Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Moderator: Moderatoren Forum 4

Benutzeravatar
Tom Bombadil
Moderator
Beiträge: 32996
Registriert: Sa 31. Mai 2008, 15:27
Benutzertitel: Non Soli Cedit

Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Tom Bombadil » Do 4. Jan 2018, 17:11

Wen es interessiert:
https://www.computerbase.de/2018-01/int ... itsluecke/
https://www.heise.de/security/meldung/M ... 31562.html
https://www.heise.de/security/meldung/G ... 32573.html

Besonders betroffen von Meltdown sind Anwendungen, die auf Virtualisierung setzen, grob gesagt können fremde Prozesse durch den Hardwarebug auch auf Speicherbereiche in den VM zugreifen. Dieses Hardwareproblem, dass vor allen Dingen Intel CPUs betrifft, scheint sich aber über Software ganz gut patchen zu lassen. Es gibt ein proof of concept, mit dem Passwörter abgegriffen werden können.

Spectre betrifft alle aktuellen CPUs, auch die von AMD und ARM (hallo, Smartphone!), hierbei handelt es sich um das Ausnutzen von "speculative execution" (CPUs "spekulieren" auf kommenden Befehle und halten die Ergebnisse schonmal im Cache vor), werden doch andere Instruktionen aufgerufen, müssen die Ergebnisse gelöscht werden, dabei bleiben aber Überreste vorhanden, die mittels "side channel attack" abgegriffen werden können. Hier soll es deutlich schwieriger sein, das Problem mittels Software zu lösen, allerdings ist die Gefahr auch deutlich geringer.

Man sollte auf jeden Fall darauf achten, immer neueste Softwareversionen zu benutzen, der Linux Kernel wurde für Meltdown schon gepatcht, für Win 10 gibt es auch schon einen Patch.

Pikantes Detail am Rande:
Kurz vor Bekanntwerden der Probleme hat Intels CEO noch schnell ein paar hunderttausend Aktien versilbert: https://www.heise.de/newsticker/meldung ... 32649.html Hier dürfte es sich wohl um einen klassischen Fall von Insiderhandel handeln.
Zuletzt geändert von Tom Bombadil am Do 4. Jan 2018, 19:10, insgesamt 2-mal geändert.
Grund: Ergänzung und Korrektur
The tree of liberty must be refreshed from time to time with the blood of patriots and tyrants. It is its natural manure.
Thomas Jefferson
Benutzeravatar
Provokateur
Moderator
Beiträge: 12531
Registriert: Sa 3. Jan 2015, 16:44
Benutzertitel: Alpha by choice&Liberalpatriot
Wohnort: जर्मनी

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Provokateur » Do 4. Jan 2018, 17:38

Tom Bombadil hat geschrieben:(04 Jan 2018, 17:11)
Pikantes Detail am Rande:
Kurz vor Bekanntwerden der Probleme hat Intels CEO noch schnell ein paar hunderttausend Aktien versilbert: https://www.heise.de/newsticker/meldung ... 32649.html Hier dürfte es sich wohl um einen klassischen Fall von Insiderhandel handeln.


Das halte ich für den eigentlichen Skandal. Fehleranfällig ist jedes System, das geht schon los, wenn man zwei Steine aneinanderhauen will und sich dabei auf die Finger klopft. Aber bei so einem systemimmanenten Fehler schnell seine Pfründe zu versilbern - in der Angst, dass die ganze Chose den Bach runtergeht - das ist dann schon eine ziemliche Frechheit.
Harry riss sich die Augen aus dem Kopf und warf sie tief in den Wald. Voldemort schaute überrascht zu Harry, der nun nichts mehr sehen konnte.
twitter.com/Provokateur_Tom
Benutzeravatar
MoOderSo
Beiträge: 7454
Registriert: Mo 2. Jun 2008, 22:54
Benutzertitel: (•̀ᴗ•́)و

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon MoOderSo » Do 4. Jan 2018, 18:05

Zumindest stehen im turbokapitalistischen Amerika die Chancen, dass er dafür hinter Gitter wandert höher als bei uns.
Der Anarchist ist kein Feind der Ordnung. Er liebt die Ordnung so sehr, daß er ihre Karikatur nicht erträgt.
Benutzeravatar
Tom Bombadil
Moderator
Beiträge: 32996
Registriert: Sa 31. Mai 2008, 15:27
Benutzertitel: Non Soli Cedit

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Tom Bombadil » Do 4. Jan 2018, 18:16

Hier eine Anleitung, wie man bei Win10 testen kann, ob der Patch schon installiert und aktiv ist: https://www.deskmodder.de/blog/2018/01/ ... viert-ist/
The tree of liberty must be refreshed from time to time with the blood of patriots and tyrants. It is its natural manure.
Thomas Jefferson
Benutzeravatar
Alter Stubentiger
Beiträge: 3265
Registriert: Fr 6. Jan 2012, 08:20
Benutzertitel: Sozialdemokrat

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Alter Stubentiger » Do 4. Jan 2018, 18:30

Tom Bombadil hat geschrieben:(04 Jan 2018, 17:11)

Wen es interessiert:
https://www.computerbase.de/2018-01/int ... itsluecke/
https://www.heise.de/security/meldung/M ... 31562.html
https://www.heise.de/security/meldung/G ... 32573.html

Besonders betroffen von Meltdown sind Anwendungen, die auf Virtualisierung setzen, grob gesagt können fremde Prozesse durch den Hardwarebug auch auf Speicherbereiche in den VM zugreifen. Dieses Hardwareproblem, dass vor allen Dingen Intel CPUs betrifft, scheint sich aber über Software ganz gut patchen zu lassen.

Spectre betrifft alle aktuellen CPUs, auch die von AMD und ARM (hallo, Smartphone!), hierbei handelt es sich um das Ausnutzen von "speculative execution" (CPUs "spekulieren" auf kommenden Befehle und halten die Ergebnisse schonmal im Cache vor), werden doch andere Instruktionen aufgerufen, müssen die Ergebnisse gelöscht werden, dabei bleiben aber Überreste vorhanden, die mittels "side channel attack" abgegriffen werden können. Es gibt wohl schon websites mit Malware, die Passwörter, die im Browser gespeichert werden, abgreifen können. Hier soll es deutlich schwieriger sein, das Problem mittels Software zu lösen.

Man sollte auf jeden Fall darauf achten, immer neueste Softwareversionen zu benutzen, der Linux Kernel wurde für Meltdown schon gepatcht, für Win 10 gibt es auch schon einen Patch.

Pikantes Detail am Rande:
Kurz vor Bekanntwerden der Probleme hat Intels CEO noch schnell ein paar hunderttausend Aktien versilbert: https://www.heise.de/newsticker/meldung ... 32649.html Hier dürfte es sich wohl um einen klassischen Fall von Insiderhandel handeln.


Auweia. Dieses spekulative Laden von Daten wird in Hardware gemacht und macht die CPU drastisch schneller. Intel und Motorola waren schon vor Jahren chancenlos mit ihrem Ansatz der "in order execution".
Es steht zu befürchten das Computer dramatisch langsamer werden durch eine Softwarelösung. Vor allem wer kann sowas mit Software umgehen? Das ist doch alles fest verdrahtet in der CPU. Ich fürchte man wird die CPU teildeaktivieren. Das wird noch ein Spaß und ein Aufschrei der Computerbesitzer.
Niemand hat vor eine Mauer zu errichten (Walter Ulbricht)
...und die Mauer wird noch in 50 oder 100 Jahren stehen (Erich Honecker)
Benutzeravatar
Tom Bombadil
Moderator
Beiträge: 32996
Registriert: Sa 31. Mai 2008, 15:27
Benutzertitel: Non Soli Cedit

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Tom Bombadil » Do 4. Jan 2018, 18:36

Im worst case gibt es 30-50% Leistungsverlust, das sind aber nur theoretische Benchmarks, in der Praxis wird das kaum auffallen.
The tree of liberty must be refreshed from time to time with the blood of patriots and tyrants. It is its natural manure.
Thomas Jefferson
Benutzeravatar
jack000
Moderator
Beiträge: 26265
Registriert: So 1. Jun 2008, 17:21
Wohnort: Stuttgart

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon jack000 » Do 4. Jan 2018, 18:44

Tom Bombadil hat geschrieben:(04 Jan 2018, 18:16)

Hier eine Anleitung, wie man bei Win10 testen kann, ob der Patch schon installiert und aktiv ist: https://www.deskmodder.de/blog/2018/01/ ... viert-ist/

Ist das denn überhaupt eine Sicherheitslücke, die die Masse betrifft, die immer die Updates macht und entsprechend Anti-Viren- sowie Anti-Malware Software installiert hat?
Deutschland 2017: "Bevor ich loslege, würde ich gerne noch wissen, ob es für Sie in Ordnung ist, dass ich als weibliche Person hier sitze und auch Ihre Dolmetscherin weiblich ist."
Benutzeravatar
Tom Bombadil
Moderator
Beiträge: 32996
Registriert: Sa 31. Mai 2008, 15:27
Benutzertitel: Non Soli Cedit

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Tom Bombadil » Do 4. Jan 2018, 19:08

Wenn die neuesten OS-Patches geladen sind, dann ist die Sicherheitslücke geschlossen, Anti-Viren/Malwaresoftware ist da wirkungslos. Spectre wird schwieriger zu schließen sein, es ist aber auch deutlich schwieriger auszunutzen.

Die "offizielle" website: https://meltdownattack.com/ Man kann im Video sehen, wie der Speicher mit Meltdown durchsucht wird, auch Passwörter können angezeigt werden.
Ein Interview mit einem der Entdecker: Chip-Sicherheitslücke: "Alle sind betroffen"

Es besteht aber imho kein Grund zur Panik, man sollte nur sehen, dass man sein OS und seine Browser schnellstmöglich patched.
The tree of liberty must be refreshed from time to time with the blood of patriots and tyrants. It is its natural manure.
Thomas Jefferson
Benutzeravatar
H2O
Moderator
Beiträge: 18708
Registriert: So 13. Sep 2015, 12:49

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon H2O » Do 4. Jan 2018, 21:53

jack000 hat geschrieben:(04 Jan 2018, 18:44)

Ist das denn überhaupt eine Sicherheitslücke, die die Masse betrifft, die immer die Updates macht und entsprechend Anti-Viren- sowie Anti-Malware Software installiert hat?


Mein Gefühl sagt mir das auch: Um einen Schaden anrichten zu können, wird man zumindest ein vergiftetes Programmchen einschleusen müssen, das nun ganz genau auf diese vorgekoppelten Programme und Daten zugreift, die da in einer Pipeline der CPU auf Arbeit warten. Natürlich ist es gut, diese Schwachstelle sofort aus zu schalten.
Benutzeravatar
jack000
Moderator
Beiträge: 26265
Registriert: So 1. Jun 2008, 17:21
Wohnort: Stuttgart

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon jack000 » Do 4. Jan 2018, 21:57

H2O hat geschrieben:(04 Jan 2018, 21:53)

Mein Gefühl sagt mir das auch: Um einen Schaden anrichten zu können, wird man zumindest ein vergiftetes Programmchen einschleusen müssen, das nun ganz genau auf diese vorgekoppelten Programme und Daten zugreift, die da in einer Pipeline der CPU auf Arbeit warten. Natürlich ist es gut, diese Schwachstelle sofort aus zu schalten.

M.E. kommt da erstmal nix von nix ... zu irgendwas muss man ja da seine Einverständnis gegeben haben irgendwas installieren zu wollen.
Aber in der Hatte ich da eine einen Update Controller (o.ä.) ohne davon zu wissen ...
Deutschland 2017: "Bevor ich loslege, würde ich gerne noch wissen, ob es für Sie in Ordnung ist, dass ich als weibliche Person hier sitze und auch Ihre Dolmetscherin weiblich ist."
Benutzeravatar
H2O
Moderator
Beiträge: 18708
Registriert: So 13. Sep 2015, 12:49

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon H2O » Do 4. Jan 2018, 22:10

jack000 hat geschrieben:(04 Jan 2018, 21:57)

M.E. kommt da erstmal nix von nix ... zu irgendwas muss man ja da seine Einverständnis gegeben haben irgendwas installieren zu wollen.
Aber in der Hatte ich da eine einen Update Controller (o.ä.) ohne davon zu wissen ...


Ist es denn nicht so, daß auf Windows Systemen ohne Ihr Zutun Updates vollzogen werden? Zumindest ist das in meiner Windows 7 Installation so... mit der ich fast nie arbeite. Aber wenn, dann rappelt das beim Herunterfahren gar fürchterlich. "Bitte den Rechner nicht abschalten..." Solche Vorgänge sind mir unheimlich, Makumba!
Benutzeravatar
MoOderSo
Beiträge: 7454
Registriert: Mo 2. Jun 2008, 22:54
Benutzertitel: (•̀ᴗ•́)و

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon MoOderSo » Do 4. Jan 2018, 22:18

H2O hat geschrieben:(04 Jan 2018, 21:53)
Mein Gefühl sagt mir das auch: Um einen Schaden anrichten zu können, wird man zumindest ein vergiftetes Programmchen einschleusen müssen, das nun ganz genau auf diese vorgekoppelten Programme und Daten zugreift, die da in einer Pipeline der CPU auf Arbeit warten.

In addition to violating process isolation boundaries using native code, Spectre attacks can also be used to violate browser sandboxing, by mounting them via portable JavaScript code. We wrote a JavaScript program that successfully reads data from the address space of the browser process running it.
https://spectreattack.com/spectre.pdf

Javascript kann dir jede Webseite ausliefern. Da muss nix installiert werden.
Der Anarchist ist kein Feind der Ordnung. Er liebt die Ordnung so sehr, daß er ihre Karikatur nicht erträgt.
Benutzeravatar
jack000
Moderator
Beiträge: 26265
Registriert: So 1. Jun 2008, 17:21
Wohnort: Stuttgart

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon jack000 » Do 4. Jan 2018, 22:25

H2O hat geschrieben:(04 Jan 2018, 22:10)

Ist es denn nicht so, daß auf Windows Systemen ohne Ihr Zutun Updates vollzogen werden? Zumindest ist das in meiner Windows 7 Installation so... mit der ich fast nie arbeite. Aber wenn, dann rappelt das beim Herunterfahren gar fürchterlich. "Bitte den Rechner nicht abschalten..." Solche Vorgänge sind mir unheimlich, Makumba!

Sagen wir mal so, nicht ganz ohne Zutun ... aber dennoch ziemlich agressiv bei Win10, die sind da recht skrupellos ...
=> Möglicherweise auch notwendig aber dennoch z.B. bei meinem Reisenetbook welches nur 32 GB Speicher für das System hat und da schon mal Fehlermeldungen bezüglich Speicher auftauchen (Die sich allerdings erledigen, wenn die "Windows.old"-Dateien entfernt werden ...
Deutschland 2017: "Bevor ich loslege, würde ich gerne noch wissen, ob es für Sie in Ordnung ist, dass ich als weibliche Person hier sitze und auch Ihre Dolmetscherin weiblich ist."
Benutzeravatar
H2O
Moderator
Beiträge: 18708
Registriert: So 13. Sep 2015, 12:49

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon H2O » Do 4. Jan 2018, 22:37

MoOderSo hat geschrieben:(04 Jan 2018, 22:18)

Javascript kann dir jede Webseite ausliefern. Da muss nix installiert werden.


Ich komme in der Terminologie nicht nach. Könnten Sie bitte einem wirklich alten Opa erklären, was Javascript wie mit dieser CPU veranstaltet? In meiner Vorstellungswelt arbeitet eine CPU eine Schleife ab, und in einer oder mehreren Pipelines liegen vorgekoppelt Daten und Befehle, die aufgrund einer noch nicht getroffenen Entscheidung künftig abgearbeitet werden sollen. Da ist es natürlich gemein, wenn jemand eine ihm genehme Entscheidung einschleusen kann.
Benutzeravatar
Ein Terraner
Beiträge: 6032
Registriert: Sa 7. Mai 2016, 18:48
Wohnort: München

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Ein Terraner » Do 4. Jan 2018, 22:59

jack000 hat geschrieben:(04 Jan 2018, 18:44)

die immer die Updates macht und entsprechend Anti-Viren- sowie Anti-Malware Software installiert hat?


Vor dem Gehäuselüfter Räucherstäbchen aufstellen soll auch helfen.
Licht und Dunkel

Artikel 13, Save the Internet Petition: https://www.change.org/p/stoppt-die-zen ... loadfilter
Was ist Artikel 13? https://www.youtube.com/watch?v=1DKk69J5pb4
Benutzeravatar
Tom Bombadil
Moderator
Beiträge: 32996
Registriert: Sa 31. Mai 2008, 15:27
Benutzertitel: Non Soli Cedit

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Tom Bombadil » Do 4. Jan 2018, 23:09

Javascript ist eine Programmiersprache, die im Browser ausgeführt wird: https://de.wikipedia.org/wiki/JavaScript
The tree of liberty must be refreshed from time to time with the blood of patriots and tyrants. It is its natural manure.
Thomas Jefferson
Benutzeravatar
Ein Terraner
Beiträge: 6032
Registriert: Sa 7. Mai 2016, 18:48
Wohnort: München

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Ein Terraner » Do 4. Jan 2018, 23:17

Tom Bombadil hat geschrieben:(04 Jan 2018, 18:36)

Im worst case gibt es 30-50% Leistungsverlust, das sind aber nur theoretische Benchmarks, in der Praxis wird das kaum auffallen.


Der worst case wird neue Hardware sein, Spectre lässt sich nicht patchen und der Meltdown Patch wird zuverlässig die Vorteile von Multithreading deaktivieren.
Licht und Dunkel

Artikel 13, Save the Internet Petition: https://www.change.org/p/stoppt-die-zen ... loadfilter
Was ist Artikel 13? https://www.youtube.com/watch?v=1DKk69J5pb4
Benutzeravatar
jack000
Moderator
Beiträge: 26265
Registriert: So 1. Jun 2008, 17:21
Wohnort: Stuttgart

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon jack000 » Do 4. Jan 2018, 23:20

Ein Terraner hat geschrieben:(04 Jan 2018, 22:59)

Vor dem Gehäuselüfter Räucherstäbchen aufstellen soll auch helfen.

Du kannst eine Kritik an meiner Aussage machen oder es auch sein lassen, sinnvoll ist da immer eine Begründung und auch Inhalt ...
Deutschland 2017: "Bevor ich loslege, würde ich gerne noch wissen, ob es für Sie in Ordnung ist, dass ich als weibliche Person hier sitze und auch Ihre Dolmetscherin weiblich ist."
Benutzeravatar
jack000
Moderator
Beiträge: 26265
Registriert: So 1. Jun 2008, 17:21
Wohnort: Stuttgart

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon jack000 » Do 4. Jan 2018, 23:24

H2O hat geschrieben:(04 Jan 2018, 21:53)

Mein Gefühl sagt mir das auch: Um einen Schaden anrichten zu können, wird man zumindest ein vergiftetes Programmchen einschleusen müssen, das nun ganz genau auf diese vorgekoppelten Programme und Daten zugreift, die da in einer Pipeline der CPU auf Arbeit warten. Natürlich ist es gut, diese Schwachstelle sofort aus zu schalten.

Bzw. dessen erst gar nicht zu zu stimmen ...
Deutschland 2017: "Bevor ich loslege, würde ich gerne noch wissen, ob es für Sie in Ordnung ist, dass ich als weibliche Person hier sitze und auch Ihre Dolmetscherin weiblich ist."
Benutzeravatar
Tom Bombadil
Moderator
Beiträge: 32996
Registriert: Sa 31. Mai 2008, 15:27
Benutzertitel: Non Soli Cedit

Re: Sicherheitslücken in nahezu allen aktuellen CPUs aufgetaucht

Beitragvon Tom Bombadil » Do 4. Jan 2018, 23:25

Ein Terraner hat geschrieben:(04 Jan 2018, 23:17)

...und der Meltdown Patch wird zuverlässig die Vorteile von Multithreading deaktivieren.

Macht er nicht, siehe real life-Benchmarks im link zu Computerbase, Cinebench R15 ist stark parallelisiert und nutzt alle threads, die es bekommen kann.
The tree of liberty must be refreshed from time to time with the blood of patriots and tyrants. It is its natural manure.
Thomas Jefferson

Zurück zu „43. Computer - Internet - Telekommunikation - Netzpolitik“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast