Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)

@Holzmann: Doch, was gefunden - https://www.heise.de/security/meldung/FAQ-zu-Meltdown-und-Spectre-Was-ist-passiert-bin-ich-betroffen-wie-kann-ich-mich-schuetzen-3938146.html (unter Punkt 15.)
@unl34shed: Stimmt natürlich, viele Seiten beziehen ihre Bibliotheken außerdem von gottweißwoher ... immerhin ist aber meine whitelist ziemlich kurz (unter 10 Einträge) ...

Mensch, ist einfach mehr als ärgerlich. Zumal es für mein h97-Board natürlich (noch) kein Bios-Update gibt. Vielleicht tut sich ja irgendwann noch was. Oder jemand findet eine Möglichkeit, diese Art von Angriff irgendwie durch Heuristik zu erkennen und abzubrechen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Der Firefox Quantum ist ja ab 57.0.4 gefixt, ähnlich Chrome. µMatrix ist aber auch ok, bietet aber wie alle Maßnahmen keine vollständige Sicherheit, daher wird ja von Mitigation (Abmilderung) gesprochen.
 
Oder jemand findet eine Möglichkeit, diese Art von Angriff irgendwie durch Heuristik zu erkennen und abzubrechen?

Glaub ich nicht, denn lade Daten von Adresse und überprüfe ein Register macht jedes Programm. Man müsste jede Adresse überprüfen, ob sie erlaubt ist oder nicht und dafür ist eigentlich die MMU da, die hier ausgetrickst wird.

Bin da aber kein Experte.
 
Mal eine Zwischenfrage, sorry wenn es zu OT ist:

Ich muss demnächst einen Laptop kaufen.
für den Heimbereich.
Was sollte ich mir am besten kaufen in Anbetracht der aktuellen Situation?
 
Bei Retpoline führt der Compiler während der Compile-Zeit an entsprechenden Stellen des Codes Veränderungen durch. Daher muss die Software neu kompiliert werden, denn irgendwie muss diese Änderung am Code in die Software gelangen. :p

Ja das hatte ich auch so im Hinterkopf. Das bedeutet also das das OS und alle Programme welche Fremdcode ausführen neu kompiliert werden müßen, bzw. entsprechende Binarys durch Updates verteilt werden müßen.
 
Mal eine Zwischenfrage, sorry wenn es zu OT ist:

Ich muss demnächst einen Laptop kaufen.
für den Heimbereich.
Was sollte ich mir am besten kaufen in Anbetracht der aktuellen Situation?
Eine AMD APU, am besten etwas mehr Ausgeben. :bigok:
Demnächst gibt es auch eine Intel CPU + AMD GPU APU...
Is noch zuviel?
 
Also ich sehe das ganze ziemlich düster in Bezug auf echte Fixes in Hardware und Performance. Klar wird man unter Umstände schnell mal ein Fix haben, z.b. einfach die Features spekulative Ausführung abschalten, doch das ist natürlich keine Lösung, weder für Intel noch für AMD. Ich denke an der Single Core Performance, die eh in den letzten Jahren nur spärlich gewachsen ist, wird sich von Intel's Seite so schnell nichts mehr tun. Es sei denn durch noch höheren Takt.
 
Außerordentliches Update: Microsoft deaktiviert Spectre-2-Patches für Windows
Aur Windows - Golem.de

update:
While Intel tests, updates, and deploys new microcode, we are making available an out of band update today, KB4078130, that specifically disables only the mitigation against CVE-2017-5715 – “Branch target injection vulnerability.” In our testing, this update has been found to prevent the behavior described. For the full list of devices, see Intel’s microcode revision guidance. This update covers Windows 7 (SP1), Windows 8.1, and all versions of Windows 10, for client and server. If you are running an impacted device, this update can be applied by downloading it from the Microsoft Update Catalog website. Application of this payload specifically disables only the mitigation against CVE-2017-5715 – “Branch target injection vulnerability.

Quelle: https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
 
Zuletzt bearbeitet:
Was ich bei der ganzen Aufregung nicht verstehe: Wie kann man den jetzt einen nicht gepatcheted "home" PC angreifen?

Chrome, FireFox und co sind anscheint gefixed.
 
Was ich bei der ganzen Aufregung nicht verstehe: Wie kann man den jetzt einen nicht gepatcheted "home" PC angreifen?

Mit jeder Art von Code, die auf der anzugreifenden CPU läuft. Schadprogramm, JavaScript auf ner Webseite, Lücke in irgendeinem Netzwerkdaemon, die Codeausführung erlaubt...
 
* JavaScript sollte durch die Browser updates behoben sein?
* Wie soll den jemand an einem Router vorbei auf meinen PC kommen?
 
* JavaScript sollte durch die Browser updates behoben sein?
* Wie soll den jemand an einem Router vorbei auf meinen PC kommen?

1. Du sprachst von nicht gepatchten PCs.
2. Öffentliches WLAN im McDonalds zum Beispiel? Oder generell jede Person, die mit dir im gleiche Netzwerk ist?
 
* JavaScript sollte durch die Browser updates behoben sein?

Nein, es wurde nicht behoben, sondern dadurch erschwert.

* Wie soll den jemand an einem Router vorbei auf meinen PC kommen?

In dem Du eine Webseite aurufst und Dein Browser Java Code von dieser ausführt.
Du kannst natürlich auch Port 80 und Port 443 (ausgehend) in dem Router sperren, nur kannst Du dann nicht mehr im Netz surfen. ;)
 
Java-Code im Browser?
 
Bei allen Browsern wurde doch SpeculativeExecution im JS Compiler rausgenommen, oder jetzt doch nicht?
 
Bei allen Browsern wurde doch SpeculativeExecution im JS Compiler rausgenommen, oder jetzt doch nicht?

Ja (Chrome am 23.01 imo als letzter der Großen. Opera weiß ich grad nicht) aber damit wird ein Angriff wie gesagt stark erschwert, aber der Browser ist damit nicht komplett imunisiert (Bin aber kein Coder. Es wäre mal die Sicht eines solchen hier Interessant).


Zitat:

Workaround mit unpräziseren Timern

"Da diese neue Klasse von Angriffen das präzise Messen von Zeitintervallen benötigt, deaktivieren beziehungsweise reduzieren wir als eine kurzfristige und teilweise Lösung mehrere wichtige Zeitquellen", schreibt Mozilla in einem Blogpost. Auch Google und Microsoft nehmen in ihren Browsern Chrome, Edge und Internet Explorer diese Maßnahmen vor. "Die beiden Änderungen erschweren es einem Angreifer erheblich, vom Browserprozess aus erfolgreich auf den Inhalt des CPU-Caches zu schließen",
Quellen:
Speculative execution side-channel attack () — Mozilla
Spectre und Meltdown: Browserhersteller patchen gegen Sidechannel-Angriff - Golem.de
 
Zuletzt bearbeitet:
Da der Browser Fix nur die Genauigkeit von performance.now() verringert hat und SharedArrayBuffer deaktiviert (was in dem Doc uA. auch beschrieben ist) aber eben auch noch andere, ebenfalls genaue Verfahren zur Zeitmessung, die nicht gefixt wurden/(werden?).

Beispielhaft der Mozilla Fix:
... The precision of performance.now() has been reduced from 5μs to 20μs, and the SharedArrayBuffer feature has been disabled because it can be used to construct a high-resolution timer.
Speculative execution side-channel attack () — Mozilla
 
Was ist nun wird es endlich was gefixt von Microsoft und Intel?
 
In zukünftigen Updates wird es hoffentlich dann behoben. Immo gilt noch Stabilität vor Sicherheit. :)
 
Da der Browser Fix nur die Genauigkeit von performance.now() verringert hat und SharedArrayBuffer deaktiviert (was in dem Doc uA. auch beschrieben ist) aber eben auch noch andere, ebenfalls genaue Verfahren zur Zeitmessung, die nicht gefixt wurden/(werden?).

Ja, ändert aber nichts an der Tatsache, dass der Artikel deine Aussage nicht beweist. Side-Channel-Attacks wurden durch diese Notfall-Fixes deutlich erschwert, aber sind womöglich ist es trotzdem noch möglich diese Attacken durchzuführen. Ergo kann es sein, dass diese Timer schon umgangen wurden, kann aber auch genau so gut sein, dass diese noch nicht umgangen wurden.

Ja ich weiß Korinthenkacker und so...
 
Die sollen nun mal zusehen das vernüftige Windows Updates kommen.
 
Es gibt wohl weitere Möglichkeiten Timer zu produzieren, die eine Ausnutzung der Schwachstelle ermöglichen, daher sind diese Maßnahmen bislang nur schnelle Abmilderungen der Angriffsmöglichkeit. Es wird empfohlen diese auf System- und Hardwareebene zu beheben.

Speculative execution side-channel attack () | Mozilla Security Blog

Fantastic Timers and Where to Find Them: High-Resolution Microarchitectural Attacks in JavaScript
Michael Schwarz, Clémentine Maurice, Daniel Gruss, and Stefan Mangard | Graz University of Technology, Austria

Abstract.
Research showed that microarchitectural attacks like cache attacks can be performed through websites using JavaScript. These timing attacks allow an adversary to spy on users secrets such as their keystrokes, leveraging fine-grained timers. However, the W3C and browser vendors responded to this significant threat by eliminating fine-grained timers from JavaScript. This renders previous high-resolution microarchitectural attacks non-applicable.

[...]

Conclusion and Outlook
High-resolution timers are a key requirement for side-channel attacks in browsers. As more side-channel attacks in JavaScript have been demonstrated against users’ privacy, browser vendors decided to reduce the timer resolution. In this article, we showed that this attempt to close these vulnerabilities was merely a quick-fix and did not address the underlying issue. [...] Thus, we conclude that it is likely that an adversary can obtain suffciently accurate timestamps when running arbitrary JavaScript code. As microarchitectural attacks are not restricted to JavaScript, we recommend to mitigate them at the system- or hardware-level.
 
Zuletzt bearbeitet:
Gestern hab ich einem Bekanten einen Intel J3455 als SoC mATX System bestellt (bisschen FHD Youtube/Mediatheken&Office). Ich hatte ihm zu amd geraten, aber da ist das ja auch nicht wirklich besser und er hat auf Intel bestanden. Nun frag ich mich ob das nicht langfristig ein unlösbares Problem wird, da scheinbar die Köpfe in den Programmierstuben von Intel&Co sowas nicht mit einem patch dauerhaft beheben können. Läuft das alles auf einen Riesengau hinaus, der zwangsläufig entweder Leistungseinbußen dauerhaft hinznehmen verlang oder gar komplette Neuproduktion seitens der CPU Hersteller? Das klingt für mich wie ein Loch in der Autotür,wo man zwar das Schloß ausbauen und ersetzten kann aber durch das (bis vor kurzem unendeckte) Loch greift man nun direkt durch die Tür zur Verriegelung.?!.
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh