Schwachstelle gewusst haben (golem)

--- Update ---

Meltdown and Spectre patch Mitigations (MSI Forum)

The company is well aware of the issue, and where possible, will be releasing a fix for motherboards as soon as possible.
Older chipsets may need more time to wait, as it's up to Intel to release required resources.
No ETA given.

Bei AsRock, Gigabyte und Biostar habe ich noch keine Infos gefunden.

--- Update ---

Asus AI Suite 3: Beta des Mainboard-Tools läuft auch mit Meltdown-Patch (Computerbase)

--- Update ---

Meltdown und Spectre: Erste Klagen gegen Intel, Performanceprobleme kochen hoch (heise)
 
Zuletzt bearbeitet:
Ich habe eine Frage zum Microsoft KB4056894 und AMD CPUs/APUs:
Wie ich das verstanden habe, sind AMD CPUs von Meltdown nicht betroffen. Ein Meltdown-Fix beeinflusst die Geschwindigkeit negativ.
Wenn man das Microsoft KB4056894-Update auf einem System mit AMD-CPU installiert, ist dann der Meltdown-Fix aktiv, obwohl er auf einem System mit AMD-CPU unnötig ist?
In Linux sind AMD CPUs ja ausgenommen.
 
Meltdown/Spectre: Fragen zum Aktienverkauf und eine neue Security-Group (Computerbase)

--- Update ---

Da ist heise etwas spät dran mit:

Meltdown und Spectre: Microsoft veröffentlicht Prüfwerkzeug für Prozessor-Sicherheitslücken (heise)

--- Update ---

Bulletin: (Revision) HPE ProLiant, Moonshot and Synergy Servers - Side Channel Analysis Method Allows Improper Information Disclosure in Microprocessors (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) (HPE Support)

--- Update ---

HPSBHF03573 rev. 2 - Side-Channel Analysis Method (BIOS Updates für WS, PC, Notebooks...) (HP Support)

--- Update ---

CPU-Sicherheitslücken: Meltdown-Updates von Intel kommen "innerhalb einer Woche" (golem)

--- Update ---

Microsoft zieht Meltdown-Patch für AMD-Systeme zurück (Planet 3D Now)

--- Update ---

Windows operating system security update block for some AMD based devices (Microsoft)

--- Update ---

Meltdown und Spectre: Intel patcht ab 2013 produzierte Prozessoren, bestätigt Performance-Auswirkung (heise)

--- Update ---

Security Vulnerabilities Regarding Side Channel Speculative Execution and Indirect Branch Prediction Information Disclosure (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) (Supermicro Support)

--- Update ---

Weiterhin vermisse ich Aussagen und Listen der verschiedenen Mainboardhersteller, einzig ASUS hat eine veröffentlicht die denke ich aber noch nicht vollständig ist. Z.B. nur 2 X99 Boards da werden noch welche folgen. Die von HP ist sehr umfangreich.

--- Update ---

Linux* Processor Microcode Data File (Intel Downloadcenter)

This microcode data file contains the latest microcode definitions for all Intel processors. Intel releases these updates periodically. These microcode data files correct processor behavior as documented in the respective processor specification guidelines.
 
Hi eratte - ich habs im anderen Newspost schon geschrieben aber vielleicht hier auch nochmal:

Die TU Graz hat mittlerweile eine sehr hilfreiche Infoseite eingerichtet - auch mit netten Demonstrationsvideos wie so eine Meltdown Attacke in der Realität ablaufen kann:

https://meltdownattack.com/

Haha: ich war 1 minute schneller :)
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Besser hierher zu linken: https://blog.linuxmint.com/?p=3496

Der direkte linuxmint.com blog wird sich sicherlich verschieben mit der Zeit da er ja nur die aktuellsten infos anzeigt.

--- Update ---

Das Interview mit Paul Kocher bei Scientific American ist auch sehr interessant - wenn auch nicht von der technischen Seite.
https://www.scientificamerican.com/...-expose-the-dark-side-of-superfast-computers/

Er beschreibt darin auch wie es nach und nach zur Entdeckung des Problems eben kam.
The fact that Meltdown was discovered by several groups of researchers working independently makes more sense—partly because there was a post online by [security researcher] Anders Fogh, in which he had investigated the issue but did not find the problem. He then published a description of his work, which got other people thinking about the problem. There was also work on a patch set named KAISER (short for Kernel Address Isolation to have Side-channels Efficiently Removed) to address attacks against KASLR (kernel address space layout randomization—a security technique to make exploits harder by placing various objects at random, rather than fixed, addresses). That turns out to the fix for Meltdown, so it also drew attention to the issue.

Auch interessant über Spectre
Why didn’t Intel or the other chipmakers discover the problem first?
That’s a fair question. The mess they’re dealing with right now is vastly more painful than what they would have gone through if they had found and fixed the problem immediately. They would have been in a much better position than external researchers to find these vulnerabilities, since they know in intimate detail how all of the technology works—whereas I was poking around without any inside knowledge. For Spectre in particular, it’s also worth asking why it wasn’t found by Arm or more generally computer scientists who were teaching speculative execution in microprocessor academic courses. One answer might be that people tend to look at the things they know to look at, and Spectre involves a problem that cuts across different disciplines, where people working on one aspect of a technology don’t know as much about other aspects.

Zum Performance impact sagt er vereinfachend. Je mehr I/O operationen (diese gehen quasi immer über den Kernel) desto größer wird der Performance Drop:
How do the patches for these vulnerabilities slow a processor’s performance?
The fix for Meltdown changes the way kernel memory is mapped. The way things worked before, the switch between normal user code and the kernel was a very lightweight transition. With the patches, more work has to be done on these transitions. The impact on performance will depend on the type of workload. If almost all of a program’s [number crunching] is done in user mode, with very few switches to kernel mode, you won’t see any significant impact. In contrast, if you have a piece of code that spends a lot of its time quickly switching back and forth between user and kernel modes—such as reading very small bits of information from files stored on a very fast disk—there ends up adding a lot of overhead.

Zu Patching von Spectre - das ist eher ein Software-Problem denn ein Austausch/Wechsel der Hardware für Spectre ist quasi unmöglich. Weswegen der "Bug" uns noch mindestens ein paar Jährchen verfolgen wird.
How does the Spectre fix work?
Spectre can only be mitigated—not fixed—at this time, because the flaw impacts a lot of different software including operating systems, drivers, web servers and databases....
----------------------
With Spectre, on the other hand, there are partial mitigations. Some chips can’t be updated, others could be updated but the company that made the product with the chip won’t bother to pass the updates along. Often the updates won’t address all of the problems. Still, it’s important to keep the risk in perspective.....
-----------------
With Spectre you’re tricking the processor into making wrong predictions at a particular spot in the software running on the victim’s computer. The attackers need to have awareness of the software code that the victim is using, and set up the right conditions for the attack to work. As a result, there isn’t a single attack program that will work across many computers.

Spectre zu nutzen als Exploit trotz ungepatchter Hardware ist also alles andere als Trivial und erfordert Soft- UND Hardware-maßgeschneiderte Exploits.

Die schwererwiegende Meltdown-Lücke läßt sich zumindest theoretisch sehr zentral via Microcode fixen und in zukünftigen Hardware-Architekturen schliessen.
 
Zuletzt bearbeitet:
Danke, ist angepasst / hinzugefügt.
 
Zuletzt bearbeitet:
Sorry für die vielen Edits....war selbst noch am lesen während ich das schon hier schrieb :-).
 
Zurück
Oben Unten