Meltdown und Spectre - Oder warum die Kacke am dampfen ist!

Es gibt 16 Antworten in diesem Thema. Der letzte Beitrag () ist von Darklord.

  • Meine Lieben.


    Wir haben ein Problem!



    Unsere schönen Kisten sind sehr sehr anfällig.



    Es gibt in unseren Prozessoren Bugs, die es ermöglichen, Speicher auszulesen, die nicht dafür gedacht sind.


    So können zum Beispiel Passwörter im Klartext gelesen werden, verschlüsselungen dechiffriert werden und Texte werden im Klartext sichtbar, was so nicht sein sollte.



    MELTDOWN und SPECTRE sind die Namen dieser Sicherheitslücken.


    AMD wiegelt ab, hat aber auch Probleme.


    Worum gehts?


    CPUs können, wenn sie gerade nichts zu tun hat, "spekulative Berechnungen" durchführen und diese werde im Cache gespeichert. Zum Beispiel berechnet die CPU einen Mausklick vor, eine Programmöffnung, eine Eingabe oder ähnliches.


    Über diese Operationen können aber Programme gezielt auf Kernelbereiche zugreifen (Quasi das Herz des Betriebssystems), die nicht dafür gedacht sind, dass sie gelesen werden.


    Wie kommts?


    Durch diese Spekulative Berechnungen wird die Geschwindigkeit zunächst allgemein erhöht. Diese Berechnungen werden aber in ungesicherte Bereiche gespeichert, wodurch darauf zugegriffen werden kann.



    Und nun?



    Windows hat einen ersten Patch veröffentlicht. Für Windows 10 ist er bereits verteilt. Windows 8.1/8 und 7 folgen am Patchday (Nächste Woche Dienstag).

    MacOS wurde anscheinend schon im Dezember gepatched.



    Wo Problem?!


    Dieser Bug betrifft alle CPUs. Meltdown nur Intel (Soweit bekannt), Spectre aber alle! (Spectre ist nicht ganz so tragisch wie MELTDOWN, dazu in den Links mehr)

    Also sind auch unsere Smartphones, Netzwerkgeräte und viele weitere betroffen.


    Patched man halt? Das ist leider bei vielen Geräten ein Problem. Viele Android Telefon und Netzwerkgeräte bekommen seit Monaten keine Updates mehr, wodurch sie potentiell unsicher sind.


    In den Nachrichten wird das ganze ziemlich aufgebauscht. Zu Recht? Eventuell. Diese Bugs stellen große Probleme für Serverbetreiber dar, da diese viel mit VMs(Virutelle Maschinen) arbeiten. Eine VM ist ein sehr sicherer Ort, da Programme, die dort ausgeführt werden, nicht auf das Hauptsystem zugreifen können. Durch diesen Bug wird dies aber ermöglicht, dass Programme aus der VM rausbrechen können und andere Bereiche lesen können...


    Weitere Probleme?


    Möglicherweise ja. Warum? Weil die Fehlerquelle hardwarebedingt ist und durch Mikroupdates der CPUs gefixt werden muss. Bis das aber passiert, gibt es nur Softwarepatches, die diese Spekulativen Berechnungen deaktivieren und/oder stark einschränken. Dadurch kann/kommt es bisher zu Leistungseinbußen. Je nach System und Anwendungsszenario 5-30%



    Ich schreibe bewusst immer nur lesen, da durch diese Bugs keine Dateien manipuliert werden können, sondern nur gelesen.



    Entdeckt wurde der Bug von Google und es wurde unter Klauseln an die betroffenen Partner weitergegeben. MacOS wurde anscheinend schon im Dezember gepatched.



    Quellen und zum weiterlesen:

    Golem #1

    Golem #2

    Google PROJECT ZERO Blog

    The Verge zum Vorfall



    Mir ist bewusst, dass ich das Ganze ziemlich runtergebrochen habe, dient der Verständlichkeit.



    Ich werde diesen Thread updaten, wenn es was neues gibt.

  • Ja das macht z.Zt. die Runde. Erst war es Panikmache mit den Leistungseinbußen bis 30 %, Das wäre natürlich ein Desaster. Experten halten aber Einbußen um 2 % für realistischer. Das würde sich also so gut wie gar nicht beim Heimrechner bemerkbar machen. Bei Servern sieht das evtl. anders aus.:/

    Was man aber aus Panik AUF KEINEN FALL MACHEN SOLLTE, was aber einige Spinner empfehlen, ist es, die Updates auszusetzen oder das Betriebssystem von 10 auf 7 downzugraden, damit man Updates nicht mehr "aufgezwungen" bekommt. Das ist sicherheitstechnisch totaler Mist.:thumbdown:

  • Ja das macht z.Zt. die Runde. Erst war es Panikmache mit den Leistungseinbußen bis 30 %, Das wäre natürlich ein Desaster. Experten halten aber Einbußen um 2 % für realistischer. Das würde sich also so gut wie gar nicht beim Heimrechner bemerkbar machen. Bei Servern sieht das evtl. anders aus.:/



    Was man aber aus Panik AUF KEINEN FALL MACHEN SOLLTE, was aber einige Spinner empfehlen, ist es, die Updates auszusetzen oder das Betriebssystem von 10 auf 7 downzugraden, damit man Updates nicht mehr "aufgezwungen" bekommt. Das ist sicherheitstechnisch totaler Mist.:thumbdown:

    Deswegen schrieb ich ja, je nach Anwendungsszenario. Server werden davon betroffen sein, da dort sehr viele VMs auf einer CPU laufen.



    Wer empfiehlt denn sowas blödes?

  • Erste Benchmarks bescheinigen Einbußen in der Leistung.


    Diese sind aber marginal und im Alltag nicht spürbar.


    Betroffen sind vor allem SSDs, da diese beim schreiben stark von "speculative operating" profitieren. Ob die SSD jetzt eine Sekunde länger braucht, davon stirbt man nicht.


    Wir reden also von Leistungseinbußen von 1-2%.

    Gaming, Rendering etc. ist nicht betroffen.


    Benchmarks




    Ich habe den aktuellen Windows Patch installiert und merke keinen Unterschied.



    Edit:



    Es ist anzumerken, dass es sich dabei um den ersten Patch handelt. Dieser wurde schnell zusammengeschustert um das Problem zu beheben. Im Laufe der Zeit kommen weitere, bessere Updates.


    Dadurch ist anzunehmen, dass die Leistungseinbußen sich verringern/ganz verschwinden. Zu bedenken ist auch, dass hier ein HARDWAREPROBLEM mit SOFTWARE gelöst werden soll.



    Intel verspricht Updates für alle CPUs der letzten fünf Jahre in der kommenden Woche.



    AMD hat sich bislang nicht groß zu Updates geäußert. AMD hat aber auch gesagt, sie seien nicht betroffen, was nachweislich falsch ist..Von Spectre sind alle modernen CPUs betroffen.

    3 Mal editiert, zuletzt von Keksi226 () aus folgendem Grund: Link korrigiert Das ist aber lieb, dass der PoooMukkel, meine Beiträge editiert! Edit 2: Randinfo

  • War ja irgendwie zu erwarten, dass das alles wieder mehr Panikmache war, als wie es letztendlich ist. Also bleibe ich bei Windows 10 (hatte eh nicht vor, wegen des Patches zu wechseln), lasse den Patch installiert und freue mich über die geschlossene Sicherheitslücke. :daumen:

  • Danke für die Benchmarkinfo Keksi.:thumbup:


    Das mit den 30 % war natürlich übertrieben aber das Microsoft jetzt so schnell reagiert hat (früher als geplant) zeigt schon, dass die Branche die Sicherheitslücke sehr ernst nimmt. Deshalb, lieber übertreiben als verschweigen.^^

  • Ich habe dahinter zuerst einen Trick vermutet um die CPU Verkaufszahlen anzukurbeln.


    Wie damals beim Y2K-Bug/Betrug,als angeblich kein Rechner mehr funktionieren sollte nach dem 01.01.2000,was ja nachweislich Humbug war.


    Ich bin regelrecht paranoid was solche in den Medien aufgebauschten Themen angeht,daher bin ich froh das hier gelesen zu haben.

    Eine verständliche Erklärung der Problematik ohne Panikmache.


    dafür ein herzliches Dankeschön:thumbup:


  • Danke an unseren Spocki für den folgenden Hinweis.


    Direkt von Ashampoo gibt es ein kleines Tool, mit dem man schnell prüfen kann, ob man noch von dem "Problem" betroffen ist oder eben nicht.

    Ashampoo® Spectre Meltdown CPU Checker - Übersicht


    Einfach die EXE starten und das Ergebnis abwarten, welches dann so aussehen könnte...



  • Das kann man auch mit Windows Powershell überprüfen, mittels Skript von Microsoft. Ist etwas aufwendiger dafür muss man aber kein extra Tool starten und Ashampoo trau ich überhaupt nicht. Das ist hier gut erläutert.:)

    Warum MS allerdings nicht selber ein kleines Tool bereitstellt, mit dem man das schnell prüfen kann, weiß ich nicht.

  • Ich denke ich habe es doch nicht verwechselt. Es gibt auch einen Ashampoo Optimizer und das ist so ein Tuning tool. Die sollte man TUNlichst meiden.^^

    Daneben scheint die Firma aber ganz vernünftige Software zu produzieren.