Updates für AMD / Intel CPUs notwendig?

  • Bin in einigen Foren auf diese Themen gekommen, u.A. auch bei heise, und in einem Windows-Forum;
    was sollte man nun dringend beachten (bin kein Windows'er, sondern nutze Linux, und auch nur mit AMD, keine Intel), aber mein Unsicherheitsgefühlsfaktor liegt derzeit recht hoch :( Mir fehlt der Durchblick, hierbei :mrgreen:

    https://blog.mozilla.org/security/
    https://www.win-10-forum.de/artikel-news/2…wn-spectre.html

    https://www.heise.de/security/meldu…re-3933043.html

    https://www.win-10-forum.de/artikel-news/2…nux-mac-os.html
    https://www.win-10-forum.de/artikel-news/2…tch-bereit.html

  • Für Linux gibt es ja auch schon einen angesicherten Kernel - Version 4.14.11, den man auch dringend installieren sollte. Da ich parallel zu Windows ein Arch-Linux einsetze, habe ich dort nachgesehen und tatsächlich diesen Kernel über das reguläre Update erhalten; allerdings ist Arch Linux ja häufig schneller als andere Distributionen, wenn es um Aktualisierungen geht. Bei Linux sind auch weniger Probleme zu befürchten, da man dort ja keine Virenscanner einsetzt, und die scheinen ja einige Windows Updates in diesem Kontext auszubremsen.


  • bin kein Windows'er, sondern nutze Linux, und auch nur mit AMD, keine Intel

    Das hilft dir in diesem Fall nicht. Derzeit wird in diesem Zusammenhang von zwei Problemen gesprochen, Spectre und Meltdown. Sie betreffen laut Heise Windows, Linux, MacOs und Android. Neben Intel ist demnach auch AMD zumindest von einem Angriffsscenario betroffen.


    was sollte man nun dringend beachten

    Mein Rat wäre: Ruhe bewahren und sich nicht verrückt machen lassen!
    Es sind noch gar nicht alle Details veröffentlicht, und doch drehen einige schon am Rad. Die einen schreiben von 5% Performance-Verlust, andere gar von 30%. In den Foren regen und spielen sich die Leute auf, dabei weiß noch niemand genau, ob wir im Alltag überhaupt etwas davon bemerken werden.

    Zum Risko schreibt Heise:

    Zitat


    Klar scheint nach den Analysen von Google jedenfalls zu sein, dass man lokal Code auführen können muss, um einen Angriff einzufädeln.

    Wenn das stimmt, dann ist das zwar immer noch ein ernstes Thema. Allerdings sollte man zur Bewertung beachten, dass jemand, der lokal Code ausführen kann, auch ohne Ausnutzung dieser Lücken im Chip heimlich Passwörter und andere sensible Daten lesen kann. Sogar viel einfacher.
    Wer diese Chip-Lücke ausnutzen will, muss zunächst einmal die Information haben, wie das genau funktioniert. Diese Informationen sind noch nicht öffentlich. Einen Key-Logger hingegen kann schon jetzt jedes Script-Kid in Umlauf bringen.

    Man beachte auch den Hinweis von Microsoft, dass manche, leider nicht genannte, AV-Programme Probleme beim Installieren der Patches machen können. Unter Umständen werden diese Patches dann erst gar nicht bereitgestellt. Man kann das aber auf eigenes Risiko durch einen Registry-Hack umgehen. Das würde ich auf keinen Fall tun. Siehe dazu: https://support.microsoft.com/en-us/help/407…pdates-released

    Die Berichte erwecken den Anschein, als wären die Patches mit der heißen Nadel gestrickt worden. Außerdem ist zu lesen, dass dazu größere Eingriffe in den Kernel notwendig waren. Das kann ich beides nicht beurteilen.
    Trotzdem werde ich, soweit es meine Linuxinstallation betrifft, die Patches erst später installieren, wenn klar ist, dass sie nicht zu heiß waren.
    Für mein Windows 10 kann ich das Update nicht verhindern, außer durch die Installation eines nicht unterstützten AV-Programms ;) .

  • Casali: Saubere Zusammenfassung! :klasse:

    Zu den kompatiblen Virenscannern kann ich sagen, daß Avast bereits gestern reagiert hat und der Schlüssel in der Registry eingefügt wurde. Trotzdem wird mir das Update für mein Windows 7 professional von selbst nicht angeboten. Ich habe es manuell heruntergeladen, aber bisher noch nicht installiert. Ich denke, es wird am kommenden (Patch-)Dienstag automatisch angeboten und installiert werden.

    Auf meinem Windows 10 Notebook wird der Patch nicht angeboten, da dort ein (Firmen-)McAfee Scanner läuft, der es bisher versäumt hat, den korrekten Wert in der Registry einzutragen.

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Alle aktuellen Windows 10 Home Versionen sollten bereits mit Patchday 1 für dieses Jahr den Meltdown Patch automatisch erhalten haben. Natürlich liegt dieser auch für Pro Versionen vor, nur muss da ggf., je nach Konfiguration,das Update manuell gestartet werden. Ebenfalls liegt der Patch auch für andere Windows Versionen vor: http://www.catalog.update.microsoft.com/Search.aspx?q=2018-01

    Mehr Infos dazu auch bei Deskmodder: https://www.deskmodder.de/blog/2018/01/0…-aktiviert-ist/

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)


  • Mein Rat wäre: Ruhe bewahren und sich nicht verrückt machen lassen!

    Nach meiner Einschätzung ist die Zeit der Gelassenheit nun doch vorbei. Inzwischen liegen die detaillierten Beschreibungen zu Meltdown und Spectre für jedermann vor. https://meltdownattack.com/

    Aus der Conclusion:

    Zitat


    Without requiring any software vulnerability and independent of the operating system, Meltdown enables an adversary to read sensitive data of other processes or virtual machines in the cloud with up to 503 KB/s, affecting millions of devices.

    Die Dokumente beschreiben auch eine "end-to-end attack". Somit muss man davon ausgehen, dass versierte Angreifer sie auch zu nutzen wissen.
    Es gibt auf der Seite ein Video, das zeigt, wie über Meltdown Speicherinhalte ausgelesen werden. Das kann prinzipiell auch unbemerkt per JavaScript über eine entsprechend präparierte Webseite geschehen. Die neuesten Updates von Firefox und Chromium sollen das zumindest erschweren.

    Stand heute würde ich deshalb sehr dazu raten, die Updates durchzuführen und die verfügbaren Patches für die Betriebssysteme einzuspielen.
    Betroffen sind neben Intel und AMD wohl auch ARM-Chips und einige von nVIDIA. Neben Windows, MacOs und Android auch iOS.

    Mein Windows 10 hat sich heute automatisch gepatcht. Irgendeine spürbare negative Auswirkung auf die Performance habe ich bisher nicht festgestellt. Schon gar nicht die 30%, von denen teilweise in der Presse die Rede war.

    Zur Info vielleicht noch ein Hinweis zu der AV-Problematik, den ich heute in der Warteschlange beim Einkaufen aufgeschnappt habe. Verifizieren kann ich das nicht, aber es erschien mir glaubwürdig:
    Jemand erzählte dort, dass er das Windows 10 Update nicht bekommen habe, weil er früher mal eine 3rd-Party-AV-Software verwendet hatte. Die hätte er zwar nach dem Update auf Windows 10 deinstalliert, aber anscheinend haben verbliebene Einträge in der Registry dafür gesorgt, dass der Updater glaubte, die Software sei noch installiert. Deshalb sei das Update nicht durchgeführt worden. Nach der Bereinigung der Registry hätte es dann reibunglos geklappt.

  • Die neuesten Updates von Firefox und Chromium sollen das zumindest erschweren.

    Um das klarzustellen: Mozilla hat ein Sicherheits-Update für Firefox veröffentlicht, Microsoft hat Updates für den Internet Explorer und Edge veröffentlicht. Ein Update für Safari wird in den nächsten Tagen erwartet. Google wird nach eigenen Angaben aber erst am 23. Januar ein entsprechendes Sicherheits-Update veröffentlichen.

  • Die Browser von Microsoft und Apple habe ich nur der Vollständigkeit halber erwähnt. Mir ging es primär darum, dass es für den Google-Browser noch kein Sicherheits-Update gibt.

    Die Maßnahme für Chrome ist zwar grundsätzlich gut, geht aber nicht unerheblich zu Lasten des RAM-Verbrauchs und der ist bei Chrome ja eh schon höher als bei Firefox. Insofern wäre es schön, würde sich Google nicht so lange Zeit lassen…


  • Zur Info vielleicht noch ein Hinweis zu der AV-Problematik, den ich heute in der Warteschlange beim Einkaufen aufgeschnappt habe. Verifizieren kann ich das nicht, aber es erschien mir glaubwürdig:
    Jemand erzählte dort, dass er das Windows 10 Update nicht bekommen habe, weil er früher mal eine 3rd-Party-AV-Software verwendet hatte. Die hätte er zwar nach dem Update auf Windows 10 deinstalliert, aber anscheinend haben verbliebene Einträge in der Registry dafür gesorgt, dass der Updater glaubte, die Software sei noch installiert. Deshalb sei das Update nicht durchgeführt worden. Nach der Bereinigung der Registry hätte es dann reibunglos geklappt.


    Da stimmt, siehe Heise (weiter unten):
    https://www.heise.de/security/meldu…es-3932573.html

    Zitat

    Es gibt Probleme mit einigen Antivirus-Produkten. Betroffen ist Antiviren-Software, die laut Microsoft nicht unterstützte Aufrufe in den Windows-Kernelspeicher macht. Um die Kompatibilität ihrer Antiviren-Produkte mit dem Sicherheitsupdate zu dokumentieren, müssen die Hersteller einen bestimmten Registry-Key in Windows setzen; Microsoft dokumentiert dies in seinem Support-Hinweis.

    und Microsoft:
    https://support.microsoft.com/en-us/help/407…pdates-released

  • Den Link auf die Seite von Microsoft hatte ich oben ja schon gepostet. Ich habe das Thema deshalb erneut erwähnt, weil das Update dem Hörensagen nach sogar dann blockiert wird, wenn das ursächliche AV-Programm längst deinstalliert wurde. Angeblich allein aufgrund verbliebener Einträge in der Registry.
    Wie gesagt, ich kann das nicht verifizieren. Es war als Hinweis gedacht, dem jemand vielleicht nachgehen sollte, der das automatische Update nicht bekommt.

  • Noch ein Update:

    Ich habe eine Liste gefunden, der man entnehmen kann, ob ein AV-Programm supportet ist oder nicht: https://docs.google.com/spreadsheets/d…42FQ/edit#gid=0

    Außerdem gibt es noch eine wirklich schlechte Nachricht: Spectre wird sich wohl gar nicht durch Software Updates beheben lassen sondern nur mit neuen Prozessoren.
    Dieses Problem wird uns noch viele Jahre begleiten. Bis dahin müssen wir uns demnach mit Maßnahmen behelfen, die das Problem zwar nicht lösen aber immerhin erschweren, wie der Patch im Firefox 57.0.4:

    Zitat


    Spectre is a problem in the fundamental way processors are designed, and the threat from Spectre is “going to live with us for decades,” said Mr. Kocher, the president and chief scientist at Cryptography Research, a division of Rambus. [...] A fix may not be available for Spectre until a new generation of chips hit the market.

    “This will be a festering problem over hardware life cycles. It’s not going to change tomorrow or the day after,” Mr. Kocher said. “It’s going to take a while.”

    Die Aussage stammt von Paul Kocher, einem der beteiligten Forscher.

    Quelle: https://www.nytimes.com/2018/01/03/bus…uter-flaws.html
    Zu Paul Kocher: https://en.wikipedia.org/wiki/Paul_Kocher und https://de.wikipedia.org/wiki/Spectre_(Sicherheitsl%C3%BCcke)

    Zitat


    Spectre wurde unabhängig voneinander durch Forscher von Googles Project Zero und einer Gruppe um Paul Kocher entdeckt[2] und am 3. Januar 2018 in Zusammenhang mit der verwandten Sicherheitslücke Meltdown veröffentlicht.

    Es sieht so aus, als wäre das diesmal keine Schlagzeilenhascherei der Presse sondern wirklich ernst.


  • sie wird dadurch auch nicht wahrer.

    Ich hatte schon befürchtet, dass so etwas käme. Deshalb hatte ich extra Links gegeben, die zeigen, von wem diese Aussage stammt. Oder möchtest du mitteilen, dass du dich in dieser Sache besser auskennst als Paul Kocher und die anderen Forscher, die diese Lücke entdeckt haben und seit Monaten mit Intel & Co. zusammenarbeiten, um sie zu beheben?

    Du hast sehr schlecht recherchiert. Das Problem kann nicht durch Software behoben werden. Sämtliche Software Updates, selbst die die Firmware-Updates, werden das Problem Spectre nicht lösen. Sie werden es lediglich erschweren, es auszunutzen. Zum Beispiel, indem sie das Timing etwas ungenauer messbar machen. Der Fix von Mozilla macht etwas ähnliches. Gelöst ist Spectre damit nicht.

  • . Hermes verwechselt da wohl Meltdown und Spectre und ihre jeweiligen bereits erschienen Patches bzw. die Möglichkeiten dazu.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)


  • verwechselt da wohl Meltdown und Spectre

    Ich kann mich ja auch nur an die Informationen des Herstellers halten, siehe https://newsroom.intel.com/news-releases/…curity-exploits


    Du hast sehr schlecht recherchiert

    Danke für die Blumen.
    Sobald ich die Information des Herstellers habe, sind andere Meinungen nicht mehr relevant.

    Auch wenn der Mikrocode Software ist, firmiert diese unter Hardware und adressiert alle Programme und nicht nur ein singuläres Programm, wie es der Fx nun mal ist.


  • Sobald ich die Information des Herstellers habe, sind andere Meinungen nicht mehr relevant.

    Dann solltest du die Informationen aber auch richtig lesen. Der Hersteller behauptet nämlich mit keinem Wort, dass er das Problem mit dem Update lösen würde. Sie wählen ganz bewusst die Formulierung "that render those systems immune". Sie machen die Systeme nur immun, unter anderem durch den erwähnten Workaround beim Timing.
    Das Dumme ist nur, dieser Workaround kann schon morgen wieder hinfällig sein, wenn jemandem ein weiteres Angriffscenario neben den bisher bekannten einfällt. Der eigentliche Fehler im Design des Prozessors besteht nämlich weiterhin. Das macht den Unterschied zwischen "immunisieren" und "lösen".

    Ganz nebenbei, für die älteren Intel-CPUs, wie meine i5-650, wird es, stand heute, selbst diesen "Workaround" nicht geben.

    Ehrlich gesagt finde ich es ziemlich anmaßend von dir, dass du dich für schlauer hältst als Paul Kocher und die Forscher von Google sowie der Uni Graz. Deren Aussage dazu war eindeutig und auch Intel und AMD widersprechen dem nicht:

    Zitat


    A fix may not be available for Spectre until a new generation of chips hit the market.


  • Ich finde bei Intel leider keine neuen Microcodes


    Es ist noch etwas Geduld gefragt. Die Updates gibt es noch längst nicht für alle betroffenen CPUs. Nach meinem Kenntnisstand ist ebenfalls noch nicht geklärt, wie sie verteilt werden sollen.

    Laut Golem ist für die CPUs vor Haswell (vielleicht auch der Ivy Bridge E) bisher gar kein Update geplant. Intel schreibt, sie würden in der nächsten Woche Updates für 90% der CPUs liefern, die nicht älter als 5 Jahre sind. Das deckt sich mit der Einführung der Haswell, die 2013 erstmals verkauft wurden.
    Dazu, was bzgl. der anderen Prozessoren (Ivy Bridge, Sandy Bridge oder gar den alten Core 2 usw.) passieren soll, habe ich nichts finden können.