Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)

Bei Ausführen des Spectre Meltdown CPU Checker erhalte ich die Meldung "....funktioniert nicht mehr". Noch jemand anderes dieses Problem?
Hab Windows 10 Creators Update, auf dem aktuellsten Stand.

Dann hat wahrscheinlich schon jmd. die Kontrolle über deinen PC genommen :fresse:
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bei Ausführen des Spectre Meltdown CPU Checker erhalte ich die Meldung "....funktioniert nicht mehr". Noch jemand anderes dieses Problem?
Hab Windows 10 Creators Update, auf dem aktuellsten Stand.
Bei mir ging der gestern noch ohne Probleme. Habe jetzt gerade nochmal getestet nachdem ich deinen Post gelesen habe.

Bei mir kommt nun folgendes

 
Wie sollte denn ein Screen ausschauen, bei dem alles i.O. ist?

Ich bekomme nur "grün" in der powershell - je dreimal True für beide Varianten
Spectre „Variant 2“ aka „CVE-2017-5715 [branch target injection]
Meltdown „Variant 3“ aka „CVE-2017-5754 [rogue data cache load]
 
Was ist denn mit älteren PC`s oder CPU`s allgemein für die keine Bios-Updates vorgesehen ist? Reicht da der Microsoft Patch?

Wie bereits geschrieben wurde, patcht Microsoft für Windows nur Meltdown. Für Spectre stellt Intel Bios-Updates bereit, die alte Rechner möglicherweise nicht bekommen.

Allerdings ist Retpoline im Linux-Kernel ein Patch gegen Spectre, von dem Google sogar behauptet, dass der Fix Spectre komplett schließen würde. Es scheint also grundsätzlich möglich zu sein, die Lücke zumindest auf Betriebssystemebene anzugehen. Aber es kann natürlich sein, dass Microsoft das im eigenen Windows-Kernel nicht ohne große Umbauaktionen kann und auch der Linux-Kernel wird jetzt um weitere 1-2 Wochen verschoben.

Es sind also keine einfachen Lösungen - sehr positiv ist aber, dass Linuxnutzer mit dem finalen Kernel 4.15 alle gegen Spectre 2 und Meltdown geschützt sein werden, und dabei wohl kaum Leistung verlieren(vor allem die Verluste durch Meltdown, wenn eine Intel-CPU eingesetzt wird). Spectre 1 ist in den meisten Linuxdistributionen bereits behoben worden, aber noch nicht universell im Kernel.
 
Zuletzt bearbeitet:
Es sind also keine einfachen Lösungen - sehr positiv ist aber, dass Linuxnutzer mit dem finalen Kernel 4.15 alle gegen Spectre 2 und Meltdown geschützt sein werden, und dabei wohl kaum Leistung verlieren(vor allem die Verluste durch Meltdown, wenn eine Intel-CPU eingesetzt wird). Spectre 1 ist in den meisten Linuxdistributionen bereits behoben worden, aber noch nicht universell im Kernel.

Skylake/Kabylake Besitzer müssen noch bis Kernel 4.16 warten um komplett gegen Spectre abgesichert zu sein, da noch ein zweiter Patch benötigt wird.

Benchmarking Retpoline Underflow Protection With Intel Skylake/Kabylake - Phoronix

Kostet in einigen Anwendungsfällen auch wieder ein paar % Leistung.
 
Wie bereits geschrieben wurde, patcht Microsoft für Windows nur Meltdown. Für Spectre stellt Intel Bios-Updates bereit, die alte Rechner möglicherweise nicht bekommen.
Kannst du das bitte mal verlinken?
Laut Microsoft beinhaltet das Update vom 4.1./5.1. auch Maßnahmen für Spectre, die sinnigerweise in Verbindung mit dem Firmware Update für v2 kombiniert werden wollen.

Allerdings ist Retpoline im Linux-Kernel ein Patch gegen Spectre, von dem Google sogar behauptet, dass der Fix Spectre komplett schließen würde. Es scheint also grundsätzlich möglich zu sein, die Lücke zumindest auf Betriebssystemebene anzugehen. Aber es kann natürlich sein, dass Microsoft das im eigenen Windows-Kernel nicht ohne große Umbauaktionen kann und auch der Linux-Kernel wird jetzt um weitere 1-2 Wochen verschoben.
Auch hier wäre ein Link schick... Denn das halte ich für ein Gerücht, da Google gegenteiliges aussagt.
Die Google-Meldung ließt sich eher so, als ist/war Google für SICH gesehen in der Lage, IHRE Systeme entsprechend völlig imun gegen Spectre zu machen. Was für einen Betreiber von eigener Software auch nicht direkt ein Problem sein sollte. Denn als Entwickler der eigenen Software sollte man wissen, wie man diesem bekannten Angriffsvektor möglichst elegant aus dem Weg geht.

Google gibt hierzu bspw. folgendes publik:
Retpoline: a software construct for preventing branch-target-injection - Google Help
Um es dir nur kurz zu umreißen, es verhindert durch eine recht intelligente Methode das spekulative Ausführen indem es einfach in Teilen des Codes (für die es eingesetzt wird) bei Spekulativer Ausführung nur noch Dummys ausführt. Da kannste also nix mehr holen/auslesen.
Intelligent ist das Ganze deswegen, weil es nur partial eingesetzt wird. Also nicht wie das komplette Abschalten der Branch Prediction enorm Leistung kostet sondern eben nur in Teilen diese verhindert/ins leere laufen lässt.
Wo steht da aber, dass es im Linux-Kernel nen Patch gibt, der Spectre schließen würde? Lese ich nix von...
Das ist immernoch ein Softwarefix zur compile time.

Answering your questions about “Meltdown� and “Spectre�
"Variant 2 (CVE-2017-5715), “branch target injection.” This variant may either be fixed by a CPU microcode update from the CPU vendor, or by applying a software protection called “Retpoline” to binaries where concern about information leakage is present."
Wie änderst du das Binary, wenn es einfach auf deiner Platte ist??

Und die dritte Aussage:
"With Retpoline, we could protect our infrastructure at compile-time, with no source-code modifications."
Protecting our Google Cloud customers from new vulnerabilities without impacting performance

Kein Plan - entweder ICH bin blöd, oder hier liegt leider ein ziemlich großes Missverständnis vor...
DAS was man jetzt in den Kernel integriert ist das Resultat der mit Retpoline support Kompilierten Sources.

Es sind also keine einfachen Lösungen - sehr positiv ist aber, dass Linuxnutzer mit dem finalen Kernel 4.15 alle gegen Spectre 2 und Meltdown geschützt sein werden, und dabei wohl kaum Leistung verlieren(vor allem die Verluste durch Meltdown, wenn eine Intel-CPU eingesetzt wird). Spectre 1 ist in den meisten Linuxdistributionen bereits behoben worden, aber noch nicht universell im Kernel.

Hier vermischst du viel zu viel. Der Leistungsverlust durch Aktionen gegen Meltdown ist losgelößt von der Spectre Retpoline Geschichte zu sehen. Keine Ahnung woher die Aussage hier stammt.
Spectre 1 ist auch nicht behoben. Hier wäre ebenso die Aussage zu verlinken!

Nur mal blöd gefragt, kann es sein, dass du gar nicht verstanden hast, was Spectre und Meltdown überhaupt ist!?
Da drehst du nicht an nem Schalter und schwubs, ist das nicht mehr "offen"... (entgegen Meltdown, denn genau das macht die Brechstangenmethode der KPTI) - aber eben nicht bei Spectre, der Code ist drin und die CPU macht das, was man ihr sagt (oder eben auch nicht, wenn man es nicht explizit Sachen verhindert/umgeht)
 
Was davon rauskommen wird, wird man sehen. Direkt angekündigt hat Intel jedenfalls nichts. Die Hoffnungen sind da, aber ob und wie umgesetzt steht auf einem anderen Blatt (man erinnere sich nur an Haswell). Ich denke die alten Generationen unter Haswell werden nur das allernötigste bekommen ohne Feinschliff.
Alles reine Spekulation. Für bestimmte Komplettsysteme (mit CPUs älter als Haswell) sind die Updates jedenfalls z. T. auf den Tag genau terminiert. Vergessen hatte ich auch noch die Super Micro (Server-)Motherboards: Da wird es auch Updates für Sandy/Ivy Bridge geben - [IRONY]vermutlich nur das "Allernötigste ohne Feinschliff" ... kommt ja bei Servern nicht so drauf an.[/IRONY]

Das stimmt nicht, die ME kann man nicht dauerhaft updaten. Nach dem nächsten BIOS Update hast du wieder die im BIOS enthaltene drauf, auch wenn sie älter ist. Das habe ich bei den Updates für die 11er Reihe bemerkt. MSI hatte kurzfristig ein Tool mit v11.8.3399 zur Verfügung gestellt mit dem ich auch geupdatet habe. Danach habe ich auf die aktuelle 11.8.3426 manuell geupdatet. Kurz darauf hat MSI für das Board ein BIOS Update rausgebracht, welches neben der ME auch andere Fixes enthielt. Und zack war ich wieder auf 3399 und musste wieder manuell updaten.
Vermutlich hatte ich mich nicht klar genug ausgedrückt. Du beschreibst genau das Problem: Bei jedem BIOS-Flash wird die ME installiert, die in der BIOS-Datei enthalten ist. Das beutet ggf. ein Downgrade, falls man die ME davor (z. B. per "FWUpdLcl") separat aktualisiert hat. Deshalb beschreibt VirtualFred's Anleitung, wie man die ME in die BIOS-Datei schreibt, bevor man flasht.
 
Nur mal blöd gefragt, kann es sein, dass du gar nicht verstanden hast, was Spectre und Meltdown überhaupt ist!?
Ich muss jetzt einfach mal davon ausgehen, dass Deine Aussagen stimmen, ohne dass ich die Quellen selbst durchlesen kann, weil ich abzüglich meiner Arbeit, Schlafenszeit und allen sonstigen fixen Tätigkeiten nur weniger Stunden habe, um mich mit anderen Dingen zu befassen. Dass Google behaupten würde, dass Retpoline die Lücke komplett schließen würde, habe ich selbst irgendwo gelesen. Leider konnte ich auch nicht mehr als 30 Minuten dafür aufbringen und muss mich somit auf bestimmte Quellen verlassen. (Was heutzutage offensichtlich nicht mehr möglich ist.) Insofern bin ich dankbar dafür, wenn es Leute wie Dich gibt, die mehr Zeit mit dem Thema aufbringen können und die Urquellen der Aussagen suchen, bzw. mehrere Nachrichtenportale durchforsten können.
 
Zuletzt bearbeitet:
@Holzmann

Betreffend Meltdown kam das via Windows Upate. Für Spectre wird Intel wohl eine Art Update zur Verfügung stellen mit welchem der Microcode eingespielt wird. Ist mal meine Vermutung. Ist aber schon so, wenn das nicht über Windows irgendwie verteilt wird dann werden wohl sehr viele die Lücke nicht schliessen auf ihren PCs.
 
Kommt dieses Update nicht auch per Windows Update?


Gesendet von iPhone mit Tapatalk Pro

Ich hoffe es ;)

- - - Updated - - -

@Holzmann

Betreffend Meltdown kam das via Windows Upate. Für Spectre wird Intel wohl eine Art Update zur Verfügung stellen mit welchem der Microcode eingespielt wird. Ist mal meine Vermutung. Ist aber schon so, wenn das nicht über Windows irgendwie verteilt wird dann werden wohl sehr viele die Lücke nicht schliessen auf ihren PCs.

Muss man wohl noch etwas Geduld haben ....
... so ganz rund läuft es wohl noch nicht:

Sicherheitslücke Spectre: Intel bestätigt Reboot-Problem nach BIOS-Update - ComputerBase
 
Zuletzt bearbeitet:
Jo eigentlich klares Statement von Intel, nur könnten Kritiker sagen, ein unstabiles System ist kein sicheres System, aber anderes Thema ....
 
Ich muss jetzt einfach mal davon ausgehen, dass Deine Aussagen stimmen, ohne dass ich die Quellen selbst durchlesen kann, weil ich abzüglich meiner Arbeit, Schlafenszeit und allen sonstigen fixen Tätigkeiten nur weniger Stunden habe, um mich mit anderen Dingen zu befassen. Dass Google behaupten würde, dass Retpoline die Lücke komplett schließen würde, habe ich selbst irgendwo gelesen.

Ich war selbst erst verwundert - und bin effektiv drauf gestoßen, weil im heise Forum Jemand die heise Interpretation der Meldung zu diesem Google Post kommentierte... Denn die schreiben das gleiche. Und habe mir daraufhin die Google-Quelle mal detailierter Durchgelesen.
Verwunderlich ist dabei - wieder einmal!! bei diesem Thema - die News Portale schreiben nicht das, was in der Quelle steht sondern interpretieren oder schreiben ohne zu hinterfragen voneinander ab. Kein Plan, was da so schwer dran ist. Aber im Blogpost des Google Typen steht explizit:
"With Retpoline, we could protect our infrastructure at compile-time, with no source-code modifications."
Ich hab absolut keinen Plan, wo man daraus global "Kernel xy machts sicher", rausließt... Und vor allem, wer den Mist als erstes verkackt hat... Zumal auch der Google Post überbewertet wird - klar, dass die "Erfinder" von Retpoline und dazu noch Leute im Team, welche die grundlegenden Lücken erforscht haben, zeitlich sehr früh gegensteuern können. Und noch klarer, dass es Google ist, die sowohl eigene Kernelverschnitte als auch eigene Software auf ihren zum Teil sogar eigen erschaffenen Servern laufen haben und wo derartige Änderungen natürlich A) früh einfließen und B) sehr weitreichend schützen - da man wenig(er) Abhängigkeiten zu Dritt-Anbieter Code hat. Anders als im privat-Sektor, wo effektiv keiner die Sources kennt (oder kennen will), selbst bei OpenSource Projekten. Geschweige denn sich die Kernel-Codes oder shared Libs durchsieht... -> nur genau das macht die Spectre-Geschichte ja so problematisch ;)
 
@HWL
Kann man bei Seite "15: 21. Update" diese unendlich lange Liste nicht in einen Spoiler einbauen, gestern als ich mit dem Smartphone gelesen habe habe ich "gefühlt" Minuten gewischt bis ich zum anderen Text kam :coffee:
 
"Sicherheit geht vor Stabilität"
Den muss ich mir merken!

:banana::rofl:

Das hört sich maximal bescheuert an, aber es ist nicht verkehrt. Es mag einem zwar schwer aufn Keks gehen, wenn der PC sich einfach mal abschaltet, aber dennoch ist die Sicherheit der Daten einfach wichtiger. Und ja, das muss jeder für sich selber entscheiden
 
Derzeit gilt bei Intel eben "Sicherheit geht vor Stabilität", so seltsam das auch klingen mag ;)
 
Das hört sich maximal bescheuert an, aber es ist nicht verkehrt. Es mag einem zwar schwer aufn Keks gehen, wenn der PC sich einfach mal abschaltet, aber dennoch ist die Sicherheit der Daten einfach wichtiger. Und ja, das muss jeder für sich selber entscheiden

Wenn Dir die Kiste dann beim Abschmieren Deine Daten korrumpiert und unbrauchbar macht, ist schluss mit lustig.
Es betrifft ja nicht nur SpielePCs oder sonstige Daddelkisten, sondern auch PCs/Server die kritische Sachen beinhalten.
Ein unkontrollierter Absturz ist da nicht so lustig.

Cunhell
 
Wenn Dir die Kiste dann beim Abschmieren Deine Daten korrumpiert und unbrauchbar macht, ist schluss mit lustig.
Es betrifft ja nicht nur SpielePCs oder sonstige Daddelkisten, sondern auch PCs/Server die kritische Sachen beinhalten.
Ein unkontrollierter Absturz ist da nicht so lustig.

Cunhell

Genau deshalb ist der Spruch ja auch so merkwürdig/witzig, also ob die Datensicherheit nicht auch mit der Betriebssicherheit eines PC zu tun hätten. ;)
 
Zuletzt bearbeitet:
Alles reine Spekulation. Für bestimmte Komplettsysteme (mit CPUs älter als Haswell) sind die Updates jedenfalls z. T. auf den Tag genau terminiert. Vergessen hatte ich auch noch die Super Micro (Server-)Motherboards: Da wird es auch Updates für Sandy/Ivy Bridge geben - [IRONY]vermutlich nur das "Allernötigste ohne Feinschliff" ... kommt ja bei Servern nicht so drauf an.[/IRONY]
Ich glaube wir reden aneinander vorbei. Ich meine Consumersysteme, du Businesssysteme. Businesssysteme bekommen selbstverständlich mehr Aufmerksamkeit von Intel. Aber dass meine Prognose nicht ganz so weit hergeholt ist, sieht man ja aktuell: die aktuellen Fixes sind schlampig und ohne große Tests veröffentlicht worden. Da sind nun nicht nur die Updates terminiert, sondern auch gleichzeitig die Abstürze. :banana:

Das hört sich maximal bescheuert an, aber es ist nicht verkehrt. Es mag einem zwar schwer aufn Keks gehen, wenn der PC sich einfach mal abschaltet, aber dennoch ist die Sicherheit der Daten einfach wichtiger. Und ja, das muss jeder für sich selber entscheiden
Und was machst du wenn du lange Berechnungen durchführst und der Rechner schmiert andauernd ab? Oder durch die andauernden Abstürze wird das System zerschossen?
 
Und was machst du wenn du lange Berechnungen durchführst und der Rechner schmiert andauernd ab? Oder durch die andauernden Abstürze wird das System zerschossen?

Dann würde ich für die Berechnungen einfach ein anderes System benutzen. ;)
 
Ist bestimmt richtig lustig, wenn dein CAD-Rechner einfach abschmiert. Da geht Stabilität vor. Sorry.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh