Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)

Was macht man da!? Ich werde mein System vorerst behalten und mich nicht zu sehr beunruhigen lassen. Das entscheide ich für mich selbst. Aber was machen Unternehmen mit wo es um hunderte von PC's geht? Wage es zu behaupten, dass ein Großteil der Arbeitsplätze "einfach" so gelassen werden.

Ich - für mich persönlich - weiss was ich machen werde - ich werde mir so im Mai eine neuen AMD CPU holen. Wenn ich das vorher gewusst hätte - hätte ich mir eine 5930er CPU sparen können. Die "Mehr" Performance löst sich in Luft auf - vermute dbzgl. weitere spürbare Performance Verluste spätestens nach dem BIOS/ MC Update. Das Ganze wird bei uns mit Sicherheit so ablaufen wie beim "Diesel Gate". Die Kunden in den USA werden Kompensationen erhalten - wir in der EU sind mit Sicherheit die Verarschten. Mir geht es nicht um "Schwanzmark" etc.- ich hätte mich nur anders entschieden wenn ich diese Infos gehabt hätte. Schade - war extrem begeistert von meinem X99 System und habe dafür auch genug Geld "hingelegt". Super stabil und extrem schnell - egal welche Anwendungen - das relativiert sich leider aktuell. AMD ist meiner Meinung nach auch "Teilbetroffen" - allerdings ist Intel bereits bei Meltdown angreifbar, was für mich die gefährlichste Lücke ist - die Patches dagegen sind schon einmal eine spürbare Performance Einbuße - zumindest spüre ich das bei meinen Anwendungen. Mit den MC/ BIOS Updates wird das Ganze mit Sicherheit noch langsamer.

l. G.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bios Update wirds auch keins geben für die Broadwell E. Ein Board, dass 2 Jahre alt ist bekommt kein neues Bios. Ich habe den Microcode von Hand zu Fuß aufgespielt, so ähnlich wie unter Linux.

Ist userunfreundlich, aber die einzige Möglichkeit ein Microcode Update zu erhalten.

Also, ohne Microcodeupdate bekommt Ihr nur die halbe Lücke, halb dicht, das kann man sich sparen. Ohne neuen Microcode, der bei den z.B. Z370 per Biosupdate eingespielt wird, hat das ganze gebastel an Windows keinen Sinn. Und auch erst nach dem neuen Microcode werden sich die performance Probleme einstellen.

Hier mal für alle die ein Board aus 2016 und älter haben eine Anleitung was zu tun ist:

How to Update Intel and AMD Processor Microcode under Windows - YouTube

Hier gibts die aktuellen Microcodes:

Download Linux* Processor Microcode Data File

Nicht von dem Wort Linux verwirren lassen!

Ohne den AMD Microcode läuft das Patchprogramm nicht:

Index of /debian/pool/non-free/a/amd64-microcode

Hier die VMware:

VMware CPU Microcode Update Driver

Grüße


Und was bringt dir das? Egal was du machst, Spectre ist nicht behebbar. Man erschwert lediglich diesen Fehler auszunutzen. Von daher bringt diese ganze Patcherei inkl. Leistungsverluste mal überhaupt nichts. ^^
Momentan kann man so wie es aussieht, ruhig ungepatched weiter fahren. Ist das selbe Ergebnis nur das du teilweise bedeutend mehr Leistung hast.
 
Zuletzt bearbeitet:
Spectre mach ich mir generell etwas weniger Sorgen auch wenn das auch einen "faden" Beigeschmack" hat - mir ist für meine Arbeit Sicherheit extrem wichtig. Spctcre ist mit Patches/MC/ BIOS definitv nicht sicher zu schliessen. Das Blöde ist nur, dass aufgrund er aktuellen Infos jeder Hobby Hacker weiss, wo er ansetzen muss. Bei Spectre erwarte/ hoffe ich dennoch zumindest, dass dies einges an Know-How benötigen wird und nicht von einem Hobby Hacker gecknackt werden kann. Wundere mich nur, dass diese Lücken Kriminellen nicht bereits früher aufgefallen sind, und dazu eine Forschung der TU Graz/ Google etc. notwendig war. Mir wäre lieber diese "Untersuchung" hätte nie statt gefunden bzw. die Ergebnisse wären nie veröffentlich worden - nachdem (Vermutung) noch kein Hacker diese Lücken jemals ausgenutzt hat. Leider sind Wissenschaftler/ die Menschheit "geil" auf Anerkennung. Bitte nicht falsch verstehen - oft wäre es meiner Meinung nach besser, dass die Öffentlichkeit gewisse Infos erst hätte wenn es eine sinnvolle Lösung gibt um Schaden zu vermeiden. Panik News ohne sinnvolle Lösung sind leider schlecht.
l. G.
 
Zuletzt bearbeitet:
Vor allem hat AMD bisher nur ein optionales Spectre 2-Update herausgegeben, ohne dass je ein Angriff erfolgreich auf ein AMD-System ausgeführt wurde. Und das ist eben auch die Lücke, die so richtig Leistung kostet - Spectre 1 kostet wohl so gut wie gar keine Leistung und ich weiß auch nicht, ob Spectre 1 eventuell sogar komplett behoben werden kann, und sich die Nichtbehebbarkeit nur auf Spectre 2 bezieht. Selbst wenn man es irgendwann schafft, Spectre 2 auch auf AMD zum Einbruch zu nutzen, haben ja verschiedene Experten bereits gesagt, dass es extrem aufwändig ist - ein einfacher Hacker könnte sich sowas gar nicht leisten.

(Edit: Und man muss ja auch sagen, dass diese Forscher echte Profis sind, also wenn die das nicht schaffen, eine Spectre2-Anfälligkeit bei AMD nachzuweisen, dann schafft es wohl niemand.)
 
Zuletzt bearbeitet:
@Kumberg12
Spectre sollte dich eigentlich mehr treffen als Meltdown. Patch gegen Meltdown kostet relativ wenig Leistung und ist bisher, AFAIK, sinnvoll nur Lokal am PC nutzbar. Spectre hingegen kostet mit den Patches teilweise massiv Leistung und kann, wenn es ein fähiger "Hacker" richtig anfasst, von jeden genutzt werden. Tools/Exploits gibt es, gegen Geld, im Untergrund immer recht schnell. :/
 
Vor allem hat AMD bisher nur ein optionales Spectre 2-Update herausgegeben, ohne dass je ein Angriff erfolgreich auf ein AMD-System ausgeführt wurde. Und das ist eben auch die Lücke, die so richtig Leistung kostet - Spectre 1 kostet wohl so gut wie gar keine Leistung und ich weiß auch nicht, ob Spectre 1 eventuell sogar komplett behoben werden kann, und sich die Nichtbehebbarkeit nur auf Spectre 2 bezieht. Selbst wenn man es irgendwann schafft, Spectre 2 auch auf AMD zum Einbruch zu nutzen, haben ja verschiedene Experten bereits gesagt, dass es extrem aufwändig ist - ein einfacher Hacker könnte sich sowas gar nicht leisten.

(Edit: Und man muss ja auch sagen, dass diese Forscher echte Profis sind, also wenn die das nicht schaffen, eine Spectre2-Anfälligkeit bei AMD nachzuweisen, dann schafft es wohl niemand.)

AMD hat gesagt, dass die Cpus von Spectre 2 betroffen sind, von Spectre 1 jedoch nicht, für Spectre 2 wird es Microcodes updates geben, was diese jedoch an Leistung rauben, oder nicht, ist bisher noch nicht bekannt.
 
Für mich heisst das bloss eins, ich kauf mir nix neues mehr weder von AMD noch Intel bis da eine CPU Generation auf dem Markt kommt die nicht von Halbidioten designed wurde.

Und im übrigen sollten sich ALLE grossen Hersteller mal endlich in einem Konsortium zusammenfinden und eine Lösung für
eine sichere Updatepolitik von Prozessoren entwickeln die herstellerübergreifend funktioniert und nicht auf die lahmarschige oder nicht vorhandene Reaktion einzelner Firmen in Bezug auf BIOS für Modell XYZ angewiesen ist. Eine große Aufgabe aber für mich mittel und langfristig unabdingbar um endlich Schluss zu machen mit dem Gewurschtel. Mit einem solchen Industriestandard kann dann auch wunderbar auf der Verpackung geworben werden. Win Win für alle.

Intel sollte mal einige Millönchen in die Hand nehmen und alle CEOs der führenden Cpu, Chipsatz und Mainboardhersteller samt Integratoren zu einer Luxuskonferenz laden um mit denen mal von oben nach unten die Grundlagen für eine solche Strategie zu entwerfen.
 
Zuletzt bearbeitet:
Für mich heisst das bloss eins, ich kauf mir nix neues mehr weder von AMD noch Intel bis da eine CPU Generation auf dem Markt kommt die nicht von Halbidioten designed wurde.

Fehler sind menschlich, und gerade bei den heutigen Prozessoren, mit Milliarden von Schaltungen wette ich das noch ganz andere bisher unentdeckte Fehler da sind. Halbidioten... so so... die Jungs sind dir um ganze Dimensionen voraus! ;)
 
Hier bringen einige was durcheinander, das was wir hier haben sind Designfehler um mehr Leistung rauszuholen... ich wette das wurde auch bewusst so gemacht.

Bugs auf der anderen Hand könnenm, wie Romsky schon geschrieben hat, passieren.
 
Und man muss ja auch sagen, dass diese Forscher echte Profis sind, also wenn die das nicht schaffen, eine Spectre2-Anfälligkeit bei AMD nachzuweisen, dann schafft es wohl niemand.)

Nein, muss man nicht bzw. sollte man nicht. Nur weil DU es nicht weist, ist es nicht sicher... Die Dunkelziffer der Wissensträger liegt hundertprozentig höher als 0. Warum bist du immer so naiv? Da finden Dritte, die nichts, aber auch gar nichts mit AMDs, ARMs oder auch Intels Microprozessorarchitekturen am Hut haben eine potentielle Schwachstelle und es sollen die Einzigen sein auf der Erde??

Mal davon ab, nicht die "Forscher" müssen hier wem was nachweisen, sondern eher sollten die Hersteller ihren Kunden nachweisen, dass sie zweifelsfrei NICHT betroffen sind. Die Forscher haben ihr "Soll" erfüllt indem sie den Angriffsvektor konkret belegt haben. Bei Meltdown ist die Aussage bei AMD eineindeutig. Spectre v1 ist ebenso unverkennbar klar. Bei v2 hingegen ist man von "near zero risk" mittlerweile etwas abgewichen und verteilt Patches wie auch Firmware. Was kommt als nächstes??
Kein Plan wie lange du noch die AMD Fahne in den Wind halten willst. Aber es ist nur eine Frage der Zeit, bis da wer was findet UND!!! publik macht. Klar ist, die CPUs verhalten sich entsprechend auffällig. Das einzige was im Moment vllt schützt ist die Unwissenheit - das als vermeintlich sicher zu betrachten ist naiv oder "dumm"...

PS: die Anfälligkeit ist auch lange schon gefunden ;) Nur so als Info. Was im Moment nicht bekannt ist, ist ein konkretes Exploit. Es hat stand heute keiner publik gemacht, auf einem AMD Prozessor über Spectre v2 an Daten gekommen zu sein. Ein Himmelweiter Unterschied zu deiner Aussage...

Um es dir konkret zu beschreiben - Aussage AMDs:
"GPZ Variant 2 (Branch Target Injection or Spectre) is applicable to AMD processors.

While we believe that AMD’s processor architectures make it difficult to exploit Variant 2, we continue to work closely with the industry on this threat."

Das ist von der Wirkung der Aussage schon ein deutlicher Unterschied zu "near zero risk"... Das Risiko war real also bei deutlich höher als "near zero"
Wäre es nicht ausnutzbar durch Dritte, würde es sowas nicht geben. Zumal das umdrehen solcher Aussagen immer ein komisches Bild hinterlässt - vor allem bei medial heiß gekochten Themen!
Von den ursprünglichen: "AMD ist gar nicht betroffen" sind wir nun durch den Hersteller bestätigt schon bei 2/3 ;) Wart ab was noch so kommt... Wundern sollte man sich da nicht.

Spectre sollte dich eigentlich mehr treffen als Meltdown. Patch gegen Meltdown kostet relativ wenig Leistung und ist bisher, AFAIK, sinnvoll nur Lokal am PC nutzbar. Spectre hingegen kostet mit den Patches teilweise massiv Leistung und kann, wenn es ein fähiger "Hacker" richtig anfasst, von jeden genutzt werden. Tools/Exploits gibt es, gegen Geld, im Untergrund immer recht schnell. :/

Wobei im Moment fraglich ist ob das, was man als mehr oder weniger Kurzschlussreaktion da gerade raushaut vielerorts auch das ist, was die sinnvollste Lösung zum umgehen der Probleme ist.
Das kann aber nur die Zeit zeigen...

Mir wäre lieber diese "Untersuchung" hätte nie statt gefunden bzw. die Ergebnisse wären nie veröffentlich worden - nachdem (Vermutung) noch kein Hacker diese Lücken jemals ausgenutzt hat. Leider sind Wissenschaftler/ die Menschheit "geil" auf Anerkennung. Bitte nicht falsch verstehen - oft wäre es meiner Meinung nach besser, dass die Öffentlichkeit gewisse Infos erst hätte wenn es eine sinnvolle Lösung gibt um Schaden zu vermeiden. Panik News ohne sinnvolle Lösung sind leider schlecht.

Das bringt doch nix... Nur weil man etwas nicht weis, ist es lange nicht nicht vorhanden... ;)
Ob öffentlich oder nicht, es gibt nen Markt für derartigen Stuff. Da fließen teils wirklich hohe Summen.

Zumal jeder Hobby Hacker... - auch hier muss differenziert werden. Es braucht immer noch erstmal ne Code Ausführung auf deinem Client. Da muss schon was mehr passieren als ein Scriptkiddy mit Übereifer nach so ner Veröffentlichung.

Halte es doch ganz einfach - mach dir bewusst, wer in das System eindringen will und Ahnung hat, der wird das schaffen. Spectre/Meltdown hin oder oder. Das komplette System ist löchrig bis zum Abwinken. Nicht, weil es Fahrlässigkeit ist, sondern einfach weil Fehler eben passieren bei derartiger Komplexität. 100% Sicherheit gibts nicht. Man kann sich dem nur annähern. Jetzt hier, wegen einem weiteren Thema auf der ewig langen Liste Panik zu schieben ist nicht der richtige Weg. Zumal die Panik schon vor Jahren wäre angebracht... Wer so viel Angst hat, wie du es hier beschreibst, dürfte gar nicht vernetzt unterwegs sein ;)

AMD hat gesagt, dass die Cpus von Spectre 2 betroffen sind, von Spectre 1 jedoch nicht, für Spectre 2 wird es Microcodes updates geben, was diese jedoch an Leistung rauben, oder nicht, ist bisher noch nicht bekannt.

Nein, das stimmt nicht!!
AMD Processor Security | AMD
Wurde nie gesagt und wird nie gesagt.

Spectre v1 war seit bekanntwerden anfällig. Spectre v2 war ursprünglich "near zero risk" - die Medien haben daraus ein "AMD ist nicht von Spectre v2 betroffen" - obwohl AMD in Wort und Text es anders verlautbaren ließ!
Schau auf die AMD Page - die erste Aussage ist unten noch drin...
 
Hier bringen einige was durcheinander, das was wir hier haben sind Designfehler um mehr Leistung rauszuholen... ich wette das wurde auch bewusst so gemacht.

Bugs auf der anderen Hand könnenm, wie Romsky schon geschrieben hat, passieren.

Wie kommst du da drauf? Der Bug existiert doch schon seit der ersten Implementierung aus 1995, als es dazu noch gar keine Konkurrenz gab.
 
Wie kommst du da drauf? Der Bug existiert doch schon seit der ersten Implementierung aus 1995, als es dazu noch gar keine Konkurrenz gab.

Das stimmt schon, aber man hätte ihn ja beheben können. ;)
 
@fdsonne

ich bezog meine letzten Infos aus dieser Quelle, dort steht es iwi anders, aber es wäre ja gut wenn es so ist wie du es beschreibst, bzw. wie es aus dem Link von AMD hervorgeht. ;)
https://www.heise.de/newsticker/meldung/AMD-rudert-zurueck-Prozessoren-doch-von-Spectre-2-betroffen-Microcode-Updates-fuer-Ryzen-und-Epyc-in-3939975.html
Es ist vor allem wichtig genau zu verstehen was da geschrieben wird. Mittlerweile schreibt AMD ja zu Meltdown, dass sie glauben sie wären nicht betroffen. D.h. sie wissen effektiv nicht, welche Seiteneffekte bei ihren CPUs auftritt. Mehr als 6 Monate Zeit das Problem zu analysieren, und dann geben sie eine Pressemeldung raus und müssen innerhalb einer Woche korrigieren. Das ist gar nicht gut. Was kommt da noch nach?
 
Ja, sobald es halt jemandem auffällt. Sehe darin aber immer noch keinen Zusammenhang zu einer mutwillige Handlung.

Sie könnte halt darin liegen, dass man bewusst auf Sicherheit zu Gunsten Leistung verzichtet hat, aber es sind eben noch Spekulationen.
 
Sie könnte halt darin liegen, dass man bewusst auf Sicherheit zu Gunsten Leistung verzichtet hat, aber es sind eben noch Spekulationen.
guter witz, AMD kann doch nicht mal sicher sagen ob sie betroffen sind oder nicht. wobei wir ja schon wissen, dass amd angreifbar ist.
 
guter witz, AMD kann doch nicht mal sicher sagen ob sie betroffen sind oder nicht. wobei wir ja schon wissen, dass amd angreifbar ist.

Stimmt, dann kann man ja den Vorsatz der Mutwilligkeit schon mal ausschließen. :d
 
wobei wir ja schon wissen, dass amd angreifbar ist.

Jep, es scheint sich nun wohl etwas geändert zu haben und es ist wohl doch mindestens eine Möglichkeit gefunden worden, AMD-Prozessoren auch mit Spectre 2 anzugreifen. Da die Patches Spectre 2 generell nur erschweren und nicht ganz beheben können - während die AMD-Prozessoren es von Natur aus schon deutlich schwerer machten, denke ich, dass die Performance nicht so stark in Mitleidenschaft gezogen wird, wie bei Intel, aber es bleibt jetzt mal abzuwarten, was für Ergebnisse wir dann bekommen.
Solange ich auf meinem Hauptrechner nicht von Meltdown betroffen bin, bin ich ja noch froh, aber Leistungseinbußen hätte ich mir schon gerne erspart, auch wenn es am Ende nur 1-2 Prozent wären.
 
Zuletzt bearbeitet:
Weiß du wielange der "Bug" Intel schon bekannt ist? :o

seit ein paar jahren?

l5fpmm90x1901.png
 
Bin auch mal gespannt was EL Risitas dazu sagen wird ... :fresse:
 
Zum Glück gibts für dich Intel da gibts 3 Sicherheitslücken zum Preis von 2, denn mehr ist ja bekanntlich immer besser! :)
lieber die konkurrenz durch intel als einen Ryzen1, Ryzen2 und Ryzen3 auf drei verschiedenen sockeln mit gleicher leistung, wie damals beim AMD64
 
Zuletzt bearbeitet:
Die ganze Tragweite, die Konsequenzen, der Konstruktionsfehler ist noch überhaupt nicht absehbar. Keiner, außer ein paar Insidern (Experten, die wissen was Silber und Gold ist), können vage abschätzen, was da noch alles kommt. Und bitte, geht nicht davon aus, dass die Sache in ein paar Monaten behoben ist, dafür ist das alles viel zu komplex.

Vor ein paar Tagen schrieb ich hier, dass ich die ganzen Upgrades erst mal beobachten möchte... Und hatte mit meiner Einschätzung, dass es erst mal nichts halbes und nichts ganzes wird, nicht ganz unrecht. Wie soll das auch funktionieren? - Du kannst doch einen Fehler, der seit zwei Jahrzehnten existiert, nicht innerhalb von wenigen Monaten korrigieren.

Und ich möchte wirklich nicht herablassend sein, vielmehr sollte man dies als Kritik verstehen, das Vorher schon schlauer wie Nachher bringt hier - prinzipiell - überhaupt nichts. Diese Sicherheitslücke, netter Begriff für die Proportionen eines Grand Canyon, ist ein monumentales Problem.

Respekt, vor den Wissenschaftlern und Technikern, die den Mut hatten, damit an die Öffentlichkeit zu gehen.
 
lieber die konkurrenz durch intel als einen Ryzen1, Ryzen2 und Ryzen3 auf drei verschiedenen sockeln mit gleicher leistung, wie damals beim AMD64

Also es ist bereist sicher, dass Ryzen1, Ryzen2 und Ryzen3 auf dem selben Sockel laufen wird und das zwischen den Gens. Leistungsgleichheit herrscht ist nicht zu erwarten, denn der Laden heißt AMD. :d

Und denke es ist auch nicht zu erwarten das Intel verschwindet, falls du das befürchtest. ;)
 
Zuletzt bearbeitet:
Also es ist bereist sicher, dass Ryzen1, Ryzen2 und Ryzen3 auf dem selben Sockel laufen wird und das zwischen den Gens. Leistungsgleichheit herrscht ist nicht zu erwarten, denn der Laden heißt AMD. :d
sehr gut, seit dem Core2 geht das nämlich nicht mehr.
 
Wie du seit 2004 ungestraft dein Unwesen treiben darfst ist mir schleierhaft... du scheinst wohl den Server hier zu finanzieren anders kann ich mir das nicht erklären.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh