> > > > Fehlende Patches: Koordinierte Veröffentlichung zu Spectre-NG verschoben

Fehlende Patches: Koordinierte Veröffentlichung zu Spectre-NG verschoben

Veröffentlicht am: von

intelNach der ersten Welle der Spectre- und Meltdown-Sicherheitslücken Mitte Januar wurden in der vergangenen Woche eine zweite Welle potenzieller Gefährdungen bekannt. Zu Spectre-NG (Spectre Next Generation) gibt es bislang aber recht wenige Informationen, da Intel zusammen mit den Entdeckern eine koordinierte Veröffentlichung geplant hat, die eigentlich heute erfolgen sollte. Auch erste Patches waren für heute geplant.

Nun aber wurde bekannt, dass Intel eine koordinierte Veröffentlichung zusammen mit den ersten Patches 14 Tage später, also am 21. Mai plant. Offenbar war es nicht möglich die erforderlichen Updates fristgerecht fertig zu bekommen und so bat Intel um einen Aufschub, der auch gewährt wurde. Das Verhalten der beteiligten Sicherheitsforscher unterscheidet sich damit dramatisch von dem der CTS Labs und der kürzlich veröffentlichten Sicherheitslücken für AMD-Prozessoren.

Am besagten 21. Mail sollen die ersten Microcode-Updates veröffentlicht werden. Zudem sollen dann für mindestens zwei der Spectre-NG-Sicherheitslücken die technischen Hintergründe der Lücken selbst sowie eventuelle Angriffsvektoren veröffentlicht werden. Ob es allerdings beim 21. Mai bleibt, ist fraglich. Intel soll bereits um einen weiteren Aufschub bis zum 10. Juli  gebeten haben.

Von den Spectre-NG-Sicherheitslücken betroffen sein sollen alle Core-Prozessoren bis zurück zur Nehalem-Generation. Anfällig sind aber offenbar auch alle Pentium-, Celeron- und Atom-Prozessoren seit 2013. Damit geht die Anzahl der betroffenen Systeme in die Millionen und für dutzende Prozessoren müssen Microcode-Updates bereitgestellt werden. Diese müssen über die OEMs verteilt und zuvor auch von diesen getestet werden. Letztendlich aber kommt es auf den Nutzer an, ob dieser die Updates auch einspielt. Wie in einem solchen Fall üblich plant Intel eine Veröffentlichung der Patches und Microcode-Updates in Abhängigkeit von Aktualität des jeweiligen Prozessors sowie dessen Verbreitungsgrades. Aber klar ist, nicht alle Prozessoren werden in der ersten Welle abgedeckt sein. Derzeit steht der 14. August für die finalen Patches im Raum.

Von den acht bekannten Spectre-NG-Sicherheitslücken sollen durch die Patches zunächst einmal vier abgedeckt werden. Diese dürften das größte Gefahrenpotenzial vorzuweisen haben. Spectre-ähnliche Sicherheitslücken lassen sich nur über eine Kombination aus Patches für die Betriebssysteme und Microcode-Updates schließen. Updates für Windows, Linux, macOS und andere Betriebssysteme sollen ebenfalls bereits in Vorbereitung sein. Auch Spectre-NG soll durch Änderungen in der Hardware dauerhaft behoben werden. Ob dies schon wie bei den ersten Spectre-Lücken mit Cascade Lake der Fall ist, wird sich noch zeigen müssen.

Bis zur nun am 21. Mai geplanten Offenlegung aller Informationen zu den Spectre-NG-Sicherheitslücken werden noch einige Fragezeichen offen bleiben müssen. Einmal mehr aber kämpft Intel mit einer solchen Problematik.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (23)

#14
customavatars/avatar6158_1.gif
Registriert seit: 13.06.2003
RheinMain
Admiral
Beiträge: 9865
Die 2000er Ryzen sind auch nur via BIOS-Update abgesichert. Die Architektur ist gegen Spectre nicht immun. Ryzen2 hat den Vorteil, dass die 400er-Platinen die neuen Patches bereits haben - auch die neuen AGESA-Updates von AMD, die den Ryzen2000 unterstützen, sind gegen Spectre immun.

Vom Prinzip her ist Ryzen also sicher, aber nur aufgrund der Firmwares, die für die Ryzen 2000 sowieso notwendig sind.
#15
Registriert seit: 31.01.2018
da wo es mir gut geht ;)
Hauptgefreiter
Beiträge: 135
Jaja, Intel ... die Zeichen stehen auf Talfahrt ...

Aufstehen und Krone richten ... ...

Zitat Ape11;26301606
Es wird Zeit, Windows über Bord zu werfen.


Hä?
Was hat nun eine Hardware-Lücke mit dem Betriebssystem zu tun ?

Edit:

Zitat Holzmann;26301919
Google informierte die Chiphersteller bereits im vergangenen Sommer über die Sicherheitslücken, womit AMD mehrere Monate blieben, um Zen 2 entsprechend anzupassen"


Ist das so ? Ich dachte wir reden hier von einer Designschwäche.
Ich kann mir kaum vorstellen das diese bei einem "Refresh" ausbügeln kannst. Dazu müsstest du ja das ganze Design des Chips ändern.
Ich glaube wir sprechen hier wenn, über Microcode-Updates.

Edit2:
Damn ... fortunes war schneller ... oder ich hab wieder nich ordentlich gelesen ... :/
#16
customavatars/avatar269623_1.gif
Registriert seit: 02.05.2017

BannedForEveR
Beiträge: 9078
Ja stimmt schon, geht erstmal nur um die Microcode-Updates, in diesem Zusammenhang wurde von Hardwareanpassung gesprochen, was etwas missverständlich klingt:
AMD: Zen+ und Zen 2 sind gegen Spectre gehrtet - Golem.de
#17
customavatars/avatar6158_1.gif
Registriert seit: 13.06.2003
RheinMain
Admiral
Beiträge: 9865
Zen "plus", also Ryzen 2(000) hat keinen Hardware-Schutz gegen Spectre.

Der Schutz kommt über die BIOS-Updates, die auf den 400er-Platinen von Haus aus dabei sind und bei den 300er-Platinen sowieso nachgeschoben werden müssen, damit die 2000er-Ryzen unterstützt werden. Durch das Update werden auch die 1000er-Ryzen immun.

Was "Zen 2" aka Ryzen 3000 angeht, ist noch kein Wort gefallen. Ob AMD die Architektur anpassen kann oder nicht, steht in den Sternen. Genau so ob der kommende 8-Kern CoffeeLake einen Hardware-Schutz gegen Meltdown, Spectre & Co. bieten wird.
#18
Registriert seit: 01.12.2015
CH
Obergefreiter
Beiträge: 113
Bei mir läuft ein Server mit FreeBSD als Storage mit Plex und ssh. Kein Samba, NFS oder ähnliches. Board ist ein Asus P9D WS, welches bestimmt kein BIOS Update mehr bekommt.
Auf meinem Arbeitsrechner (Asus M8R, 6700k) läuft ein Win10 als VM Host und zum Zocken. In einer VM läuft ArchLinux für alles andere (Office, Internet, E-Banking etc..) Systeme halte ich alle möglichst aktuell (OS, BIOS, unter Linux intel-ucode.img). Keiner der Rechner ist aus dem Internet erreichbar, aber alle haben Internet und sind im selben LAN.

Muss ich mir irgendwie Sorgen machen?
#19
customavatars/avatar6158_1.gif
Registriert seit: 13.06.2003
RheinMain
Admiral
Beiträge: 9865
Wir "Otto-Normal" müssen uns im Allgemeinen keine Sorgen machen.

Die Sorgen "Trojaner, Viren und Würmer", die es auf uns abgesehen haben, sind eher auf Bitcoin-Mining, Datenverschlüsselung & -erpressung sowie Botnetz-Aktivitäten ausgelegt.

Die Angriffsvektoren für Meltdown, Spectre & Co. dienen rein der Informationsgewinnung. Diese ermöglichen es, über die eigenen Berechtigungen hinaus Speicherbereiche auszulesen und die Dateninformationen abzufangen. Das ist allerdings ein sehr mühseliges Unterfangen, da man die Daten hinterher auch noch analysieren muss.

Letztlich geht es hier um die großen VM- und Cloud-Betreiber, die neben den normalen VMs für "Otto-Normal" auch noch kritische Informationen im Datenspeicher halten. So könntest du von einer von dir angemieteten VM auf die Daten einer anderen VM auf der gleichen Maschine zugreifen, in denen ein Shop-Betreiber seine Kundendaten unverschlüsselt gespeichert im Speicher bereithält.

Das Angriffsszenario ist sehr eingeschränkt und für uns "Otto-Normal" überhaupt nicht zielführend.

Es sei denn, du bewahrst deine Atomwaffensperrcodes permanent im Zwischenspeicher auf, um diese auf Bedarf abrufen zu können, und teilst das auch noch dem rest der Welt mit. Dann könnte man dich gezielt angreifen.

Aber ist dem so? ;)
#20
customavatars/avatar43872_1.gif
Registriert seit: 31.07.2006

Kapitän zur See
Beiträge: 3216
Zitat thegian;26301789
Das AMD davon auch betroffen sein könnte ist dir noch nicht in den Sinn gekommen?
Es geht nicht um AMD vs. Intel sondern um die CPU-Kunden allgemein. Beide Marken kämpfen aktuell mit den Lücken, die eine mal mehr die andere weniger. Microsoft sitzt dann noch mitten drin und versucht irgendwie mit Updates über das BS zu schliessen.


Immer dieses Gelaber. AMD ist nicht betroffen. Spectre v2 auf AMD ist reine Theorie, praktisch aber architekturbedingt eher unmöglich durchzuführen. Ansonsten gibts bis auf die Ryzenfall-Lücken, die eh nur mit Root-Zugriff machbar sind, also irrelevant, nichts, was AMD-CPUs unsicher machen würde. Das ist ein Faktum z.Z. Wenn was Neues auftaucht sehen wir weiter, aber derzeit ist AMD nicht betroffen. Spectre NG betrifft ausschließlich Intel-CPUs.
Es wird immer in einen Topf geworfen, das ist aber Blödsinn. AMD unterscheidet sich auf Harware-Ebene fundamental von den Intel-CPUs. Sie verwenden eigenen µCode und alles. Die Lücken sind somit einfach nicht übertragbar. Einzig Spectre betrifft die speklative Ausführung von Befehlen, die alle moderne CPUs machen, aber sie machen sie alle anders.


fortunes
Relativieren kann man natürlich immer. Aber ich finds schon inakzeptabel, dass die CPU ein Einfallstor für Trojaner und Malware bietet und das einfach nicht vernünftig gefixt wird. Für Spieler ist das furzegal, so ein Privatrechner kann man ja auch einfach neu aufsetzen. Aber bei sicherheitskritischen Rechnern würd ich derzeit einen großen Bogen um Intel-CPUs machen. Das erschüttert Intel in seinen Kernmärkten, weil jetzt etliche Intel-affine Administratoren sich ernsthaft Gedanken darum machen müssen, eben nicht mehr nur Intel einzusetzen - egal ob aus purer Gewohnheit (also denen, denen niemals in den Sinn kommen würde AlternativCPUs zu nutzen, das dürfte die große Mehrheit sein) oder aus Überzeugung, sondern aus Notwendigkeit weil es keine Alternative gibt.
#21
customavatars/avatar6158_1.gif
Registriert seit: 13.06.2003
RheinMain
Admiral
Beiträge: 9865
Spectre v2 ist auf AMD problemlos möglich. Den Nachweis hat Google Project Zero erbracht.

Die Frage ist nur nach dem Sinn, denn Spectre-Scanner liefern Datenraten von ca. 10kb/s. Bei einem 256GB-RAM im Server und entsprechendem Datencache erachte ich das Vorhaben eher für gewagt. Da ist Intels Meltdown mit 500kb/s deutlich einträglicher.

Aber möglich ist es.

Was die neuen Spectre-Lücken an Bandbreite liefern, weiß man bislang nicht. Auch deine Aussage, AMD sei von SpectreNG nicht betroffen, halte ich für gewagt. Da sollte man besser auf eine finale Aussage seitens AMD warten. AMDs Ingenieure haben sich ja auch schön Finger verbrannt, da sie anfangs "davon ausgingen, dass AMD nicht von Spectre betroffen sei" - Googles Project Zero aber das Gegenteil bewiesen hat.

Daher: Zurückhaltung - auch von dir. ;)
#22
Registriert seit: 08.08.2005
Zürich
Flottillenadmiral
Beiträge: 5385
Zitat [HOT];26302477
[U]Immer dieses Gelaber[/U]. AMD ist nicht betroffen. Spectre v2 auf AMD ist reine Theorie, praktisch aber architekturbedingt eher unmöglich durchzuführen. Ansonsten gibts bis auf die Ryzenfall-Lücken, die eh nur mit Root-Zugriff machbar sind, also irrelevant, nichts, was AMD-CPUs unsicher machen würde. Das ist ein Faktum z.Z. Wenn was Neues auftaucht sehen wir weiter, aber derzeit ist AMD nicht betroffen. Spectre NG betrifft ausschließlich Intel-CPUs.
Es wird immer in einen Topf geworfen, das ist aber Blödsinn. AMD unterscheidet sich auf Harware-Ebene fundamental von den Intel-CPUs. Sie verwenden eigenen µCode und alles. Die Lücken sind somit einfach nicht übertragbar. Einzig Spectre betrifft die speklative Ausführung von Befehlen, die alle moderne CPUs machen, aber sie machen sie alle anders.

Ja...was ist DEIN Problem? Ich habe geschrieben "KÖNNTE" Im Sinn, es kann noch was anderes nachkommen und deswegen kann man nicht nur INTEL als ******* bezeichnen.

Das die sich Grundsätzlich unterscheiden ist wohl jedem klar oder? Deswegen habe ich auch nicht behauptet AMD betrifft auch das Spectre NG Problem, sondern AMD könnte Lücken (allgemeine) haben. Informiert wird man von AMD zur Zeit auf jedenfall besser und allgemeine Patches kommen ja Zeitnah.
#23
customavatars/avatar43872_1.gif
Registriert seit: 31.07.2006

Kapitän zur See
Beiträge: 3216
Sry hab da etwas überreagiert, weil ich diesen BS eben überall begegnet. Überall liest man eben Neues über die SpectreNG und Forennutzer haben nichts besseres zu tun, also andauernd zu schreiben "ja AMD betrifft das ja auch". Nein tut es eben nicht, da es sich hier um eine andere Architektur handelt, und das nervt einfach ungemein.

fortunes
Nein, das ist schlicht falsch. AMD selbst hat eingeräumt, dass es einen theoretischen Angriffsvektor gibt, nachdem sie von Google darauf hingewiesen wurden. Der ist praktisch aber nur extrem schwer auszunutzen, also praktisch eigentlich irrelevant. Mit AGESA 1003 dürfte das aber dann eh gegessen sein, da auch diese theoretische Angriffsmöglichkeit zusammen mit den Ryzenfall-Fixes verunmöglicht werden soll - ganz loswerden kann man v2 nur mit einer neuen µArchitektur.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren: