Potentieller Designfehler in allen Intel-Core CPUs

[Olivetti]

z.b. so:

 

[Kaito]

https://github.com/marcan/speculation-bugs/blob/master/README.md#impacted-cpu-matrix
Betroffene CPUs. Die Sammlung befindet sich erst am Anfang, wird sicher noch mehr.

 

[Kaito]

Die scheinen nicht ganz mit Intels Reaktion einverstanden.
https://twitter.com/TheRegister/status/949059909206794241
https://twitter.com/TheRegister/status/949060096553664513
Insbesondere https://www.theregister.co.uk/2018/01/04/intel_meltdown_spectre_bugs_the_registers_annotations/

Intel and other technology companies have been made aware of new security research describing software analysis methods that, when used for malicious purposes, have the potential to improperly gather sensitive data from computing devices that are operating as designed.

Translation: When malware steals your stuff, your Intel chip is working as designed. Also, this is why our stock price fell. Please make other stock prices fall, thank you.

Recent reports that these exploits are caused by a “bug” or a “flaw” and are unique to Intel products are incorrect.

Translation: Pleeeeeease, pleeeeease do not sue us for shipping faulty products or make us recall millions of chips.

 

[Olivetti]

gerade hauen sie den raus -> https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/

 

[Kaito]

By the end of next week, Intel expects to have issued updates for more than 90 percent of processor products introduced within the past five years

Eh, damit decken sie aber nicht alle betroffenen CPUs ab... ist das ihr Weg Sandy Bridge ein für alle mal los zu werden?

that render those systems immune from both exploits

Bisher nur mitigations spezifischer Attacken und jetzt plötzlich immun auf einen Streich? Ich melde mal skeptisch Zweifel an, bis sie rauslassen, was genau da gemacht wird...

 

[Olivetti]

das war ja gestern schon rauszuhören, dass man sich auf prozessoren ab haswell konzentriert.

 

[Kaito]

D.h. alle Macs vor 2013 bleiben ungeschützt, yay.

 

[McBuk]

Hans Hübner über mögliche Konzeptionsfehler gegenwärtiger Computer. Tweed und folgende.
https://twitter.com/HansHuebner/status/948786683885031424

Gute Nacht, Leute. Arbeit ist getan.

 

[Olivetti]

nacht, digger... (hans hübner trägt doch kein tweed, oder?)

Ich melde mal skeptisch Zweifel an, bis sie rauslassen, was genau da gemacht wird...

ja, da denkt man, die sind gerade erst aufgewacht und haben mal kurz draufgeschaut.

 

[kermitd]

Apple meldet sich zu Wort: https://support.apple.com/de-de/HT208394

Meltdown:

Apple released mitigations for Meltdown in iOS 11.2, macOS 10.13.2, and tvOS 11.2. watchOS did not require mitigation.

no measurable reduction in the performance of macOS and iOS

Spectre:

Apple will release an update for Safari on macOS and iOS in the coming days to mitigate these exploit techniques.

We continue to develop and test further mitigations within the operating system for the Spectre techniques, and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Leider kein Wort zu älteren Systemen.

Edit:
Der Support-Artikel zum letzten Sicherheitsupdate ist mittlerweile aktualisiert und um CVE-2017-5754 ergänzt worden - tatsächlich auch in Bezug auf die älteren noch unterstützten Systeme !

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read kernel memory

Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.

CVE-2017-5754: Jann Horn of Google Project Zero, Werner Haas and Thomas Prescher of Cyberus Technology GmbH, and Daniel Gruss, Moritz Lipp, Stefan Mangard and Michael Schwarz from Graz University of Technology

Entry added January 4, 2018

https://support.apple.com/en-us/HT208331

Edit 2:
Support-Artikel wurde geändert und der Verweis auf die älteren Systeme leider entfernt:

Kernel

Available for: macOS High Sierra 10.13.1

Impact: An application may be able to read kernel memory

Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.

CVE-2017-5754: Jann Horn of Google Project Zero, Werner Haas and Thomas Prescher of Cyberus Technology GmbH, and Daniel Gruss, Moritz Lipp, Stefan Mangard and Michael Schwarz from Graz University of Technology

Entry updated January 5, 2018

 

[Leslie]

Laienfrage: Wie wird eigentlich ein Firmware-Update für einen Mac-Prozessor an den 0815-User ausgeliefert?
Kann das einfach in ein reguläres macOS-Update gepackt werden und sich dann wie ein BIOS-Update beim Neustart aktivieren?
Gibt es so etwas hin und wieder auch sonst schon?

Edit: hat sich erledigt, ist ja seit Jahren gängig, hatte ich nur im Gegensatz zum PC-Bereich am Mac nie bewusst registriert.
http://www.chriswrites.com/how-to-check-and-update-your-macs-firmware/

 

[dooyou]

Zu Performance-Einbußen bezogen auf Meltdown sagt Apple:

Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6.


https://support.apple.com/en-us/HT208394

 

[LosDosos]

https://www.welt.de/wirtschaft/webw...n-vor-Offenlegung-von-Sicherheitsluecken.html

Da hat die Börsenaufsicht Arbeit bekommen.

 

[JimmyJoe]

Betrifft die Sicherheitslücke auch die neuen CPU aus 2017er MacBook?

 

[JarodRussell]

Betrifft die Sicherheitslücke auch die neuen CPU aus 2017er MacBook?

Zumindest laut der von Kaito verlinkten Liste betrifft es alle CPUs seit Westmere, also auch die Core 7th und 8th Gen die gerade erst in den Markt gebracht wird (i5-8250U z.B.).

 

[Kaito]

Betrifft die Sicherheitslücke auch die neuen CPU aus 2017er MacBook?

Soweit ich informiert bin gibt es aktuell noch gar keine konkrete/ausformulierte Idee (zumindest keine öffentlich bekannte), wie man das von der CPU aus verhindern soll, ohne diverse Einschränkungen mitzunehmen.
Da wird sicher auch noch die nächste/übernächste CPU Generation betroffen sein (je nachdem wie lange die im voraus planen).

 

[Hausbesetzer]

Zu Performance-Einbußen bezogen auf Meltdown sagt Apple:

Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6.

Das lustige daran ist: Apple kann keine Performanceverschlechterung messen, weil sie vorher schon so langsam waren
https://www.heise.de/forum/Mac-i/Ne...wn-und-Spectre-trennen/posting-31632389/show/

 

[dooyou]

Das lustige daran ist: Apple kann keine Performanceverschlechterung messen, weil sie vorher schon so langsam waren
https://www.heise.de/forum/Mac-i/Ne...wn-und-Spectre-trennen/posting-31632389/show/

Naja, der erzählt auch nichts neues. Da schreibt jeder vom anderen ab und irgendwann ists wie bei stille Post. Von mutmaßlichen Performanceneinbußen der Cloudanbieter werden „wir“ sowieso nichts mitbekommen.

Wenn einer von 1000 hier bei Macuser ist, der/die sich wirklich mit der Materie auskennt, würde ich mich schon freuen. Anders ist es bei Heise wohl auch nicht. Ich zähle mich zu den übrigen 999.

 

[Hausbesetzer]

Naja, der erzählt auch nichts neues. Da schreibt jeder vom anderen ab und irgendwann ists wie bei stille Post. Von mutmaßlichen Performanceneinbußen der Cloudanbieter werden „wir“ sowieso nichts mitbekommen.

Sag das nicht - wenn jetzt große Diensteanbieter wie Netflix 20% Performanceeinbußen haben, müssen die 20% mehr Leistung bei Amazon einkaufen, was dann mehr kostet und auf die Anwender umgelegt wird.

 

[dooyou]

Das halte ich für hochgradig spekulativ.