ZombieLoad Sicherheitslücke in Intel CPUs ab 2011

[MacFangio]

aka Microarchitectural Data Sampling (MDS). @Elebato hat das mW zuerst erwähnt, und den MR-Artikel verlinkt
https://www.golem.de/news/sicherheitsluecken-zombieload-in-intel-prozessoren-1905-141251.html

https://www.macrumors.com/2019/05/14/zombieload-intel-chip-vulnerability/

ZombieLoad wird mit Spectre und Meltdown verglichen, das kann man schon etwas höher hängen finde ich. Zumal mit dem Abschalten von Hyperthreading erhebliche Performance-Einbußen verbunden wären.

Die gute Nachricht, Apple hat bereits eine Website dazu: https://support.apple.com/en-us/HT210108 und will mit dem Mojave 10.14.5 Update, sowie den Sicherheitsupdates für Sierra und High Sierra die Lücke geschlossen haben (edit, genauer: Hyperthreading ist jetzt deaktivierbar). Mein cMBP 2012 BootROM ist gestern von 224- auf 226.0.0.0.0 geklettert, hatte mich schon gewundert



Weiterer Lesestoff

https://techcrunch.com/2019/05/14/intel-chip-flaws-patches-released/

https://zombieloadattack.com/zombieload.pdf

 

[iPhill]

Kleine Anmerkung: Zombieload, nicht -land.

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer.

 

[win2mac]

Kleine Anmerkung: Zombieload, nicht -land.

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer.

Monate reicht doch da schon gar nicht mehr. Deshalb hab ich mir schon letztes Jahr ein Ryzen Rechner besorgt.

Gruß
win2mac

 

[Lor-Olli]

Tatsache ist doch, dass so lange Geheimdienste Designfehler in Betriebssystemen lieber horten (und sie sind diejenigen die am intensivsten suchen…) statt sie zu veröffentlichen, wird es bei 10Millionen Codezeilen IMMER Fehler geben…
Meinem Kenntnisstand nach ist Zombieload ein potentieller Fehler, der allerdings bisher nicht aktiv ausgenutzt wurde (weil andere Fehler mit viel weniger Aufwand ein besseres Ergebnis ermöglichen). Das könnte sich nach dem Bekanntwerden allerdings ändern und spätestens jetzt MUSS man das update einspielen… Solche Veröffentlichungen bringen einige Kreise erst recht auf die Idee dort weiter zu suchen > und in der Regel fündig zu werden… Es gibt nun mal keine absolute Sicherheit.

Ärgerlich ist bei den Patches von Apple diesmal allerdings, dass sie ungemein rumzickten, es wurden bei uns auf verschiedenen Rechnern, mit unterschiedlichen OS X (10.12/10.13/10.14), in allen Fällen MEHRERE Anläufe gebraucht um die Updates einzuspielen. Das hat Apple schon mal besser hinbekommen!

 

[wegus]

Kleine Anmerkung: Zombieload, nicht -land.

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer.

Soweit ich weiß liegt es an dem HT Ansatz und der ist in allen modernen CPUs enthalten. Schaltet man HT aus und verwendet keine prediction units mehr, dann bleibt nur sehr wenig Leistung übrig. Die Zeiten wo man allein über Frequenzen die Leistung steigern konnte sind halt lange vorbei und beizeiten zeigen sich eben die Nachteile morderner CPUs.

Den jetzt aufkommenden Geheimdienst VTs sei gesagt: die haben ganz andere Optionen und brauchen solche CPU Fehler nicht!

 

[hr47]

Kleine Anmerkung: Zombieload, nicht -land.

Hmmmmm - bei den ganzen Patzern Intels in den letzten Monaten wird mir der Gedanke eines Ryzen-Builds doch immer sympathischer.

Wobei Zombieland auch nett wäre

Ja, wenn AMD mit der dritten Ryzen-Generation, mit der wohl schon bald zu rechnen ist, tatsächlich (wie gemunkelt wird) an die 5GHZ Takt rankommt und auch den Speichercontroller (wie ebenfalls gemunkelt wird) noch mal verbessert, kann Intel langsam einpacken.

Spätestens dann werden sie ihr Hinterteil aber plötzlich wieder drastisch bewegen (hatten wir ja schon mal) - Konkurrenz ist eben gut fürs Geschäft

Deswegen würde ich auch noch mit dem Kauf eines Prozessors warten - egal ob man Intel oder AMD kaufen will. Legt AMD vor, wird Intel nachlegen und alle, die zu früh gekauft haben, schauen in die Röhre

 

[bowman]

...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt

 

[glancos]

Hallo,

[...]
Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

Eben.

"Das Risiko von ZombieLoad-Angriffen auf typische Windows-PCs dürfte recht gering sein, unter anderem weil es dort oft leichter nutzbare Sicherheitslücken gibt."

https://www.heise.de/newsticker/mel...-in-Intel-Prozessoren-ZombieLoad-4421217.html

glancos

 

[hr47]

...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt

Wohl wahr

 

[MacFangio]

... PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt

Leider siehts so aus als würde Intel da nicht wie erwartet mitziehen, was ältere Macs angeht. Apple hat deswegen schon ein Fass aufgemacht

Den cMP auf dieser Liste verstehe ich allerdings noch nicht, der baugleiche 2012er wird ja noch unterstützt.

Quelle, mal wieder. Die zZt letzten 3 Seiten der Diskussion sind zur Einschätzung von ZombieLoad zT durchaus auch für Nutzer anderer Macs interessant.

 

[hr47]

Leider siehts so aus als würde Intel da nicht wie erwartet mitziehen, was ältere Macs angeht. Apple hat deswegen schon ein Fass aufgemacht


Anhang anzeigen 266459
Den cMP auf dieser Liste verstehe ich allerdings noch nicht, der baugleiche 2012er wird ja noch unterstützt.

Quelle, mal wieder. Die zZt letzten 3 Seiten der Diskussion sind zur Einschätzung von ZombieLoad zT durchaus auch für Nutzer anderer Macs interessant.

Ja, das macht für den cMP irgendwie keinen Sinn. Die X-Prozessoren beim 2010er und 2012 sind allesamt Westmere-CPUs.

 

[Zitlo]

...bitte bei all dem Hype nicht vergessen, daß die Sicherheitslücke in erster Linie darin besteht, daß aus Virtualisierungsumgebungen heraus unautorisiert auf Daten zugegriffen werden kann. Sprich: Schadcode, der in VMs läuft, kann auf die Daten anderer VMs zugreifen.

Im Mac-Kontext halte ich den Hype für übertrieben: Wie viele Mac-User lassen auf Macs Virtualisierungsumgebungen laufen, in denen VMs laufen, auf die Dritte administrative Rechte haben, um sich an die Daten in weiteren VMs ranzumachen?

PS: Im letzten Patch wurden viele weitere Sicherheitslücken beseitigt

Bist du dir da sicher? Können andere Programme nicht über diesen Bug die Daten von anderen Programmen ohne root Rechte auslesen?

While in normal cases apps can only see its own data, the flaw means that data can bleed across to other apps, and in the case of ZombieLoad, will leak all data loaded into the processor's core. It isn't clear if exploits are available in the wild, but they would not be "drive-by" attacks, and would have to rely on maliciously coded software to leverage.

A proof of concept attack video shows how the flaw could be abused to monitor websites that a victim is reading. This is also possible despite normal efforts to obfuscate the activity, including using the privacy-focused Tor browser running within a virtual machine.

As virtual machines can be affected, this means the issue also applies to enterprise users who host multiple virtual instances on servers. An attacker would have the opportunity to acquire data from many active virtual machines simultaneously in such cases, making it potentially dangerous.

Quelle: https://appleinsider.com/articles/1...n-intel-processors-puts-data-in-danger-on-mac

Ich stelle mir das Angriffsszenario wie folgt vor:
Ein Programm wird automaitsch böswillig vom Hersteller aktualisiert und implementiert ein Angriff auf eine bestimmte App (Passwortmanager, Tor Browser, Online Bankig o.ä.) und sendet die abgegriffenen Daten nach Hause.

 

[vidman2019]

Die gute Nachricht, Apple hat bereits eine Website dazu: https://support.apple.com/en-us/HT210108 und will mit dem Mojave 10.14.5 Update, sowie den Sicherheitsupdates für Sierra und High Sierra die Lücke geschlossen haben.

Leider nein. Apple hat den Usern lediglich eine Möglichkeit gegeben Hyperthreading komplett abzuschalten

Although there are no known exploits affecting customers at the time of this writing, customers who believe their computer is at heightened risk of attack can use the Terminal app to enable an additional CPU instruction and disable hyper-threading processing technology, which provides full protection from these security issues.

Die Sicherheitsdiskussion hatten wir schon in einem iPhone-Thread in dem suggeriert wurde dass iOS absolut sicher sei.

Bei derart komplexen Systemen (Hardware und Software) ist es nahezu unmöglich Fehler zu vermeiden. Und so lange Firmen wie Apple nicht bereit sind für Bugs richtig Geld auf den Tisch zu legen, wird es immer wieder gravierende Fehler geben die bestenfalls durch Zufall bekannt werden und den Weg an die Öffentlichkeit nur sehr schwer finden.

 

[MacFangio]

.. Apple hat den Usern lediglich eine Möglichkeit gegeben Hyperthreading [via Terminal] komplett abzuschalten

Hast recht, war nicht präzise formuliert.

Deshalb gibts auch die neue Anzeige in den System Infos, zur Kontrolle

 

[Madcat]

Ärgerlich ist bei den Patches von Apple diesmal allerdings, dass sie ungemein rumzickten, es wurden bei uns auf verschiedenen Rechnern, mit unterschiedlichen OS X (10.12/10.13/10.14), in allen Fällen MEHRERE Anläufe gebraucht um die Updates einzuspielen. Das hat Apple schon mal besser hinbekommen!

Ja, Apple baut immer mehr ab. Hoffentlich sind wir bald durch das Tal durch.

 

[iPhill]

Soweit ich weiß liegt es an dem HT Ansatz und der ist in allen modernen CPUs enthalten.

Im Bericht wird allerdings explizit darauf hingewiesen, dass nur Intel CPUs jedoch keine CPUs von ARM, IBM oder AMD betroffen sind.

 

[Tzunami]

Nur aus Neugierde, wie deaktiviert man denn HT?

 

[MacFangio]

Extra für dich nochmal

https://support.apple.com/en-us/HT210108 –
How to enable full mitigation for Microarchitectural Data Sampling (MDS) vulnerabilities

 

[Olivetti]

Typisch Apple, das über das nvram zu fixen.

 

[iPhill]

Typisch Apple, das über das nvram zu fixen.

Typisch Apple wäre doch eher gewesen, Hyperthreading ohne Rückfrage beim Käufer/Kunden/User komplett zu deaktivieren - irreversibel.
Da sag ich glatt: Danke Apple, dass ihr den Fehler so primitiv "behebt".

Btw: Hier wird am MacBook Pro im Systemprofiler nicht darüber informiert, dass HT enabled/disabled ist - ist das nicht bei jedem Mac der Fall?