Downfall und Inception: Prozessoren von Intel und AMD haben neue Sicherheitslücken

Gamer1969 schrieb:
Da mal die Gegenfrage, wieviel Lücken wurden heimlich still und leise gefixt wovon niemand etwas mitbekommen hat.
Zum Vergrößern anklicken....
Dazu müsste man aber erst einmal wissen, welche Sicherheitslücken du nun meinst?
Größtes und beliebtes Einfalltor ist immer noch die Intel ME Firmware des UEFi (nicht die Software unter Win, die taugt da nicht für und muss man ja auch nicht zwangsläufig installieren).
Da fixt dann Intel auch wenn Sicherheitslücken bekannt werden über FW. Updates an die Boardpartner. Im Gegensatz zu der Win Software (die nur als eine Schnittstelle dient aber halt nicht zwangsläufig installiert sein muss) ist die Intel ME Firmware fester Bestandteil eines jeden Intel Boards und verankert sich in einer geschützten Area (1-3) des UEFI. Das kannst du auch ganz leicht beobachten, wenn du dir mal einen UEFI Flashvorgang anschaust. Bei Asus Boards zb. bekommst du beim Flash manchmal Infos, welcher Bereich gerade geflasht wird. Ist da kein ME Update enthalten, wird ein bestimmter Block im Fortschrittsbalken übersprungen (meist ziemlich am Anfang), bei MSI generell am Anfang ca. die ersten 30%. Ist ein ME Update enthalten, wird der erste Bereich mit beschrieben (Areas).
Grundsätzlich aber läßt sich sagen, dass die Intel ME Zugriff auf so ziemlich jede essenzielle Funktion eines Boards hat, diese auch steuern und sogar übernehmen/ändern kann.
Die ME Firmware kann und sollte man daher nicht abschalten, dass Board wird danach schlicht nicht mehr starten. Schleicht sich da ein Bug ein, na dann Prost Mahlzeit!
Und da man ja die ME Firmware des Boards auch unter Windows neu programmieren (flashen) kann, wird man sicherlich verstehen, dass Intel verständlicherweise mit Infos dazu sehr sparsam umgeht.

Einen Trick, die ME Firmware Funktionen im UEFI zugänglich zu machen, hatte ich ja schon einmal gepostet:
MSI_SnapShot_01.png

..rum spielen sollte man da nicht! Eine falsche Einstellung abgespeichert und das wars (ohne Flashback Funktion des Boards und Reserve UEFI auf Stick). (y)

ps: Und dann kommt es auch darauf an, wann wurde diese Sicherheitslücke denn überhaupt entdeckt? Schaue ich zb. bei MSI auf die Z590 Bretter, dann entdecke ich dort, dass einige (Gaming Plus, Torpedo, Tomahawk, Unify usw.) Anfang bis Mitte Juli ein MC Update erhalten haben. Da es, meines Wissens nach, aber für Gen10/11 keine neuen Prozis oder sonstige Featureupgrades gibt, könnte das also der MC Bugfix sein. Wenn ja, kommen diese News zumindest zu Intel aber nun sehr "zeitverzögert" und scheinen eventuell, zumindest seitens Intel, dann schon behoben.
Außerdem soll das ja wohl laut Phoronix und deren Tests mit den "neuen" 3a5 MC-Update wohl eher HPC Workloads die AVX-2/512 Instruktion nutzen, betreffen.
Zumindest aber AVX-512 kann man bei Rocket im UEFI deaktivieren, Comet (Gen10) hat noch kein AVX-512, alle Prozis nach Rocket dann auch nicht mehr.
Auf Games und Anwendungen sollten diese Leistungsminderungen (sofern überhaupt vorhanden) weniger bis gar keinen Einfluss haben.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Spieluhr schrieb:
Dazu müsste man aber erst einmal wissen, welche Sicherheitslücken du nun meinst?
Zum Vergrößern anklicken....
Die Lücken hast du ja schon alle gut erklärt, solange aber Menschen für die Programmierung und auch die Konstruktion von Hardware und Software zuständig sind wird sich auch in Bezug auf Schwachstellen nicht so schnell was ändern.
Über selbst lernende KI in diesen Bereichen wird ja geforscht aber bis es da Durchbrüche gibt wird es noch lange dauern.
Beitrag automatisch zusammengeführt:

Spieluhr schrieb:
..rum spielen sollte man da nicht! Eine falsche Einstellung abgespeichert und das wars (ohne Flashback Funktion des Boards und Reserve UEFI auf Stick). (y)
Zum Vergrößern anklicken....
Daher rate ich immer beim MB kauf auf diese Funktion zu achten, die kann einem die Nerven schonen und den Tag retten.
 
Gamer1969 schrieb:
Daher rate ich immer beim MB kauf auf diese Funktion zu achten, die kann einem die Nerven schonen und den Tag retten.
Zum Vergrößern anklicken....
In einem "default" UEFI wirst du bei keinem Intel Board der Welt diese Settings aufrufen können, die haben die Boardpartner nämlich nicht umsonst komplett gelockt.

..da (und viele weitere versteckte Settings) kommst du nur ran, wenn du weißt, wie man das UEFI im administrativen (SA_Group) dispatch_Mode setzt und dann neu drauf brutzelst.
Ohne "Rückversicherung" (Flashback via zb. USB) würde ich das aber niemanden empfehlen. Einmal was falsch eingestellt -> Board aus, UEFI zersägt!

Ansonsten, Schadcode kann man über Winflash der IMEI (UEFI) einspielen, reicht schon, wenn man die Software dazu von dubiosen Quellen herunter lädt.
Meine Erfahrung ist, entweder direkt von der Boardanbieter HP oder StationDrivers. Seiten wo mich schon vorab mein ESET Scanner warnt, Finger weg!

ps: Hier kannst du sehen, dass es kein Problem ist die Board IMEI aus Windows heraus zu flashen. Ergo kann das ein beliebtes Einfalltor für Schadcode sein.
 
Zuletzt bearbeitet:
Spieluhr schrieb:
Einmal was falsch eingestellt -> Board aus, UEFI zersägt!
Zum Vergrößern anklicken....
Da gibt es Hilfe:

BIOS Update | MSI ShopMSI Shop

msi-shop.de msi-shop.de

So einen Service hat glaube ich kein anderer Hersteller, nach einer korrupten BIOS Datei ging bei mir nichts mehr. Nur die CPU LED hat geleuchtet und 00 in der Anzeige, Flashback auch nicht mehr funktioniert aber eine Woche später das wieder verbaut und alles lief.

Spieluhr schrieb:
..da (und viele weitere versteckte Settings) kommst du nur ran, wenn du weißt, wie man das UEFI im administrativen (SA_Group) dispatch_Mode setzt und dann neu drauf brutzelst.
Zum Vergrößern anklicken....
Das viele Einstellungen gesperrt sind ist manchmal ein Segen wenn man Leute in der Umgebung hat die ALLES ausprobieren müssen.
Da hilft meistens nur ein BIOS Passwort oder die Androhung die sollen man zu einer PC Werkstatt gehen und ordentlich zahlen.
 
Ich habe letzten einen neuen Kernel gebaut, 6.4.10-gentoo, da ist schon der fix drin, wenn man ihn aktiviert.

Bezüglich Media Player und Security Fix Verwaltung. Bei den Gentoo-sources ist es relativ einfach diese Security Fixes abzuschalten. Wird bei den vanilla-sources, = Quellcode von kernel.og für den linux kernel, vermutlich auch so sein.

--

Laut dem Google Forscher - ist der Proof of Concept für linux geschrieben worden.
 
Zuletzt bearbeitet:
@FM4E Kommt der Downfall Fix ausschließlich per Bios Update oder kann er auch mit Windows Updates ausgerollt werden? Ist er evtl. bereits ausgerollt worden?
 
Nozomu schrieb:
Ja, Das Windows ist sogar heut so schlau und kann darüber dein BIOS updaten ^^
Zum Vergrößern anklicken....

Ganz bestimmt, das war auch der Grund warum ich monatelang auf MSI B550 Agesa 1.x.x.3 hatte.

Die einzigen Fälle wo ich so etwas gesehen habe, war denke ich bei HP und Lenovo Notebooks in der Arbeit, wo die Rechner W10Pro hatten und mittels Windows Update sehr selten, aber doch ein Bios Update erhalten haben.

--

windows ist nicht schlau, es fehlt die künstliche Intelligenz.

kann darüber dein BIOS updaten
Zum Vergrößern anklicken....
Und Nein, es wird rebootet und die Routine ausgeführt, das kann ich immer noch abwürgen, wenn ich schnell genug bin. Es ist nicht über Windows, sondern, es wird nur ein Reboot ausgeführt, wo man den UEFI sagt, was als naechstes geladen werden soll.
 
Der Downfall ist Intel seit Aug ´22 bekannt. An die Öffentlichkeit kommt es normalerweise erst, nachdem die Patche ausgerollt worden sind. So wars zumindest bisher immer oder oft.
Seit Aug ´22 bekannt und nichts ausgerollt? Das kann ich fast garnicht glauben. Nein, nein, ich will garkein Fix, sonst generier ich demnächst noch Antipunkte im R15. Hab schon viel verloren seit Release.
Ich möchte nur wissen, wie ich ihn verhindern kann.
 
CB R15 nutzt keine AVX Befehle, von daher sollte es keine Performanceverluste durch den Bugfix geben. Lies noch mal die News:
Der große Nachteil nach dem Schließen der Lücke soll alle Anwendungen betreffen, die von dem AVX-Befehlssatz Gebrauch machen. Dies betrifft im Detail AVX2- und AVX512-Workloads.
Zum Vergrößern anklicken....
 
Das war damals bei Spectre und CO auch so in etwa.....
 
Da konnte man aber noch mit dem tool InSpectre den Schutz wieder aufheben zu Gunsten der Leistung.
 
Holzmann schrieb:
Da konnte man aber noch mit dem tool InSpectre den Schutz wieder aufheben zu Gunsten der Leistung.
Zum Vergrößern anklicken....
Stell dir vor, das wird man dann auch mit den Fixes machen können…oder lade manuell einen alten Microcode und flashe einfach dein UEFI nicht, Problem solved.
 
@Holzmann Kann sich jeder ausrechnen, ob das mit der Abschaltung sinnvoll ist oder nicht...
 
Als Linux Nutzer (Rolling Release Distri) hatte ich bereits Kernel (6.4.10-zen2) und intel-ucode auf den neuesten Stand gebracht ... vorgestern war meine Geduld dann am Ende, zurück auf Kernel 6.4.8-zen1. Das Intel Zeugs ebenfalls downgegraded und der Ignore-List des Paketmanagers hinzugefügt.

Beide Intel i7-11700K Systeme laggten z. T. stärker beim exzessiven Browser-Gaming - das war vor den Updates nicht der Fall. Will hoffen, daß da noch nachgebessert wird und demnächst zumindest wieder der Kernel ohne Nebenwirkungen upgedatet werden kann (auf 6.5.x). Ansonsten kann ich ja gleich wieder mein altes X99-Xeon-System mit Win7-64 ans Netz hängen (übertrieben ausgedrückt) ...
 
Karl Gustav schrieb:
Der Downfall ist Intel seit Aug ´22 bekannt. An die Öffentlichkeit kommt es normalerweise erst, nachdem die Patche ausgerollt worden sind.
Zum Vergrößern anklicken....

Seit August? Was ist dann das hier:
AMI BIOS 7D06vA5 | 2022-04-20 | 8.80 MB
  • Beschreibung:
    - Update Intel Micro code for security vulnerabilities
Zum Vergrößern anklicken....
..haben die Schlingel da wieder heimlich was verbockt oder war MSI schneller als Intel? So nach dem Motto: "MSI, we create the Future of tomorrow yesterday" (y)
..und wenn die MC-Code updaten, kann es ja nur CPU Bug betreffen. Wäre es Plattform Schadcode, dann springt ein ME-FW. Update ein.

edit: aber mal eine andere Frage: Wie meint ihr denn, soll ein MS Rollup über Update ein MC Update durchführen können? :unsure:
Glaubt ihr echt, Intel würde ggü. MS CPU Code ausrollen? Erst recht Security Updates AN DER CPU durchführen lassen? ..da könnten die auch den Code gleich auf FB und Twitter zum mitschreiben veröffentlichen.

...

sch4kal schrieb:
…oder lade manuell einen alten Microcode und flashe einfach dein UEFI nicht, Problem solved.
Zum Vergrößern anklicken....
Würde ich eher nicht empfehlen. Warum? In schon fast regelmäßiger Kontinuität reicht Intel ME-FW. Updates an die Boardpartner weiter, die teils sehr kritische Einfalltore für Schadcode schließen sollen.
Die Boardpartner pflegen die dann immer so schnell wie möglich in deren UEFI Updates ein, schon aus Eigennutz und wenn man sich einmal überlegt was die ME on Board ist und worauf die alles Zugriff hat, dann möchte ich dort nicht unsafe den Rechner einschalten wollen:

Bei der Intel® Management Engine handelt es sich um einen integrierten Microcontroller (integriert auf einigen Intel Chipsätzen), der ein leichtes Microkernel-Betriebssystem ausführt, das eine Reihe von Funktionsmerkmalen und Services für Computersysteme mit Intel® Prozessoren bietet.
...
Bei der Systeminitialisierung lädt die Intel® Management Engine den Code aus dem System-Flash-Speicher. Auf diese Weise kann die Intel® Management Engine vor dem Start des Hauptbetriebssystems aktiviert sein. Zur Speicherung der Laufzeitdaten hat die Intel® Management Engine Zugriff auf einen geschützten Bereich des Systemspeichers (zusätzlich zu einer geringen Menge an Chip-Cache-Speicher für eine schnellere und effizientere Verarbeitung).
Zum Vergrößern anklicken....

Also, mit der ME FW. und deren einwandfreie Funktionsweise steht bzw. fällt der Betrieb eigentlich deines kompletten Rechners. Ist die verbugt bzw. schaltest du die (über Tricks) ab, ist dein System definitiv aus!
Der geschützte Bereich sind die Areas (üblich 1-3) die bei jeden "normalen" UEFI Flash nur mit geflasht werden (meist am Anfang) wenn auch ein ME-FW. Update anliegt.
Ansonsten habe die Boardpartner da keinen Zugriff drauf, nur Intel. Ist vergleichbar mit der AMD Agesa.
Da gestattet AMD den Boardpartnern die enthaltenen Biblis zu "nutzen", nicht aber selbst zu "ändern" und anzupassen.
Die ME und deren genaue Funktionsweise ist Intels FortKnox, da geben die keine tiefer gehenden Infos zu im Netz. Das hat auch seinen Grund.

ps: Und das Wörtchen "bietet" (siehe Intel Zitat zuvor) heißt bei den CPU Herstellern i.d.R. eigentlich immer in Wahrheit "übernehmen" (wir machen das mal selbst, ihr lasst gefälligst eure Finger davon!). ;)

...

Holzmann schrieb:
AMD veröffentlicht Sicherheits Bulletin:
Zum Vergrößern anklicken....

Das ist doch erst einmal nur die Publication, wo AMD den, derer Meinung nach auftretenden Anwendungsfall klein reden möchten (angeblich nur in der simulierten Testumgebung bekannt). Gleichzeitig aber kündigen die ein entsprechendes AGESA Update an, welches man über die Boardpartner/OEMs beziehen soll. Warum der Aufwand, wenn angeblich nur "in einer simulierten Testumgebung" bekannt? :unsure:
AMD is not aware of any exploit of ‘Inception’ outside the research environment at this time.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Spieluhr schrieb:
Seit August? Was ist dann das hier:
AMI BIOS 7D06vA5 | 2022-04-20 | 8.80 MB

  • Beschreibung:
    - Update Intel Micro code for security vulnerabilities
Zum Vergrößern anklicken....
Spieluhr schrieb:
..haben die Schlingel da wieder heimlich was verbockt oder war MSI schneller als Intel?
Zum Vergrößern anklicken....
Ich red vom Downfall, kein Plan, was du da zeigen möchtest.

Aus der News:"Gemeldet wurde diese Sicherheitslücke (Downfall) von Daniel Moghimi an Intel bereits am 24. August 2022, wurde allerdings erst in den letzten Tagen publik".

So, jetzt nochmal von vorn ... Intel weiß von dem Ding seit einem Jahr. Und es ist noch nicht gefixed? Für mein betroffenes Mainboard gibt es kein Bios.

AVX2 und 512 machts langsamer? Ja oke, dann passiert beim Gaming wahrscheinlich nichts.

Ich habs generell gemeint, seit Meltdown, Spectre, das war glaub ich anno ´18, hab ich viel Leistung verloren. Aber beim Gaming is es ansich nach wie vor oke. Ich glaub auch nicht, dass mein Board noch jemals ein Bios kriegen wird.

Dankeschön für eure Anteilnahme.
 
Karl Gustav schrieb:
Ich red vom Downfall, kein Plan, was du da zeigen möchtest.
Zum Vergrößern anklicken....
Das es da u.U. schon vorher gemeldeten MC Schadcode gab z.b.? :unsure:

Karl Gustav schrieb:
Aus der News:"Gemeldet wurde diese Sicherheitslücke (Downfall) von Daniel Moghimi an Intel bereits am 24. August 2022, wurde allerdings erst in den letzten Tagen publik".
So, jetzt nochmal von vorn ... Intel weiß von dem Ding seit einem Jahr. Und es ist noch nicht gefixed? Für mein betroffenes Mainboard gibt es kein Bios.
Zum Vergrößern anklicken....
Solltest du mal bei deinen Boardpartner nachfragen. Es gab durchaus MC Updates für gängige Boards zwischen 04/2022 bis dato, ob da dieser Bug gefixt wurde, dass kann dir nur der Support deines Boardpartners beantworten. Nur das da was über MS Rollout kommen könnte, sehr unwahrscheinlich.

Die letzten MC Updates z.b. seitens MSI stammen aus 07/2023 und sind für gängige Boards die Gen10/11 CPU sockeln. MC Updates, keine IMEI FW. Updates!
Was außer MC Bugs sollten die nun fixen oder habe ich was verpasst und es gibt neue Comet und Rocket CPUs? :unsure:

Screenshot 2023-08-17 at 17-09-13 https __de.msi.com.png
 
Zuletzt bearbeitet:
Das war doch damals bei Intel auch so, aber das wurde dann irgendwann behoben und die alte Leistung nahezu wieder hergestellt. Das sollte in dem Fall doch auch wieder so sein, oder? :unsure:
 
Newsupdate ist erfolgt!

"Auf der Webseite phoronix.com wurden nun auch ausführliche Benchmarks durchgeführt, die aufzeigen, wie groß der Performanceverlust mit den AMD-Prozessoren ausfallen kann. Im Detail kam der AMD Epyc 7763 mit 64 Zen-3-Kernen und 128 Threads zum Einsatz. Seine Grundtaktfrequenz beträgt 2,45 GHz bei 280 Watt TDP und der maximale Boost-Takt wird mit 3,5 GHz angegeben. In Summe kam heraus, dass der Performance-Impact bis zu satte 54 Prozent beträgt, was schon ein herber Einschlag ist."
 
silverline schrieb:
Als Linux Nutzer (Rolling Release Distri) hatte ich bereits Kernel (6.4.10-zen2) und intel-ucode auf den neuesten Stand gebracht ... vorgestern war meine Geduld dann am Ende, zurück auf Kernel 6.4.8-zen1. Das Intel Zeugs ebenfalls downgegraded und der Ignore-List des Paketmanagers hinzugefügt.
Zum Vergrößern anklicken....

Warum baut man seinen Kernel nicht selbst?
cp + make oldconfig + make + cp ... zu viel des guten? oder eine nvidia Karte im System die einen Mehraufwand benötigt?
Schöner als wie bei den Gentoo Sources geht es nicht - großes Menü - kann man sagen ja oder nein in der Config.
Der Grund warum ich bei Gentoo bin. Dieselbe Installation seit 2006.
Den Microcode sollte man ja auch downgraden können. Vor 2 Jahren, 2 Plattformwechsel her, habe ich gestoppt Microcode einzuspielen. Das war noch ein i7-3610QM Notebook.
 
superdoodle schrieb:
Betrifft dann auch die Steam Decks? Weiß jemand ob es da auch Updates gibt?
Zum Vergrößern anklicken....
Sofern die Spiele von AVX2 Gebrauch machen, dann ja. Die APU selbst unterstützt AVX2. Ob es Updates geben wird, müsste man bei Valve mal anfragen. Das kann ich gerne tun.
 
Anmelden, um zu antworten.

Ähnliche Themen

HWL News Bot
EPYC, Ryzen und Ultrascale: AMD meldet zahlreiche Sicherheitslücken
Antworten
10
Aufrufe
1K
FirstAid
FirstAid
HWL News Bot
AGESA-Updates gegen Sinkclose-Lücke: Wichtige Updates für AMD Ryzen und Epyc in der Übersicht
2 3
Antworten
68
Aufrufe
5K
Ekky
E
HWL News Bot
Intel-Konter: Xeon Platinum 8592+ sehr wohl auf Augenhöhe mit AMDs Turin
Antworten
23
Aufrufe
2K
Zeitmangel
Z
HWL News Bot
5. EPYC-Generation: Turin bietet bis zu 192 Kerne und Unterstützung für DDR5-6400
Antworten
0
Aufrufe
92
HWL News Bot
HWL News Bot
HWL News Bot
5. EPYC-Generation: Turin bietet bis zu 192 Kerne und Unterstützung für DDR5-6400
Antworten
7
Aufrufe
978
Zeitmangel
Z
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh