Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@DON
Ah, danke für die Aufklärung!

Für Server-Betreiber ist jetzt ein WorstCase-Szenario ausgebrochen. Da muss gepatcht werden und bei Betreibern von Systemen mit hoher RAM-Last (VM) oder hoher Massenspeicherlast (Datenbanken) wird eine deutliche Performanceeinbuße hinzunehmen sein. Egal ob mittelständische Unternehmen oder Betreiber von Serverfarmen - das könnte eine beispiellose Welle von Botnetzen auslösen, wenn das Problem nicht ausreichend kommuniziert wird.

Ich mag mir übrigens noch keine Vorstellung von den modernen IoT-Geräten machen, die mit Atom-Chip bestückt sind. Patches beim Toaster oder Kühlschrank? Fehlanzeige. Da darf man ebenfalls eine Welle von "Zombie"-Geräten erwarten.
Moment, soweit ich das verstehe ich der Bug nicht direkt ein Einfallstoor! Er kann dazu genutzt werden, Previlege-Escalation zu erreichen. Dafür ist aber erstmal eine Sicherheitslücke notwendig, die es erlaubt, Code auf dem System auszuführen.
Also reine Datenbankserver hinter einer Firewall haben nicht wirklich was ohne den Patch zu befürchten.
Denke mal für solche Systeme wird die Softwarelösung optional bleiben und nicht fest im OS integriert.

Sobald du bei nem iOT Gerät, Code ausführen kannst, ist die Sache sowieso schon gegessen, denn da gibt es meist keine großen zusätzlichen Sicherheitsmaßnahmen oder gar VMs.


Btw. wie kommt man hier dazu die Sache mit VW zu vergleichen? o_O
Bei VW hat man Dinge absichtlich getan. Hier ist es offensichtlich ein Fehler und wohl eher kaum ein fahrlässiger (man wird keinen Richter dazu bringen können zu denken: "wäre ich der Entwickler gewesen, wäre mir das aufgefallen!").
Denke dass auch in den USA, die Klagen jetzt nicht viel rausholen werden.
Allerdings könnte man Intel dazu zwingen, die Benchmarks mit denen sie werben, anzupassen.
 
Zuletzt bearbeitet:
Moment, soweit ich das verstehe ich der Bug nicht direkt ein Einfallstoor! Er kann dazu genutzt werden, Previlege-Escalation zu erreichen. Dafür ist aber erstmal eine Sicherheitslücke notwendig, die es erlaubt, Code auf dem System auszuführen.
Also reine Datenbankserver hinter einer Firewall haben nicht wirklich viel zu befürchten, auch ohne den patch.

Das ist prinzipiell korrekt. Allerdings ist es fahrlässig Single-Layer-Security aufzubauen. Für den Fall, dass es möglich ist, Code auf dem Server auszuführen, müssen weitere Maßnahmen Schlimmeres verhindern, z.B. in Form von VMs, Containerisierung oder das klassische Rechtesystem. Alle drei mit dem Intel-Bug hinfällig.
 
Ich mag mir übrigens noch keine Vorstellung von den modernen IoT-Geräten machen, die mit Atom-Chip bestückt sind. Patches beim Toaster oder Kühlschrank? Fehlanzeige. Da darf man ebenfalls eine Welle von "Zombie"-Geräten erwarten.

Das ist glaube ich auch ein sehr großes Problem...... immer mehr Leuten haben IoT Geräte zuhause. Das fängt ja schon bei vernetzten Feuermeldern an. Jedes Gerät könnte gekapert werden und Patches für solche Geräte? Werden wohl kaum erscheinen. Für Botnetzbetreiber ein Paradies.
Und das Einfallstor kann sich irgendwo anders im Netzwerk befinden.
 
Zuletzt bearbeitet:
@DragonTear
Natürlich benötigt man erstmal irgendwie Zugriff auf das System, um dort vom Speicherbereich auf andere Speicherbereiche zuzugreifen.

Aber Datenbankserver selbst sind aufgrund ihrer Datenbanksoftware anfällig. MySQL, Access etc. haben in der Vergangenheit zu Hauf bewiesen, löchrig genug zu sein, um Schadcode einzufügen. Wenn man dann bspw. von der Datenbank aus den RAM des Servers auslesen und ausleiten kann - super! Schauen wir doch mal, was neben der Datenbank sonst noch auf dem Server rennt. ;)

Du musst gar nicht die Server an sich attackieren, sondern die Software, die darauf läuft. Nichts anderes nutzen Hacker beim Einfall auf Server, Telefonanlagen etc. Die Firewall ist da hilflos, wenn die Software frei nach außen kommunizieren darf.

Das Problem der IoTs ist, dass die von den Herstellern aufgespielten Apps Sicherheitslücken haben. D.h. man attackiert wie bei Servern die Apps, die darauf liegen. Und wenn dann bspw. ein Sideload möglich ist - gute Nacht.
 
Das ist prinzipiell korrekt. Allerdings ist es fahrlässig Single-Layer-Security aufzubauen. Für den Fall, dass es möglich ist, Code auf dem Server auszuführen, müssen weitere Maßnahmen Schlimmeres verhindern, z.B. in Form von VMs, Containerisierung oder das klassische Rechtesystem. Alle drei mit dem Intel-Bug hinfällig.
Es wird in einer Server-Infrastruktur sehr selten von aussen durch nur eine Firewall, auf einen Server zugegriffen.
Nehmen wir z.B. netflix. Ein herkömmlicher Server stellt die Weboberfläche bereit und bietet die einzige bidirektional Kommunikationsschnittstelle nach aussen.
Soll ein Film abgerufen werden, wird der Datenbankserver vom Frontend-Server angesprochen und streamt die Daten eindirektional nach aussen.
 
müssen weitere Maßnahmen Schlimmeres verhindern, z.B. in Form von VMs, Containerisierung oder das klassische Rechtesystem. Alle drei mit dem Intel-Bug hinfällig.
Genau so schaut's aus.

Der Intel-Bug ist ein WorstCase-Szenario!

Jede Sicherheit, die mit VMs bislang erreicht wurde, kann ohne den Patch umgangen werden. Wenn man auf VM1 Schadcode einschleusen konnte, hat man Speicherzugriff auf den kompletten Server - und damit den Speicherinhalt von VM2, VM3, VM4, ... VMx! Und bei Serverfarmen von Hetzner & Co. ein Fiasko. Von Google- & Amazon-Cloud ganz zu schweigen.
 
Es wird in einer Server-Infrastruktur sehr selten von aussen durch nur eine Firewall, auf einen Server zugegriffen.

Dann ist es halt nicht die Datenbank, sondern der Load Balancer. Gleiches Problem. Mit genügend Arbeit wäre es aber sicherlich auch möglich sich vom Load Balancer bis zur Datenbank zu arbeiten.
 
Jep. Javascript läuft ja (so hat man es mir zumindest beigebracht) auch in einer Sandbox. Praktisch sind sämtliche Programme, die aus Sicherheitsgründen vom Kernel-Speicherbereich isoliert wurden, damit nicht mehr sicher (jedenfalls, wenn das Betriebssystem den Intel-CPU-Bug nicht gepatcht hat).
Auch einige WIndows-Viren müssten dadurch beispielsweise über Wine auf Linuxgeräten Schaden anrichten können, während das eigentlich unmöglich sein sollte.

Der Fix ist also absolut nötig und die Admins von Datenbanken dürfen sich um eine etwa 20% schlechtere Performance freuen.
 
Es sind 2-3% bei FullHD mit Low Presets AC Origins. Das ist natürlich ne menge und fällt beim Zocken gaaaanz sicher voll ins Gewicht ;-) CB hat in Bezug auf AC Origins einen unterschied von 4,3 FPS feststellen können.
für 2-3% haben leute schon 100€ aufpreis von i5 auf i7 gezahlt.
 
Naja, warten wir mal ab, ob die Workarounds noch optimiert werden können.

Zum Glück hat Intel noch viel Zeit, die Architektur von CannonLake anzupassen... :fresse:
 
Schön gemacht Intel. Nachdem man praktisch 10 Jahre nicht mehr aufrüsten musste direkt mal so ein Hammer. So generiert man Absatz.
Das muss jetzt Klagen hageln. Diesen mist den sie mit der ME verzapft haben und jetzt ist jeder Prozessor ein Sicherheitsleck.
 
Geh' besser in's Bett, ist zu spät für dich.

Bei normalen Einstellungen in 1080p/High gibt es keinen messbaren Unterschied. Bei 1080p/low gibt es einen "Einbruch" um 3% von 126 auf 122fps. Also mach' dich nicht lächerlich.

Gamer sind nicht betroffen.

Gamer sind wie alle Betroffen von der Sicherheitslücke. Also gehe du lieber schlafen. Wie die Leistung nach den Patch ist kann man noch gar nicht sagen, da bis jetzt nur mit einen Beta Patch getestet wurde. Und wie man MS kennt kann beim Patchen noch schlimmeres passieren.

- - - Updated - - -

Was ich eigenartig finde, das der Bug seit 10 Jahren besteht und erst jetzt gemeldet wird. Wer böses dabei denkt. Nächster PC wird wahrscheinlich ein AMD. Wenn nicht Intel ordentlich bezahlt für den Bug.
 
Javascript ist eine intepretierte Programmiersprache. Da hast du keinen direkten Zugriff auf Speicheradressen o.ä.

Laut dieser Seite geht es dennoch:
theregister.co.uk schrieb:
It allows normal user programs – from database applications to JavaScript in web browsers – to discern to some extent the layout or contents of protected kernel memory areas.
Quelle
 
Wie die Leistung nach den Patch ist kann man noch gar nicht sagen, da bis jetzt nur mit einen Beta Patch getestet wurde. Und wie man MS kennt kann beim Patchen noch schlimmeres passieren.
:lol:

Der Patch ist da, Microsoft bastelt da seit Wochen/Monaten dran.

Und die Windows Insider 17063 ging am 19.12.2017 in den Fast Ring. So lange gibt es den Patch schon.

Da dieser kritische Intel-Bug nun öffentlich gemacht wird, bedeutet das, dass die Patches final sind. Die offiziellen Statements kommen morgen.

Und dein Bezug auf die VM von Denuvo ist ein schlechter Scherz. Die Idee hinter dieser VM ist eine gänzlich andere, da hast du keinen Zugriff drauf. Interessanterweise könnte der Intel-Bug jedoch dazu führen, dass die Cracker nun Zugriff auf die "VM Protect" haben. ABer das ist ein anderes Thema.

Jedenfalls schrieb ich bereits weiter vorne, dass alle betroffen sind, die Intel-CPUs nutzen. Aber deine Darstellung für die Gamer trifft nicht zu. Es gibt keinen spürbaren Leistungsverlust und keine Gefahr durch "Denuvo VM Protect".
 
Javascript ist eine intepretierte Programmiersprache. Da hast du keinen direkten Zugriff auf Speicheradressen o.ä.
Erster Teil ja, zweiter Teil nein.

Du kannst mit Javascript Speicherbereiche abfragen, um bspw. Nutzereingaben anzunehmen, zwischenzuspeichern und später erneut abzurufen und zu verwenden. Javascript ist sehr flexibel - und wenn es es seiner Sandbox ausbrechen kann, saugefährlich.
 
3. Update: Stellungnahme von Intel: Intel kämpft mit schwerer Sicherheitslücke im Prozessor-Design (Update: Windows-Benchmarks) - Hardwareluxx

In der Stellungnahme weist Intel die bishergen Annahmen und Aussagen zurück, nur Intel-Prozessoren seien von dem Problem betroffen. Allerdings nennt Intel keine Namen und spricht nur von vielen unterschiedlichen Herstellern von Prozessoren und Betriebssystemen. Man arbeite auch mit Unternehmen wie AMD und ARM zusammen, um eventuelle Sicherheitsrisiken auszuschließen. Dies impliziert natürlich auch, dass deren Prozessoren ebenfalls betroffen sind.
 
Zuletzt bearbeitet:
Ich finde den Artikel wirklich gut!
Die Benchmarks lasse ich als Spielerei durchgehen bzw. sind für die nächsten Tage/Wochen sicherlich eine gute Ausgangsbasis.

Dass eine ganze Architektur das Problem hat und das nur Softwareseitig kompensiert werden kann ist schon eine wilde Sache.
Wer seine Gerätschaften bei Intel erstanden hat und seine Leistung nicht mehr abrufen kann wird ein ungepatchtes System haben oder vorzeitig das System erneuern müssen, wenn die Kapazitäten eng werden.

Und für den wird es in 90% der Fälle nichts geben.
 
Also Intel hat auf jeden Fall klar gesagt dass es nicht nur ihre Produkte wären:

Recent reports that these exploits are caused by a "bug" or a "flaw" and are unique to Intel products are incorrect. Based on the analysis to date, many types of computing devices -- with many different vendors' processors and operating systems -- are susceptible to these exploits.

Ob das stimmt, muss man natürlich testen. Bezweifle aber dass man jetzt offen gelogen hat, mit dieser Aussage. Das würde man ihnen zu lange anlasten.
Auf AMD wird in der tat nicht direkt verwiesen.
 
Ob das stimmt, muss man natürlich testen. Bezweifle aber dass man jetzt offen gelogen hat, mit dieser Aussage. Das würde man ihnen zu lange anlasten.
Auf AMD wird in der tat nicht direkt verwiesen.
Naja, Intel muss eigentlich nur einen Hersteller finden, der ein ähnliches Design verwendet.

Hat eigentlich schon jemand VIA und die Chinesen gefragt? :fresse:
 
@bawder

Hast du ne Quelle dazu?
 
Zuletzt bearbeitet:
Na klar: Linux Will End Up Disabling x86 PTI For AMD Processors - Phoronix
Intel hat sich einfach mal erdreistet jeden Prozessor als unsicher zu brandmarken und AMD hat diesen Schwachsinn für ihre Prozessoren wieder rausgepacht und einzelne Distributionen haben den Amd Patch auch schon in ihre Kernel integriert.
Ich mein intel geht's noch ihr baut Scheiße und seit unfähig die Scheiße auszubügeln ohne andere mit in die Scheiße zu reiten und die anderen müssen eure Scheiße wieder rauspatchen.
Entschuldigung für die Wortwahl.
 
Das frage ich mich gerade auch........
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh