ZombieLoad Sicherheitslücke in Intel CPUs ab 2011

MacFangio

Aktives Mitglied
Thread Starter
Mitglied seit
05.01.2011
Beiträge
1.608
https://www.golem.de/news/sicherheitsluecken-zombieload-in-intel-prozessoren-1905-141251.html

aka Microarchitectural Data Sampling (MDS). @Elebato hat das mW zuerst erwähnt, und den MR-Artikel verlinkt

https://www.macrumors.com/2019/05/14/zombieload-intel-chip-vulnerability/

ZombieLoad wird mit Spectre und Meltdown verglichen, das kann man schon etwas höher hängen finde ich. Zumal mit dem Abschalten von Hyperthreading erhebliche Performance-Einbußen verbunden wären.

Die gute Nachricht, Apple hat bereits eine Website dazu: https://support.apple.com/en-us/HT210108 und will mit dem Mojave 10.14.5 Update, sowie den Sicherheitsupdates für Sierra und High Sierra die Lücke geschlossen haben (edit, genauer: Hyperthreading ist jetzt deaktivierbar). Mein cMBP 2012 BootROM ist gestern von 224- auf 226.0.0.0.0 geklettert, hatte mich schon gewundert

IMG_0715_w512.png

Weiterer Lesestoff

https://techcrunch.com/2019/05/14/intel-chip-flaws-patches-released/

https://zombieloadattack.com/zombieload.pdf
 
Zuletzt bearbeitet:

iPhill

Aktives Mitglied
Mitglied seit
26.02.2011
Beiträge
8.948
Kleine Anmerkung: Zombieload, nicht -land. ;)

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer. :D
 

win2mac

Aktives Mitglied
Mitglied seit
07.09.2004
Beiträge
3.305
Kleine Anmerkung: Zombieload, nicht -land. ;)

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer. :D
Monate reicht doch da schon gar nicht mehr. Deshalb hab ich mir schon letztes Jahr ein Ryzen Rechner besorgt.

Gruß
win2mac
 

Lor-Olli

Aktives Mitglied
Mitglied seit
24.04.2004
Beiträge
9.114
Tatsache ist doch, dass so lange Geheimdienste Designfehler in Betriebssystemen lieber horten (und sie sind diejenigen die am intensivsten suchen…) statt sie zu veröffentlichen, wird es bei 10Millionen Codezeilen IMMER Fehler geben…
Meinem Kenntnisstand nach ist Zombieload ein potentieller Fehler, der allerdings bisher nicht aktiv ausgenutzt wurde (weil andere Fehler mit viel weniger Aufwand ein besseres Ergebnis ermöglichen). Das könnte sich nach dem Bekanntwerden allerdings ändern und spätestens jetzt MUSS man das update einspielen… Solche Veröffentlichungen bringen einige Kreise erst recht auf die Idee dort weiter zu suchen > und in der Regel fündig zu werden… Es gibt nun mal keine absolute Sicherheit.

Ärgerlich ist bei den Patches von Apple diesmal allerdings, dass sie ungemein rumzickten, es wurden bei uns auf verschiedenen Rechnern, mit unterschiedlichen OS X (10.12/10.13/10.14), in allen Fällen MEHRERE Anläufe gebraucht um die Updates einzuspielen. Das hat Apple schon mal besser hinbekommen!
 

wegus

Aktives Mitglied
Mitglied seit
13.09.2004
Beiträge
17.050
Kleine Anmerkung: Zombieload, nicht -land. ;)

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer. :D
Soweit ich weiß liegt es an dem HT Ansatz und der ist in allen modernen CPUs enthalten. Schaltet man HT aus und verwendet keine prediction units mehr, dann bleibt nur sehr wenig Leistung übrig. Die Zeiten wo man allein über Frequenzen die Leistung steigern konnte sind halt lange vorbei und beizeiten zeigen sich eben die Nachteile morderner CPUs.

Den jetzt aufkommenden Geheimdienst VTs sei gesagt: die haben ganz andere Optionen und brauchen solche CPU Fehler nicht!
 

hr47

Aktives Mitglied
Mitglied seit
29.03.2016
Beiträge
2.625
Kleine Anmerkung: Zombieload, nicht -land. ;)

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer. :D
Wobei Zombieland auch nett wäre:)

Ja, wenn AMD mit der dritten Ryzen-Generation, mit der wohl schon bald zu rechnen ist, tatsächlich (wie gemunkelt wird) an die 5GHZ Takt rankommt und auch den Speichercontroller (wie ebenfalls gemunkelt wird) noch mal verbessert, kann Intel langsam einpacken.

Spätestens dann werden sie ihr Hinterteil aber plötzlich wieder drastisch bewegen (hatten wir ja schon mal) - Konkurrenz ist eben gut fürs Geschäft:)

Deswegen würde ich auch noch mit dem Kauf eines Prozessors warten - egal ob man Intel oder AMD kaufen will. Legt AMD vor, wird Intel nachlegen und alle, die zu früh gekauft haben, schauen in die Röhre:)
 

bowman

Aktives Mitglied
Mitglied seit
08.10.2003
Beiträge
2.663
...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt
 

glancos

Aktives Mitglied
Mitglied seit
25.05.2007
Beiträge
1.988
Hallo,

[...]
Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?
Eben.

"Das Risiko von ZombieLoad-Angriffen auf typische Windows-PCs dürfte recht gering sein, unter anderem weil es dort oft leichter nutzbare Sicherheitslücken gibt."

https://www.heise.de/newsticker/mel...-in-Intel-Prozessoren-ZombieLoad-4421217.html

glancos
 

hr47

Aktives Mitglied
Mitglied seit
29.03.2016
Beiträge
2.625
...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt
Wohl wahr:)
 

MacFangio

Aktives Mitglied
Thread Starter
Mitglied seit
05.01.2011
Beiträge
1.608
... PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt
Leider siehts so aus als würde Intel da nicht wie erwartet mitziehen, was ältere Macs angeht. Apple hat deswegen schon ein Fass aufgemacht


Tim_vs_Intel_w480.png

Den cMP auf dieser Liste verstehe ich allerdings noch nicht, der baugleiche 2012er wird ja noch unterstützt.

Quelle, mal wieder. Die zZt letzten 3 Seiten der Diskussion sind zur Einschätzung von ZombieLoad zT durchaus auch für Nutzer anderer Macs interessant.
 
Zuletzt bearbeitet:

hr47

Aktives Mitglied
Mitglied seit
29.03.2016
Beiträge
2.625
Leider siehts so aus als würde Intel da nicht wie erwartet mitziehen, was ältere Macs angeht. Apple hat deswegen schon ein Fass aufgemacht


Anhang anzeigen 266459
Den cMP auf dieser Liste verstehe ich allerdings noch nicht, der baugleiche 2012er wird ja noch unterstützt.

Quelle, mal wieder. Die zZt letzten 3 Seiten der Diskussion sind zur Einschätzung von ZombieLoad zT durchaus auch für Nutzer anderer Macs interessant.
Ja, das macht für den cMP irgendwie keinen Sinn. Die X-Prozessoren beim 2010er und 2012 sind allesamt Westmere-CPUs.
 

Zitlo

Aktives Mitglied
Mitglied seit
28.05.2005
Beiträge
1.426
...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt
Bist du dir da sicher? Können andere Programme nicht über diesen Bug die Daten von anderen Programmen ohne root Rechte auslesen?

While in normal cases apps can only see its own data, the flaw means that data can bleed across to other apps, and in the case of ZombieLoad, will leak all data loaded into the processor's core. It isn't clear if exploits are available in the wild, but they would not be "drive-by" attacks, and would have to rely on maliciously coded software to leverage.

A proof of concept attack video shows how the flaw could be abused to monitor websites that a victim is reading. This is also possible despite normal efforts to obfuscate the activity, including using the privacy-focused Tor browser running within a virtual machine.

As virtual machines can be affected, this means the issue also applies to enterprise users who host multiple virtual instances on servers. An attacker would have the opportunity to acquire data from many active virtual machines simultaneously in such cases, making it potentially dangerous.
Quelle: https://appleinsider.com/articles/1...n-intel-processors-puts-data-in-danger-on-mac

Ich stelle mir das Angriffsszenario wie folgt vor:
Ein Programm wird automaitsch böswillig vom Hersteller aktualisiert und implementiert ein Angriff auf eine bestimmte App (Passwortmanager, Tor Browser, Online Bankig o.ä.) und sendet die abgegriffenen Daten nach Hause.
 

vidman2019

unregistriert
Mitglied seit
10.01.2019
Beiträge
1.720
Die gute Nachricht, Apple hat bereits eine Website dazu: https://support.apple.com/en-us/HT210108 und will mit dem Mojave 10.14.5 Update, sowie den Sicherheitsupdates für Sierra und High Sierra die Lücke geschlossen haben.
Leider nein. Apple hat den Usern lediglich eine Möglichkeit gegeben Hyperthreading komplett abzuschalten
Although there are no known exploits affecting customers at the time of this writing, customers who believe their computer is at heightened risk of attack can use the Terminal app to enable an additional CPU instruction and disable hyper-threading processing technology, which provides full protection from these security issues.
Die Sicherheitsdiskussion hatten wir schon in einem iPhone-Thread in dem suggeriert wurde dass iOS absolut sicher sei.

Bei derart komplexen Systemen (Hardware und Software) ist es nahezu unmöglich Fehler zu vermeiden. Und so lange Firmen wie Apple nicht bereit sind für Bugs richtig Geld auf den Tisch zu legen, wird es immer wieder gravierende Fehler geben die bestenfalls durch Zufall bekannt werden und den Weg an die Öffentlichkeit nur sehr schwer finden.
 

Madcat

Aktives Mitglied
Mitglied seit
01.02.2004
Beiträge
15.738
Ärgerlich ist bei den Patches von Apple diesmal allerdings, dass sie ungemein rumzickten, es wurden bei uns auf verschiedenen Rechnern, mit unterschiedlichen OS X (10.12/10.13/10.14), in allen Fällen MEHRERE Anläufe gebraucht um die Updates einzuspielen. Das hat Apple schon mal besser hinbekommen!
Ja, Apple baut immer mehr ab. Hoffentlich sind wir bald durch das Tal durch.
 

iPhill

Aktives Mitglied
Mitglied seit
26.02.2011
Beiträge
8.948
Soweit ich weiß liegt es an dem HT Ansatz und der ist in allen modernen CPUs enthalten.
Im Bericht wird allerdings explizit darauf hingewiesen, dass nur Intel CPUs jedoch keine CPUs von ARM, IBM oder AMD betroffen sind.
 

iPhill

Aktives Mitglied
Mitglied seit
26.02.2011
Beiträge
8.948
Typisch Apple, das über das nvram zu fixen. :faint:
Typisch Apple wäre doch eher gewesen, Hyperthreading ohne Rückfrage beim Käufer/Kunden/User komplett zu deaktivieren - irreversibel. :p
Da sag ich glatt: Danke Apple, dass ihr den Fehler so primitiv "behebt".

Btw: Hier wird am MacBook Pro im Systemprofiler nicht darüber informiert, dass HT enabled/disabled ist - ist das nicht bei jedem Mac der Fall?

image.png