Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
:wall: :coffee:

Es ist bekannt, dass Heise in dem Thema Unsinn geschrieben hat.

AMD hat NIE, wirklich NIE behauptet, dass deren CPUs gegen Spectre (egal ob 1 oder 2) sicher sind.


"To be clear, the security research team identified three variants targeting speculative execution. The threat and the response to the three variants differ by microprocessor company, and AMD is not susceptible to all three variants. Due to differences in AMD's architecture, we believe there is a near zero risk to AMD processors at this time."

Quelle: https://www.acsc.gov.au/news/acsc-statement-on-reports-of-speculative-execution-flaws-in-processors.html
 
Zuletzt bearbeitet:
Microsoft beginnt für Windows 10 mit der Verteilung von Update was SpectreV2 und Intel Prozessoren betrifft. Ich vermute mal eine Google Repolinevariante, dass macht Microcodeupdates per Bios zur Sicherheit gegen SpectreV2 erst mal obsolet.

Den KB4090007 kann man selbstständig runterladen und installieren, oder wartet als W10 User auf die Verteilung per Update.

https://support.microsoft.com/de-de/help/4090007/intel-microcode-updates

*Ggf. für die News/Redaktion auch interessant.
 
Microsoft beginnt für Windows 10 mit der Verteilung von Update was SpectreV2 und Intel Prozessoren betrifft. Ich vermute mal eine Google Repolinevariante, dass macht Microcodeupdates per Bios zur Sicherheit gegen SpectreV2 erst mal obsolet.

Woher stammt diese Vermutung? Bring mal was zum Nachlesen woher du das hast...

Aus meiner Sicht ist das einfach nur das Intel Microcode Update - eingespielt via Update und fertig. Das ist bei Linux und anderen OSen kein Problem. Auch bei MS gab es schon Microcode Updates. Der bisherige Ansatz funktionierte aber nicht, weil das Tool von VMware zum Patchen der Microcodes zu spät ansetzte im Bootprozess.
Was liegt also näher als dass MS hier einfach die Updates früher selbst einspielt um nicht Abhängig vom Biosupdate des Vendors zu sein??

Retpoline würde das neu Kompilieren diverser Bibliotheken voraussetzen und hat nichts, aber auch gar nichts mit dem Update der Microcodes zu tun... MS hat sich doch schon geäußert, dass sie ihre eigene Version zum "Schutz" nutzen. Und "Schutz" ist hier klar relativ. Da Retpoline auf Kompilerebene ansetzt und nicht der allumfassende: "wenn es eingespielt ist, ist es sicher"-Schutz ist... Das/ein Microcode Update muss also weiterhin eingespielt werden, damit all die anderen Kompilate, die man auf seinem System ausführt, auch in der Lage sind, entsprechend die reingebrachten CPU-Befehle auszuführen.
"We are actively investigating Google’s “Retpoline” toolchain-based approach, which requires rebuilding Ubuntu binaries but reduce performance impact of the mitigation."
Spectre mitigation updates available for testing in Ubuntu Proposed | Ubuntu Insights


Leider schaffen es die Medien bis heute nicht, diese Halbweisheiten, die sie selbst gestreut haben, gerade zu ziehen - so dass die ganzen Nasen in der Community denken, man patcht einfach "Retpoline" ein und das Ding ist sicher :rolleyes:
 
Aus meiner Sicht ist das einfach nur das Intel Microcode Update - eingespielt via Update und fertig. Das ist bei Linux und anderen OSen kein Problem. Auch bei MS gab es schon Microcode Updates.
Der bisherige Ansatz funktionierte aber nicht, weil das Tool von VMware zum Patchen der Microcodes zu spät ansetzte im Bootprozess.
Was liegt also näher als dass MS hier einfach die Updates früher selbst einspielt um nicht Abhängig vom Biosupdate des Vendors zu sein??
Genau das habe ich auf anderen Seiten auch gelesen. Nix mit Repoline. Link habe ich auf die Schnelle aber keinen.
 
Aus meiner Sicht ist das einfach nur das Intel Microcode Update - eingespielt via Update und fertig.

Jeep
https://support.microsoft.com/de-de/help/4090007/intel-microcode-updates?tduid=(87990af74be25b0525c1499b4575c501)(81561)(686431)(at100051_a107739_m1_p58_t444_cDE)()

- - - Updated - - -

Microsoft beginnt für Windows 10 mit der Verteilung von Update was SpectreV2 und Intel Prozessoren betrifft. Ich vermute mal eine Google Repolinevariante, dass macht Microcodeupdates per Bios zur Sicherheit gegen SpectreV2 erst mal obsolet.

Den KB4090007 kann man selbstständig runterladen und installieren, oder wartet als W10 User auf die Verteilung per Update.

https://support.microsoft.com/de-de/help/4090007/intel-microcode-updates

Ich hatte den Link auch schon gepostet aber nicht auf dem Schirm, das es der gleiche war.

Wenn man Deinen Link öffnet, steht da ganz fett KB4090007: Intel microcode updates
Es macht in dem Fall die Microcodeupdates per Bios zwar obsolete.
Aber es ist mir auch schleierhaft, wie Du auf Google Repolinevariante kommst.
 
Ich hatte den Link auch schon gepostet aber nicht auf dem Schirm, das es der gleiche war.

Wenn man Deinen Link öffnet, steht da ganz fett KB4090007: Intel microcode updates
Es macht in dem Fall die Microcodeupdates per Bios zwar obsolete.
Aber es ist mir auch schleierhaft, wie Du auf Google Repolinevariante kommst.
Das Update bringt wohl IBPB, IBRS und STIBP mit, waren das nicht auch die Lücken die Retpoline schließt? Ansonsten ist die Info sicher nicht passend. Den bereits gesetzten Link hatte ich übersehen, wollte nur mitteilen das es über Update verteilt wird.
 
"Das Update bringt wohl IBPB, IBRS und STIBP mit, waren das nicht auch die Lücken die Retpoline schließt?"

Indirect Branch Predictor Barrier (IBPB), Indirect Branch Restricted Speculation (IBRS) und Single Thread Indirect Branch Predictors (STIBP) SIND! die drei genannten "Befehle", die der Microcode von Intel mitbringt...
Und nein das waren nicht die Lücke, die Retpoline schließt... Retpoline ist ne verdammte Kompileroptimierung. Wie kommst du bitte auf "schließt Lücken"??

"“Retpoline” sequences are a software construct which allow indirect branches to be isolated from speculative execution."
Retpoline: a software construct for preventing branch-target-injection - Google Help
Es geht bei Retpoline darum den Prozessor dazu zu bringen, die spekulative Ausführung gezielt dorthin zu zwingen wo sie keinen Schaden anrichten kann. Nicht mehr und nicht weniger.

Ich persönlich find ja solche Themen immer göttlich, da man schön sieht, wo nur heiße Luft kommt ;)
 
Ich persönlich find ja solche Themen immer göttlich, da man schön sieht, wo nur heiße Luft kommt ;)
...und was tun diese 3 Updates? Sie bewirken das Windows mit den Updates von Anfang Januar für IBC als Schutz gegen Branch Target Injection aufbaut nutzt, also Spectre V2. Erst das Update rüstet diese Funktionen nach, voll heiße Luft.

Für Linux bisher nicht vorgesehen.

*Ich persönlich finde deinen Unterton mehr als unangemessen. Ob Smilies oder nicht.
 
Zuletzt bearbeitet:
...und was tun diese 3 Updates? Sie bewirken das Windows mit den Updates von Anfang Januar für IBC als Schutz gegen Branch Target Injection nutzt, also Spectre V2. Erst das Update rüstet diese Funktionen nach, voll heiße Luft.

Welche 3 Updates? Mich dünkt du hast nichtmal verstanden was ich schrieb...
Aber ja, wenn auf Nachfrage eben nur heiße Luft kommt - ist das nüchtern ne simple Feststellung. Soll sich doch jeder selbst ein Bild machen... MIR musst du hier nix beweisen ;)

EDIT: Aus meiner Sicht hast du von der Thematik keine Ahnung. Da die Ausführungen hier durchaus abenteuerlich sind, habe ich einfach nur meine 50cent dazu gegeben respektive nachgefragt (oben den Punkt)
Also alles schick...
 
Zuletzt bearbeitet:
Welche 3 Updates? Mich dünkt du hast nichtmal verstanden was ich schrieb...
Aber ja, wenn auf Nachfrage eben nur heiße Luft kommt - ist das nüchtern ne simple Feststellung. Soll sich doch jeder selbst ein Bild machen... MIR musst du hier nix beweisen ;)

Mich dünkt was anderes, wahrscheinlich ist MICROCODEUPDATE für dich nicht verständlich, wenn es sich dabei um ein Update handelt, dass Funktionen einer CPU nachrüstet, die unter Windows in Ausführung erst bestimmte Schutzmechanismen ermöglicht.

Du scheinst dir nur selbst was beweisen zu wollen, was ist mir unbekannt.
 
@Scrush
Mit der aktuellen Politik von MS brauchst du zumindest als Windows 10 User keine Bios Updates. Per Linux lässt sich der Spaß auch einpatchen bei Bedarf.
Die 6000er Gen ist auch die, die im Moment abgedeckt wird mit KB4090007
 
Zuletzt bearbeitet:
Mich dünkt was anderes, wahrscheinlich ist MICROCODEUPDATE für dich nicht verständlich, wenn es sich dabei um ein Update handelt, dass Funktionen einer CPU nachrüstet, die unter Windows in Ausführung erst bestimmte Schutzmechanismen ermöglicht.

Nö, im Gegenteil. Im Moment find ich es eher lustig, wie du hier eine Ausrede nach der Anderen findest...

Wo siehst du denn 3 Updates? "und was tun diese 3 Updates?" war deine Frage/Aussage.
Ich sehe EIN Update von MS und EIN Microcodeupdate seitens Intel, was im MS Patch offenbar inkludiert ist für Skylake CPUs... Aber ich sehe DREI "Befehle" (von denen du scheinbar annahmst es seien "Lücken") , die Intel den CPUs per Microcode unterjubelt - von denen du offenbar glaubt/glaubtest, "diese" würden per Retpoline gefixt :lol:
Die Frage wäre also, woher nimmst du die 3 in Verbindung mit Updates?

Das ganze Gesabbel passt aus meiner Sicht hinten und vorne nicht. Weil - und da bin ich ganz ehrlich zu dir - für mich solche Fehler einfach nicht passieren, wenn man weis, was man da erzählt.
Aber egal... Ist eh Zwecklos, da es auf die gleiche Leier hinaus läuft "wie immer"... Und anstatt das einzusehen, einzugestehen oder einfach mal die Backen zu halten, wenn man merkt, dass man daneben lag - scheißt man heute lieber auf Angriff ;) Auch das ist "wie immer"... Und genau genommen einfach nur traurig. Vor allem bei einem solchen Thema :(

Die sind im Download Linux* Processor Microcode Data File nicht enthalten. Warum ist unbekannt.

Keine Ahnung, was du nun wieder aussagen möchtest...
Die aktuelle Liste ist die folgende:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf

Frag mich bitte nicht nach nem Download link - ich habe nicht gesucht.
 
@Scrush
Per Linux lässt sich der Spaß auch einpatchen bei Bedarf.

Übrigens noch nichts Neues auf der Intel Seite mit den Linux MC Codes (Obwohl MS diese bereits hat). Ob die Linux Distributoren schon (über andere Kanäle) was bekommen haben?

Edit:
Link dazu (checke ich alle paar Tage)
Download Linux* Processor Microcode Data File

- - - Updated - - -

Edit Edit:
@satuan: Ich glaube fdsonne versucht Dir verständlich zu machen, dass Repoline zahlreiche Updates am OS und allen nöglichen Programmen erfordert und es daher mit einem Patch alleine nicht getan ist.
Wäre ich MS, würde ich auch MC Updates bevorzugen. Wieso sollte ich das Ganze auf mich und die Coder für meine Plattform nehmen, um Intels Probleme zu lösen?
(Google hingegen hat eine homogne Umgebung und kann dort gezielt Repoline implementieren. Aber das ist ein Apfel/Birne Vergleich.)
 
Zuletzt bearbeitet:
Nö, im Gegenteil. Im Moment find ich es eher lustig, wie du hier eine Ausrede nach der Anderen findest...

Wo siehst du denn 3 Updates? "und was tun diese 3 Updates?" war deine Frage/Aussage.
Ich sehe EIN Update von MS und EIN Microcodeupdate seitens Intel, was im MS Patch offenbar inkludiert ist für Skylake CPUs... Aber ich sehe DREI "Befehle" (von denen du scheinbar annahmst es seien "Lücken") , die Intel den CPUs per Microcode unterjubelt - von denen du offenbar glaubt/glaubtest, "diese" würden per Retpoline gefixt :lol:
Die Frage wäre also, woher nimmst du die 3 in Verbindung mit Updates?

Das ganze Gesabbel passt aus meiner Sicht hinten und vorne nicht. Weil - und da bin ich ganz ehrlich zu dir - für mich solche Fehler einfach nicht passieren, wenn man weiss, was man da erzählt.

Keine Ahnung, was du nun wieder aussagen möchtest...
Die aktuelle Liste ist die folgende:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf

Frag mich bitte nicht nach nem Download link - ich habe nicht gesucht.
Das ganze "Gesabbel", von lächerlich über Null Ahnung, heiße Luft bis 50 Cent hast du dafür über, stammt aber von dir und deiner "scheinbaren" Eigeninterpretation meiner Sätze, gespickt mit einer gehörigen Portion Selbstbewusstsein?

Ich wäre hier auch gerne Moderator, was du hier für Freiheiten genießt ist schon bemerkenswert. Auf der Suche nach wem oder was? Da gibt es sicher keinen Aus Knopf für oder?

Mit dem vorletztem Absatz kann ich ehrlich gesagt nichts anfangen, da geht es dir wie mir. Was willst du damit jetzt sagen. Wieso verlinkst du eine allgemeine Liste von Intels Updatebemühungen für Meltdown und Spectre V2, wenn diese in beschriebener Form für Linux nicht bereitgestellt wurden? Was soll ich damit und was soll mir das sagen? Was heißt: "Frag mich nicht nach dem Downloadlink", dein PDF kann man downloaden, aber im Original braucht man für vollen Support ein Zugangspasswort? Soll das eine Art Test werden oder was willst du?

Ich habe ja nicht geschrieben das darin befindliche Clientanweisungen für IT Experten enthalten sind, oder ist das Forum voll davon? Das von Mircosoft bereitgestellte automatische Update enthält dabei schon im Vorfeld bereitgestellte Updates, weil diese auch fehlschlagen können. Diese sind allein für die unter dem Link beschriebenen Betriebssystemversionen (Windows 10 1709 - Fall Creators Update und Windows SV 1709 - Server Core) gedacht und der dort genannten Hardware validiert. Das steht dort extra!

Besonders wichtig ist dabei, dass wenn in der Vergangenheit schon eine Inkompatibilität vorliegt oder kein Antivirenprogramm installiert wurde, auch alle weiteren Microsoft Updates blockiert werden. Das soll mit ELAM zu tun haben. Ähnliches teilte das BSI schon mit. Es müssen dafür im Vorfeld etliche KBs installiert sein.

Ich bin nicht Gott oder Jesus und kann auch nicht übers Wasser laufen, es muss aber erlaubt sein darauf hinzuweisen, wenn du meinst das sei falsch dann stellt es richtig. Die Entwickler streiten sich immer noch, was sinnvoll ist oder nicht, das beeinflusse ich nicht. Scheinbare Interpretationen meiner Postings sind dabei genauso nutzlos.

Den Rest kennst du ja dann schon: https://software.intel.com/sites/default/files/managed/1d/46/Retpoline-A-Branch-Target-Injection-Mitigation.pdf

Ich habe auch nicht geschrieben das IBPB, IBRS und STIBP Lücken sind, sondern Lücken wie Retpoline es könnte schließen (wenn das falsch ist, stellt es doch richtig und fluche hier nicht nur umher - dass das auch kein Zustand für ewig wissen alle). Weil sie die Ausführung vorhergehender Updates erst ermöglichen, ohne die Leistung auf Intelprozessoren stark einzuschränken. IBSR wird dafür wohl nach Ansicht der Entwickler gebraucht. IBPB und STIBP sind für die meisten Anwender nicht relevant (leg das nicht wieder auf die Goldwaage).

- - - Updated - - -

Ich glaube fdsonne versucht Dir verständlich zu machen, dass Repoline zahlreiche Updates am OS und allen nöglichen Programmen erfordert und es daher mit einem Patch alleine nicht getan ist. Wäre ich MS, würde ich auch MC Updates bevorzugen. Wieso sollte ich das Ganze auf mich und die Coder für meine Plattform nehmen, um Intels Probleme zu lösen? (Google hingegen hat eine homogne Umgebung und kann dort gezielt Repoline implementieren. Aber das ist ein Apfel/Birne Vergleich.)
Das weiß ich, danke für den Hinweis. Das war aber so nicht gemeint, vielleicht zu flüchtig geschrieben. Warum muss das dann immer so ausarten?
 
Zuletzt bearbeitet:
Retpoline ist unter Windows wertlos, da jedes Programm mit Retpoline neu kompiliert werden muss. Das ist im Grunde nur unter Linux möglich.
Mir ging es eher darum das Retpoline wie andere Ansätze, in zwei Stufen erfolgen muss, Microcodeupdates und Softwareupdates bzw. weitere Anpassungen. Allein mit Software ist eben nicht getan, so jedenfalls Intel selbst. Aber lass mal, ist gut...vermutlich habe ich das nicht richtig rüber bringen können.

Die von Intel und Microsoft jetzt bereitgestellten Updates bringen, wie schon beschrieben alle älteren Update zu Spectre v2 mit und nur dafür, und auch nur für genannte Hard-/Software, weil ELAM im ungünstigsten Fall die Updates blockiert. Dies sind keine Client-Cloud-Server Lösungsansätze die erfolgen gesondert.

Ich habe mit dem Thema abgeschossen und verzieh mich in meinen AMD Blog...

*Es ging also nicht direkt um Retpoline, sondern um die Vorgehensweise (Art und Weise, Variante, Abfolge) bei der Lösung von Problemen dieser Art. Was ich in Erfahrung bringen wollte, weiß ich jetzt.
 
Zuletzt bearbeitet:
Ich glaube ihr redet aneinander vorbei. retpoline ähnlich != retpoline
Vielleicht unglücklich formuliert als Retpolinevariante, was definitiv nicht stimmt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh