Wie bereits geschrieben wurde, patcht Microsoft für Windows nur Meltdown. Für Spectre stellt Intel Bios-Updates bereit, die alte Rechner möglicherweise nicht bekommen.
Kannst du das bitte mal verlinken?
Laut Microsoft beinhaltet das Update vom 4.1./5.1. auch Maßnahmen für Spectre, die sinnigerweise in Verbindung mit dem Firmware Update für v2 kombiniert werden wollen.
Allerdings ist Retpoline im Linux-Kernel ein Patch gegen Spectre, von dem Google sogar behauptet, dass der Fix Spectre komplett schließen würde. Es scheint also grundsätzlich möglich zu sein, die Lücke zumindest auf Betriebssystemebene anzugehen. Aber es kann natürlich sein, dass Microsoft das im eigenen Windows-Kernel nicht ohne große Umbauaktionen kann und auch der Linux-Kernel wird jetzt um weitere 1-2 Wochen verschoben.
Auch hier wäre ein Link schick... Denn das halte ich für ein Gerücht, da Google gegenteiliges aussagt.
Die Google-Meldung ließt sich eher so, als ist/war Google für SICH gesehen in der Lage, IHRE Systeme entsprechend völlig imun gegen Spectre zu machen. Was für einen Betreiber von eigener Software auch nicht direkt ein Problem sein sollte. Denn als Entwickler der eigenen Software sollte man wissen, wie man diesem bekannten Angriffsvektor möglichst elegant aus dem Weg geht.
Google gibt hierzu bspw. folgendes publik:
Retpoline: a software construct for preventing branch-target-injection - Google Help
Um es dir nur kurz zu umreißen, es verhindert durch eine recht intelligente Methode das spekulative Ausführen indem es einfach in Teilen des Codes (für die es eingesetzt wird) bei Spekulativer Ausführung nur noch Dummys ausführt. Da kannste also nix mehr holen/auslesen.
Intelligent ist das Ganze deswegen, weil es nur partial eingesetzt wird. Also nicht wie das komplette Abschalten der Branch Prediction enorm Leistung kostet sondern eben nur in Teilen diese verhindert/ins leere laufen lässt.
Wo steht da aber, dass es im Linux-Kernel nen Patch gibt, der Spectre schließen würde? Lese ich nix von...
Das ist immernoch ein Softwarefix zur compile time.
Answering your questions about “Meltdown� and “Spectre�
"Variant 2 (CVE-2017-5715), “branch target injection.”
This variant may either be fixed by a CPU microcode update from the CPU vendor,
or by applying a software protection called “Retpoline” to binaries where concern about information leakage is present."
Wie änderst du das Binary, wenn es einfach auf deiner Platte ist??
Und die dritte Aussage:
"With Retpoline,
we could protect our infrastructure at compile-time, with no source-code modifications."
Protecting our Google Cloud customers from new vulnerabilities without impacting performance
Kein Plan - entweder ICH bin blöd, oder hier liegt leider ein ziemlich großes Missverständnis vor...
DAS was man jetzt in den Kernel integriert ist das Resultat der mit Retpoline support Kompilierten Sources.
Es sind also keine einfachen Lösungen - sehr positiv ist aber, dass Linuxnutzer mit dem finalen Kernel 4.15 alle gegen Spectre 2 und Meltdown geschützt sein werden, und dabei wohl kaum Leistung verlieren(vor allem die Verluste durch Meltdown, wenn eine Intel-CPU eingesetzt wird). Spectre 1 ist in den meisten Linuxdistributionen bereits behoben worden, aber noch nicht universell im Kernel.
Hier vermischst du viel zu viel. Der Leistungsverlust durch Aktionen gegen Meltdown ist losgelößt von der Spectre Retpoline Geschichte zu sehen. Keine Ahnung woher die Aussage hier stammt.
Spectre 1 ist auch nicht behoben. Hier wäre ebenso die Aussage zu verlinken!
Nur mal blöd gefragt, kann es sein, dass du gar nicht verstanden hast, was Spectre und Meltdown überhaupt ist!?
Da drehst du nicht an nem Schalter und schwubs, ist das nicht mehr "offen"... (entgegen Meltdown, denn genau das macht die Brechstangenmethode der KPTI) - aber eben nicht bei Spectre, der Code ist drin und die CPU macht das, was man ihr sagt (oder eben auch nicht, wenn man es nicht explizit Sachen verhindert/umgeht)