ZombieLoad Sicherheitslücke in Intel CPUs ab 2011

Diskutiere das Thema ZombieLoad Sicherheitslücke in Intel CPUs ab 2011 im Forum Sicherheit. https://www.golem.de/news/sicherheitsluecken-zombieload-in-intel-prozessoren-1905-141251.html aka...

MacFangio

Mitglied
Thread Starter
Mitglied seit
05.01.2011
Beiträge
1.550
https://www.golem.de/news/sicherheitsluecken-zombieload-in-intel-prozessoren-1905-141251.html

aka Microarchitectural Data Sampling (MDS). @Elebato hat das mW zuerst erwähnt, und den MR-Artikel verlinkt

https://www.macrumors.com/2019/05/14/zombieload-intel-chip-vulnerability/

ZombieLoad wird mit Spectre und Meltdown verglichen, das kann man schon etwas höher hängen finde ich. Zumal mit dem Abschalten von Hyperthreading erhebliche Performance-Einbußen verbunden wären.

Die gute Nachricht, Apple hat bereits eine Website dazu: https://support.apple.com/en-us/HT210108 und will mit dem Mojave 10.14.5 Update, sowie den Sicherheitsupdates für Sierra und High Sierra die Lücke geschlossen haben (edit, genauer: Hyperthreading ist jetzt deaktivierbar). Mein cMBP 2012 BootROM ist gestern von 224- auf 226.0.0.0.0 geklettert, hatte mich schon gewundert

IMG_0715_w512.png

Weiterer Lesestoff

https://techcrunch.com/2019/05/14/intel-chip-flaws-patches-released/

https://zombieloadattack.com/zombieload.pdf
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: win2mac und iPhill

iPhill

Mitglied
Mitglied seit
26.02.2011
Beiträge
8.774
Kleine Anmerkung: Zombieload, nicht -land. ;)

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer. :D
 
  • Gefällt mir
Reaktionen: win2mac und MacFangio

win2mac

Mitglied
Mitglied seit
07.09.2004
Beiträge
3.296
Kleine Anmerkung: Zombieload, nicht -land. ;)

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer. :D
Monate reicht doch da schon gar nicht mehr. Deshalb hab ich mir schon letztes Jahr ein Ryzen Rechner besorgt.

Gruß
win2mac
 

Lor-Olli

Mitglied
Mitglied seit
24.04.2004
Beiträge
8.970
Tatsache ist doch, dass so lange Geheimdienste Designfehler in Betriebssystemen lieber horten (und sie sind diejenigen die am intensivsten suchen…) statt sie zu veröffentlichen, wird es bei 10Millionen Codezeilen IMMER Fehler geben…
Meinem Kenntnisstand nach ist Zombieload ein potentieller Fehler, der allerdings bisher nicht aktiv ausgenutzt wurde (weil andere Fehler mit viel weniger Aufwand ein besseres Ergebnis ermöglichen). Das könnte sich nach dem Bekanntwerden allerdings ändern und spätestens jetzt MUSS man das update einspielen… Solche Veröffentlichungen bringen einige Kreise erst recht auf die Idee dort weiter zu suchen > und in der Regel fündig zu werden… Es gibt nun mal keine absolute Sicherheit.

Ärgerlich ist bei den Patches von Apple diesmal allerdings, dass sie ungemein rumzickten, es wurden bei uns auf verschiedenen Rechnern, mit unterschiedlichen OS X (10.12/10.13/10.14), in allen Fällen MEHRERE Anläufe gebraucht um die Updates einzuspielen. Das hat Apple schon mal besser hinbekommen!
 
  • Gefällt mir
Reaktionen: iPhill und dg2rbf

wegus

Mitglied
Mitglied seit
13.09.2004
Beiträge
16.766
Kleine Anmerkung: Zombieload, nicht -land. ;)

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer. :D
Soweit ich weiß liegt es an dem HT Ansatz und der ist in allen modernen CPUs enthalten. Schaltet man HT aus und verwendet keine prediction units mehr, dann bleibt nur sehr wenig Leistung übrig. Die Zeiten wo man allein über Frequenzen die Leistung steigern konnte sind halt lange vorbei und beizeiten zeigen sich eben die Nachteile morderner CPUs.

Den jetzt aufkommenden Geheimdienst VTs sei gesagt: die haben ganz andere Optionen und brauchen solche CPU Fehler nicht!
 
  • Gefällt mir
Reaktionen: win2mac

hr47

Mitglied
Mitglied seit
29.03.2016
Beiträge
2.449
Kleine Anmerkung: Zombieload, nicht -land. ;)

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer. :D
Wobei Zombieland auch nett wäre:)

Ja, wenn AMD mit der dritten Ryzen-Generation, mit der wohl schon bald zu rechnen ist, tatsächlich (wie gemunkelt wird) an die 5GHZ Takt rankommt und auch den Speichercontroller (wie ebenfalls gemunkelt wird) noch mal verbessert, kann Intel langsam einpacken.

Spätestens dann werden sie ihr Hinterteil aber plötzlich wieder drastisch bewegen (hatten wir ja schon mal) - Konkurrenz ist eben gut fürs Geschäft:)

Deswegen würde ich auch noch mit dem Kauf eines Prozessors warten - egal ob man Intel oder AMD kaufen will. Legt AMD vor, wird Intel nachlegen und alle, die zu früh gekauft haben, schauen in die Röhre:)
 
  • Gefällt mir
Reaktionen: wegus

bowman

Mitglied
Mitglied seit
08.10.2003
Beiträge
2.613
...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt
 
  • Gefällt mir
Reaktionen: dodo4ever, dg2rbf, hr47 und 2 andere

glancos

Mitglied
Mitglied seit
25.05.2007
Beiträge
1.976
Hallo,

[...]
Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?
Eben.

"Das Risiko von ZombieLoad-Angriffen auf typische Windows-PCs dürfte recht gering sein, unter anderem weil es dort oft leichter nutzbare Sicherheitslücken gibt."

https://www.heise.de/newsticker/mel...-in-Intel-Prozessoren-ZombieLoad-4421217.html

glancos
 

hr47

Mitglied
Mitglied seit
29.03.2016
Beiträge
2.449
...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt
Wohl wahr:)
 

MacFangio

Mitglied
Thread Starter
Mitglied seit
05.01.2011
Beiträge
1.550
... PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt
Leider siehts so aus als würde Intel da nicht wie erwartet mitziehen, was ältere Macs angeht. Apple hat deswegen schon ein Fass aufgemacht


Tim_vs_Intel_w480.png
Den cMP auf dieser Liste verstehe ich allerdings noch nicht, der baugleiche 2012er wird ja noch unterstützt.

Quelle, mal wieder. Die zZt letzten 3 Seiten der Diskussion sind zur Einschätzung von ZombieLoad zT durchaus auch für Nutzer anderer Macs interessant.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: hr47

hr47

Mitglied
Mitglied seit
29.03.2016
Beiträge
2.449
Leider siehts so aus als würde Intel da nicht wie erwartet mitziehen, was ältere Macs angeht. Apple hat deswegen schon ein Fass aufgemacht


Anhang anzeigen 266459
Den cMP auf dieser Liste verstehe ich allerdings noch nicht, der baugleiche 2012er wird ja noch unterstützt.

Quelle, mal wieder. Die zZt letzten 3 Seiten der Diskussion sind zur Einschätzung von ZombieLoad zT durchaus auch für Nutzer anderer Macs interessant.
Ja, das macht für den cMP irgendwie keinen Sinn. Die X-Prozessoren beim 2010er und 2012 sind allesamt Westmere-CPUs.
 

Zitlo

Mitglied
Mitglied seit
28.05.2005
Beiträge
1.424
...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt
Bist du dir da sicher? Können andere Programme nicht über diesen Bug die Daten von anderen Programmen ohne root Rechte auslesen?

While in normal cases apps can only see its own data, the flaw means that data can bleed across to other apps, and in the case of ZombieLoad, will leak all data loaded into the processor's core. It isn't clear if exploits are available in the wild, but they would not be "drive-by" attacks, and would have to rely on maliciously coded software to leverage.

A proof of concept attack video shows how the flaw could be abused to monitor websites that a victim is reading. This is also possible despite normal efforts to obfuscate the activity, including using the privacy-focused Tor browser running within a virtual machine.

As virtual machines can be affected, this means the issue also applies to enterprise users who host multiple virtual instances on servers. An attacker would have the opportunity to acquire data from many active virtual machines simultaneously in such cases, making it potentially dangerous.
Quelle: https://appleinsider.com/articles/1...n-intel-processors-puts-data-in-danger-on-mac

Ich stelle mir das Angriffsszenario wie folgt vor:
Ein Programm wird automaitsch böswillig vom Hersteller aktualisiert und implementiert ein Angriff auf eine bestimmte App (Passwortmanager, Tor Browser, Online Bankig o.ä.) und sendet die abgegriffenen Daten nach Hause.
 

vidman2019

unregistriert
Mitglied seit
10.01.2019
Beiträge
1.720
Die gute Nachricht, Apple hat bereits eine Website dazu: https://support.apple.com/en-us/HT210108 und will mit dem Mojave 10.14.5 Update, sowie den Sicherheitsupdates für Sierra und High Sierra die Lücke geschlossen haben.
Leider nein. Apple hat den Usern lediglich eine Möglichkeit gegeben Hyperthreading komplett abzuschalten
Although there are no known exploits affecting customers at the time of this writing, customers who believe their computer is at heightened risk of attack can use the Terminal app to enable an additional CPU instruction and disable hyper-threading processing technology, which provides full protection from these security issues.
Die Sicherheitsdiskussion hatten wir schon in einem iPhone-Thread in dem suggeriert wurde dass iOS absolut sicher sei.

Bei derart komplexen Systemen (Hardware und Software) ist es nahezu unmöglich Fehler zu vermeiden. Und so lange Firmen wie Apple nicht bereit sind für Bugs richtig Geld auf den Tisch zu legen, wird es immer wieder gravierende Fehler geben die bestenfalls durch Zufall bekannt werden und den Weg an die Öffentlichkeit nur sehr schwer finden.
 

MacFangio

Mitglied
Thread Starter
Mitglied seit
05.01.2011
Beiträge
1.550
.. Apple hat den Usern lediglich eine Möglichkeit gegeben Hyperthreading [via Terminal] komplett abzuschalten
Hast recht, war nicht präzise formuliert.

Deshalb gibts auch die neue Anzeige in den System Infos, zur Kontrolle

10.14.5 Hyperthreading.png
 
  • Gefällt mir
Reaktionen: iPhill

Madcat

Mitglied
Mitglied seit
01.02.2004
Beiträge
15.271
Ärgerlich ist bei den Patches von Apple diesmal allerdings, dass sie ungemein rumzickten, es wurden bei uns auf verschiedenen Rechnern, mit unterschiedlichen OS X (10.12/10.13/10.14), in allen Fällen MEHRERE Anläufe gebraucht um die Updates einzuspielen. Das hat Apple schon mal besser hinbekommen!
Ja, Apple baut immer mehr ab. Hoffentlich sind wir bald durch das Tal durch.
 
  • Gefällt mir
Reaktionen: iPhill

Tzunami

Mitglied
Mitglied seit
18.10.2003
Beiträge
6.006
Nur aus Neugierde, wie deaktiviert man denn HT?
 
  • Gefällt mir
Reaktionen: iPhill

Olivetti

Mitglied
Mitglied seit
09.12.2005
Beiträge
11.659
Typisch Apple, das über das nvram zu fixen. :faint:
 
  • Gefällt mir
Reaktionen: MacFangio und iPhill

iPhill

Mitglied
Mitglied seit
26.02.2011
Beiträge
8.774
Typisch Apple, das über das nvram zu fixen. :faint:
Typisch Apple wäre doch eher gewesen, Hyperthreading ohne Rückfrage beim Käufer/Kunden/User komplett zu deaktivieren - irreversibel. :p
Da sag ich glatt: Danke Apple, dass ihr den Fehler so primitiv "behebt".

Btw: Hier wird am MacBook Pro im Systemprofiler nicht darüber informiert, dass HT enabled/disabled ist - ist das nicht bei jedem Mac der Fall?

image.png
 
Oben