Intel: Details und Benchmarks zur Sicherheitslücke in allen CPUs

  • Spekulationen über eine potenziell massive Sicherheitslücke in allen Intel-CPUs sorgen für Aufsehen, weil zum Umgehen dieses Hardware-Bugs tiefgreifende Umbauarbeiten an Betriebssystemen erforderlich sind, die sich negativ auf die Leistung auswirken können. Intel weist die alleinige Schuld von sich. ComputerBase hat Benchmarks. Die Entwickler des Linux-Kernels haben in den letzten Wochen tiefgreifende Umbauarbeiten am [url='https://de.wikipedia.org/wiki/Virtuelle_Speicherverwaltung']Virtual-Memory-Subsystem[/url] des Kernels vorgenommen. Nicht-trivialen Änderungen an diesem zentralen Teil des Linux-Kernels gehen sonst üblicherweise monate- oder jahrelange Diskussionen voraus. Und als wäre das noch nicht genug, werden diese großen Patches aktuell nicht nur in die kommende Version 4.15 des Linux-Kernels eingebaut, sondern auch in die bereits veröffentlichten stabilen Versionen 4.9 und 4.14 mit Long-Term-Support (LTS) zurückportiert. Aufmerksamen Beobachtern wird zunehmend klar, dass es für diese insbesondere über die Feiertage außergewöhnliche Hektik einen triftigen Grund geben muss. [size=12]Eine offenbar massive Lücke in Intel-CPUs[/size] Dem aktuellen Vernehmen nach verhindern die Patches das Ausnutzen einer massiven Sicherheitslücke in allen Intel-CPUs. Offenbar kann ein Prozess eine Intel-CPU durch Ausnutzen eines Hardware-Bugs dazu bringen, Speicherbereiche spekulativ zu laden und den Zugriff darauf dann ohne weitere Prüfung zu erlauben, ohne dass der Prozess die erforderlichen Rechte hat. So kann ein unprivilegierter Prozess auf den Speicher des Kernels zugreifen, in welchem sich sensible Daten befinden können. Besonders prekär ist das für Cloud-Provider wie [url='https://www.computerbase.de/thema/amazon/']Amazon[/url] und [url='https://www.computerbase.de/thema/google/']Google[/url], die ein Ausbrechen aus virtuellen Maschinen verhindern wollen. Darüber hinaus könnte die als „Defense in Depth“ eingesetzte Sicherheitstechnik [url='https://de.wikipedia.org/wiki/Address_Space_Layout_Randomization']Address Space Layout Randomization[/url] (ASLR) des Kernels ausgehebelt werden. [size=12]Für Linux gibt es einen Workaround[/size] Der von den Linux-Entwicklern für diesen Hardware-Bug in Intel-CPUs jetzt eingebaute Workaround namens [url='https://lwn.net/SubscriberLink/741878/78d70a9fed62f496/']Kernel Page-Table Isolation[/url] (PTI bzw. KPTI) sorgt dafür, dass der Speicherbereich des Kernels nicht mehr in den Speicherbereich der Prozesse gemappt wird. Mit PTI sieht ein Prozess also nur noch seinen eigenen Speicherbereich. Der Speicherbereich des Kernels ist für ihn schlicht unsichtbar, sodass eine offenbar leicht auszuhebelnde Zugriffsprüfung keine Rolle mehr spielt. Kleiner Exkurs: Prozesse arbeiten mit virtuellen Speicheradressen („Virtual Memory“) beginnend bei 0. Es ist die Aufgabe des Kernels, eine freie Stelle im RAM (oder im Swap bzw. der Auslagerungsdatei) zu finden und diese virtuellen Adressen zur Laufzeit des Prozesses in physische Adressen zu übersetzen. So können mehrere Prozesse nebenläufig ausgeführt werden ohne sich ins Gehege zu kommen oder gegenseitig ihre Speicherbereiche lesen oder überschreiben zu können. Damit diese Abstraktion sich nicht negativ auf die Leistung auswirkt, verfügt jede CPU über einen speziellen Cache namens [url='https://de.wikipedia.org/wiki/Translation_Lookaside_Buffer']Translation Lookaside Buffer[/url] (TLB), der das Übersetzen einer logischen Adresse in eine physische Adresse beschleunigt. Obwohl sich PTI nach einer einfachen Lösung anhört, hat die Sache einen gewaltigen Haken: Wenn der Speicherbereich des Kernels nicht mehr in den Adressbereich der Prozesse gemappt wird, erfordert jeder Aufruf einer vom Kernel bereitgestellten Funktion ([url='https://de.wikipedia.org/wiki/Systemaufruf']Systemaufruf[/url]) das Leeren des für die Performance überaus wichtigen Translation Lookaside Buffer. Normalerweise ist das Leeren des TLB nur bei einem Prozesswechsel erforderlich – also wenn der Kernel alle paar Millisekunden einen Prozess pausiert und mit der Ausführung des nächsten Prozesses fortfährt. Mit PTI muss der TLB zusätzlich dazu auch vor und nach jedem Syscall geleert werden. Die zu erwartenden Leistungseinbußen hängen also stark davon ab, wie oft ein Prozess Syscalls nutzt. Im Endeffekt rechnen die Linux-Entwickler durch PTI mit Performance-Einbußen von rund 5 Prozent, in bestimmten Benchmarks können es aber offenbar auch fast 50 Prozent sein: [size=12]AMD-Prozessoren sind nicht betroffen[/size] Dass dieser Benchmark auf einem AMD-System durchgeführt wurde, obwohl AMD-CPUs von der Sicherheitslücke nicht betroffen sind und PTI dort nach jetzigem Stand überflüssig ist, entbehrt nicht einer gewissen Ironie. Grund zur Annahme, dass die Leistungseinbußen auf Intel-CPUs deutlich anders ausfallen würden, gibt es aber nicht. Trotzdem ist dieser Benchmark vermutlich der absolute Worst-Case und in weniger speziellen Benchmarks dürften die Leistungseinbußen deutlich geringer bis kaum noch messbar ausfallen. Die [url='https://lkml.org/lkml/2017/12/27/2']Aussage des AMD-Entwicklers[/url], derzufolge die eigenen Prozessoren von der Sicherheitslücke nicht betroffen sind, lautet wie folgt: [i]AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault.[/i] [i]Disable page table isolation by default on AMD processors by not setting the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI is set.[/i] Tom Lendacky, AMD Weil die Sicherheitslücke von einem Hardware-Bug in Intel-CPUs ausgelöst wird, sind neben [url='https://www.computerbase.de/thema/linux/']Linux[/url] natürlich auch [url='https://www.computerbase.de/thema/windows/']Windows[/url], [url='https://www.computerbase.de/thema/macos/']macOS[/url] und andere Betriebssysteme von dem Problem betroffen, wenngleich aufgrund des offenen Entwicklungsmodells die Linux-Workarounds zuerst publik geworden sind. Auch [url='https://www.computerbase.de/thema/microsoft/']Microsoft[/url] arbeitet bereits an einem ähnlichen Isolations-Feature, wie Entwickler Mitte November festgestellt hatten („KAISER“ ist die damalige Bezeichnung für KPTI): [url]https://twitter.com/aionescu/status/930412525111296000/photo/1[/url] ComputerBase hat [url='https://www.computerbase.de/thema/intel/']Intel[/url] um Stellungnahme zu dem angeblichen Hardware-Bug gebeten. [url]https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/[/url]

    Ich rieche so gut, weil ich zu 80% aus Orangenhaut bestehe!

  • [size=12]Prozessor-Bug: Intel-Chef stieß hunderttausende Aktien ab, Börsenkurs sackt ab [/size][size=12][/size] Brian Krzanich verkaufte im November 2017 eine riesige Anzahl von Intel-Aktien. Die CPU-Lücke war dem Unternehmen seit Juni bekannt. Die Berichte über die Sicherheitslücke von Intel-Prozessoren hat sich direkt an der Börse niedergeschlagen: Seit dem ersten öffentlichen Bekanntwerden der Lücke am 2. Januar verlor die Intel-Aktie an der New Yorker Börse zeitweise um bis zu 7 Prozent an Wert. Am 3. Januar [url='https://finance.yahoo.com/quote/INTC?p=INTC']schloss die Aktie mit einem Verlust von 3,4 Prozent bei 45,26 US-Dollar[/url]. Zugewinne konnte der Konkurrent AMD verbuchen, dessen Prozessoren von der Sicherheitslücke zumindest nicht in dem Umfang betroffen sein sollen. Der Kurs stieg zunächst um gut 11 Prozent auf 12,14 US-Dollar, gab zum Börsenschluss aber wieder [url='https://finance.yahoo.com/quote/AMD/chart?p=AMD#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%3D']etwas nach auf 11,55 US-Dollar[/url]. [size=12]Intel-Chef verkaufte hunderttausende Aktien[/size] Intel-Chef Brian Krzanich verkaufte einige Monate, nachdem Intel von Google über die Prozessorlücke informiert wurde, hunderttausende Intel-Aktien und verblieb nur noch mit seinem Pflichtanteil. (Bild: Intel) Für Diskussionen sorgt derweil [url='https://www.marketwatch.com/investing/stock/intc/insiders?pid=74228115']der massive Aktienverkauf von Intel-Chef Brian Krzanich[/url], der am 29. November 2017 Intel-Aktien im Wert von 24 Millionen US-Dollar abstieß. Damals war der Öffentlichkeit die Sicherheitslücke noch nicht bekannt – [url='http://www.businessinsider.de/intel-ceo-krzanich-sold-shares-after-company-was-informed-of-chip-flaw-2018-1?op=1&r=US&IR=T']laut Businessinsider[/url] erfolgte der Verkauf allerdings einige Monate nachdem Intel von Google über eine schwerwiegende Sicherheitslücke der Prozessoren informiert wurde. Das soll nämlich schon im Juni passiert sein. Bereits im vergangenen Jahr wurde der Aktienverkauf Krzanichs [url='https://www.fool.com/investing/2017/12/19/intels-ceo-just-sold-a-lot-of-stock.aspx']kontrovers diskutiert[/url]. Krzanich soll seitdem nur noch den von Intel geforderten Pflichtanteil halten – also 250.000 Aktien (derzeitiger Wert rund 11,3 Millionen US-Dollar). Intel zufolge [url='http://www.businessinsider.de/intel-ceo-krzanich-sold-shares-after-company-was-informed-of-chip-flaw-2018-1?op=1&r=US&IR=T']soll der Aktienverkauf nichts mit der Prozessor-Schwachstelle zu tun haben[/url]. [size=12]Performance-Einbußen unklar[/size] Berichten zufolge soll die Sicherheitslücke zahlreiche Intel-Prozessoren der letzten Dekade betreffen. Die Lücke [url='https://www.heise.de/meldung/Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patches-3931562.html']soll es Angreifern ermöglichen, sensible Daten aus Speicherbereichen auszulesen und lässt sich offenbar nur durch aufwendige Sicherheits-Patches in Betriebssystemen wie Linux, Windows und macOS schließen[/url]. Dies soll allerdings auch Performance-Einbußen zur Folge haben – hierbei wurde kurz nach Bekanntwerden der Lücke je nach Workload von Einbrüchen um bis zu 30 Prozent spekuliert. Intel wiederum behauptet, dass die Performance-Einbußen für die Anwender kaum bemerkbar seien. [size=12]Auch andere Prozessoren betroffen[/size] [url='https://newsroom.intel.com/news/intel-responds-to-security-research-findings/']Intel betonte[/url] außerdem, dass die Lücke [url='https://www.heise.de/meldung/Gravierende-Prozessor-Sicherheitsluecke-Nicht-nur-Intel-CPUs-betroffen-erste-Details-und-Updates-3932573.html']nicht nur Intel-Prozessoren betreffe[/url], sondern auch auf anderer Hardware ausgenutzt werden könne. Google führte aus, dass auch AMD- und ARM-Prozessoren betroffenen sein sollen und auch Android-Systeme gefährdet seien. [url='https://www.heise.de/meldung/Gravierende-Prozessor-Sicherheitsluecke-Nicht-nur-Intel-CPUs-betroffen-erste-Details-und-Updates-3932573.html']AMD erklärte[/url], dass die Prozessoren [url='https://www.amd.com/en/corporate/speculative-execution']nur bei einer von drei Angriffsvarianten[/url] der Google-Analysen betroffen sein sollen. ([email=mfi@ct.de]mfi[/email]) [url]https://www.heise.de/newsticker/meldung/Prozessor-Bug-Intel-Chef-stiess-hunderttausende-Aktien-ab-Boersenkurs-sackt-ab-3932649.html[/url] [size=12][/size]

    Ich rieche so gut, weil ich zu 80% aus Orangenhaut bestehe!

  • [size=12]Meltdown und Spectre: Update für Windows 10 legt einige PCs lahm[/size][size=12][/size] Das von Microsoft eilig bereitgestellte Update KB4056892 führt laut Nutzerberichten auf einigen AMD-Systemen zu einem Bootfehler und lässt sich auf anderen PCs nicht installieren. Das Windows-10-Update, das Microsoft in der Nacht zum 4. Januar eilig herausgegeben hat, um den [url='https://www.heise.de/security/meldung/Gravierende-Prozessor-Sicherheitsluecke-Nicht-nur-Intel-CPUs-betroffen-erste-Details-und-Updates-3932573.html']gravierenden Prozessor-Sicherheitslücken Meltdown und Spectre[/url] zu begegnen, führt seinerseits zu Problemen. Von Anfang an war bekannt, dass es inkompatibel zu einigen Viren-Schutzprogrammen ist. Hersteller wie Kaspersky oder Avast haben für ihre Programme deshalb schon Updates bereitgestellt oder angekündigt, die man vorab installieren sollte. Nun klagen einige Nutzer von PCs mit AMD-Prozessoren in verschiedenen Microsoft-Foren ([url='https://answers.microsoft.com/en-us/windows/forum/windows_10-update/january-3-2018-security-update-for-windows/5ea55bf0-648a-4f64-b0f6-7ddf0c1a3473?auth=1']1[/url], [url='https://answers.microsoft.com/en-us/windows/forum/windows_10-update/windows-stop-working-when-its-time-to-restart/a44ffd34-e190-4475-96a3-912b9e54d9e1']2[/url], [url='https://answers.microsoft.com/en-us/windows/forum/windows_10-update/after-installation-of-kb4056892-boot-failure-after/6c015632-2a45-4725-a882-f231f8c88f36']3[/url]) darüber, dass ihre Systeme nach dem Versuch, [url='https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892']KB4056892[/url] zu installieren, unbrauchbar geworden sind – auch ohne installierten Virenschutz. Sie ließen sich nicht mehr starten und zeigten den Fehler 0x800f0845. Einige Anwender konnten sich damit behelfen, Windows auf einen Wiederherstellungspunkt vor dem Update zurückzusetzen. Andere Nutzer beklagen sich darüber, dass ihre Web-Browser abstürzen. Zunächst bleibt dabei das Fenster des Browers weiß und friert für einige Sekunden ein. Danach stürzt das Programm vollständig ab. Erwähnt werden zumindest Chrome und Firefox. In einigen [url='http://windowsreport.com/kb4056892-issues/']US-Berichten[/url] heißt es zudem, dass das Update inkompatibel zu einigen Apps und Treibern sei, die nach der Installation nicht mehr laufen. Dies erscheint aber angesichts der üblichen Schwierigkeiten bei Software-Aktualisierungen ein kleineres Problem zu sein. ([email=jes@ct.de]jes[/email]) [url]https://www.heise.de/security/meldung/Meltdown-und-Spectre-Update-fuer-Windows-10-legt-einige-PCs-lahm-3935460.html[/url] [size=12][/size][color=#FF0000][b]Und den Rest müsst ihr dann selber lesen[/b][/color], [url='http://www.pcgameshardware.de/CPU-Hardware-154106/News/Meltdown-Spectre-Intel-Modelle-Berichte-Leistungsverluste-1247280/']das[/url] wird mir jetzt zu kryptisch!

    Ich rieche so gut, weil ich zu 80% aus Orangenhaut bestehe!

  • Und immer, besonders in diesem Fall sollte man sein System auf den auf dem neuesten Stand halten. Betriebssystem ( egal ob Windows 7, 8 oder 10 ), Antivierenprogramm, Browser aktualiesieren...