Massig Sicherheitslücken in Intel CPU's gefunden.

noir

( ͡° ͜ʖ ͡°)
Meine Kollegen aus der Ecke Serverbetrieb haben das kalte Kotzen mit den Fixes. AFAIK ist Code der viel IO braucht vor allem betroffen von den Einbußen in der Performance. Grade wenn man man in einem gesamten Rechenzentrum misst was das für Auswirkungen hat kann einem übel werden.

Und der Leistungsverlust existiert wohl auch nur in den Medien.
Wer will sich denn die Blöße geben und zugeben, dass das eigene Rechenzentrum nun rumlahmt? Das würde bedeuten, man hat etwas nicht unter Kontrolle.

Weiterhin sind die Meisten noch ehr mit Workarounds bauen und Patchen beschäftigt. Intel ist bei Firmen quasi alternativlosund es gibt ja auch keine Softwarelösung die das Leistungsproblem behebt. Und Intel nun in Grund und Boden klagen hat nur zur Auswirkung, dass Intel danach entweder kein oder noch weniger Geld hat. Das Problem geht damit dann immer noch nicht weg und die Schäden dadurch bleiben auch unersetzt.
 

dbra

Ehrenpräsident des Technofreunde Ohlenburg e.V.
bei nem kumpel von mir rebootet der pc auch spontan nach ein paar Stunden Betrieb nach einspielen der fixes...
 

khz

D@AU ~/Opportunist/Orwell # ./.cris/pr.run
@Rechenzentrum Hmm das hört sich ätzend an. Unbezahlte Überstunden ... .
@Privat (und ich bin ein unrelevant Kunde genauso wie kleine/mittlere Firmen) merke ich kaum was, geschätzt ca. unter 1% Leistungsverlust?
Auf jeden Fall weit unter den vorhergesagten 30 - 60%.
Und Intel nun in Grund und Boden klagen
Soweit ich verstanden habe kann man sie nicht verklagen da laut Datenblatt Spezifikation ja alles stimmt.
Bei einem nachgewiesenen erfolgreichen Angriff aufgrund der Sicherheit(s)lücke(n) wäre es dann möglich. Viel Spaß beim Beweisen.
Aber was bringt es dann da A) es keine Alternative zu INTEL gibt, B) bei einem erfolgreichen Angriff evt. ganz andere Probleme relevanter sind, C) ... .

Mein gefühltes 1/2 Wissen Ende.
 
Zuletzt bearbeitet:

haebbmaster

Verschwörungspraktiker
Wer will sich denn die Blöße geben und zugeben, dass das eigene Rechenzentrum nun rumlahmt?
Damit mit kann man natürlich alle Praxiserfahrungen wegdiskutieren.
Ich arbeite zufällig in einem Rechenzentrum, und wir hatten keine Leistungsverluste. Aber vielleicht will ich mir ja auch einfach keine Blöße geben ...
 

noir

( ͡° ͜ʖ ͡°)
Damit mit kann man natürlich alle Praxiserfahrungen wegdiskutieren.
Ich arbeite zufällig in einem Rechenzentrum, und wir hatten keine Leistungsverluste. Aber vielleicht will ich mir ja auch einfach keine Blöße geben ...
Ich gebe zu, es ist schwer (Also ja... unmöglich) zu beweisen das es etwas nicht gibt. Diese Diskrepanz unserer Erfahrungen (Wobei ich meine ja aus zweiter Hand habe) gibt mir aber schon zu denken.
 
C

c1151

Guest
Apple hat es da wirklich besser, da sie ja eine Hard-/Softwarecombo haben. Aber deswegen würde ich mir nicht wieder einen Apple kaufen, der Zug ist abgefahren. Wirklich interessant, was für Lösungen da kommen werden. Vielleicht bieten ja auch einige Mainboard-Hersteller mal ein LongTermSupport an? Lässt sich bestimmt gut verkaufen sowas. Mit Angst lässt sich wunderbar Geld verdienen. Microsoft will doch eigentlich keine Microcode Updates mehr raus bringen, oder? Ich glaube, ich habe sowas bei heise.de gelesen, obwohl die Seite auch nicht mehr ist was sie mal war. Da ist jeder Artikel mittlerweile mit Vorsicht zu genießen, viel Windows-Bashing und der Versuch mit Angst vor Sicherheitslücken Geld zu machen. Golem.de ist da einen Tick besser, frage ist aber wie lange noch.
 

haebbmaster

Verschwörungspraktiker
Diese Diskrepanz unserer Erfahrungen (Wobei ich meine ja aus zweiter Hand habe) gibt mir aber schon zu denken.
Vielleicht sind unsere Server einfach schnell genug.
Außerdem, wie willst du denn messen, was an Verzögerung beim Anwender ankommt? Der Seitenaufbau in meinem Terminplaner dauert weniger als eine Sekunde. Eine Verzögerung um 20% wäre überhaupt nicht zu bemerken. Und der Unterschied je nach Anwenderzahl zwischen 8 Uhr und 11 Uhr vormittags ist sicher größer.
Dann gibt es noch Zeiten im Netzwerk, Datenbankzugriffe etc. Die Leistung der CPU selbst ist da gar nicht so ausschlaggebend.
Die meisten Performancegewinne haben wir durch die Einführung von SSDs gemacht. Oder wenn wir den Softwareherstellern mal wieder beweisen müssen, dass sie einen Index in der Datenbank anlegen sollen.

Wenn ich eine Numbercrunchingfarm betreibe würde ich vielleicht Performanceverluste bemerken. Aber nicht in einer interaktiven Datenbankanwendung, wenn die vorher schon schnell genug war.

Anders sieht es natürlich aus, wenn der Server eh schon auf Kante fährt.
 
Zumindest in Benchmarks sollten sich die Leistunsgeinbußen zeigen. Außerdem sind Prozessoren von der Generation Skylake und neuer weniger betroffen als ältere.

Ich persönlich habe bei SSD Benchmarks was gemerkt. Leider konnte ich das nicht systematisch vermessen (mir fehlen Vergleichswerte von vor dem Patch).

@khz hatte zum Thema Leistunsgeinbußen ja schon was verlinkt - dort stehen die interessanten Dinge allerdings erst auf Seite 4.

Gute Informationen zu der Funktionsweise der Mitigations zu Branch Target Injection (Spectre V2) gibt es ansonsten zum Beispiel hier. Empfehlenswert ist das dort enthaltene Interview mit dem Forscher der TU Graz sowie der Mailaustausch mit Linus Torvalds.
 
Zuletzt bearbeitet:

khz

D@AU ~/Opportunist/Orwell # ./.cris/pr.run
<Halbwissen-on>Gibt es die Möglichkeit gute oder schlechte (verschiedene) Hardware in so Bereichen (Rechenzentrum/...) zu ver -bauen -wenden welche solche unterschiedliche Auswirkungen hervorrufen können? Neben viele anderen Faktoren wie @haebbmaster angeritzt hat (Tageszeit/...). Oder ist die verwendete Hardware immer ~ähnlich da es kaum Alternativen=Kongruenz gibt?<Halbwissen_off>

Ist schnelle Hardware wichtiger als stabile/sichere? Wenn "ja" dann könnte in vielen anderen Bereichen ja ähnlich produziert werden. ;-)
Intel zumindest macht das seit Mitte der 90'er. Und diese Lücken bestehen demnach seit Jahrzehnten? Das diese dann die erste Wahl sind verstehe ich zwar nicht, bin aber auch eher DAU in Computer Bereich.

heise@Windows-Bashing: Denke das da alle Betriebssysteme/Bereiche mehr oder weniger kritisch thematisiert werden, je nach Autor. Sind ja verschiedene Autoren. Wenn es Sicherheitsprobleme gibt werden sie veröffentlicht, egal wo.
Es gibt auch die Forderung Sicherheitsforschung zu verbieten damit so etwas erst gar nicht passiert.
(<OT>Vor ein paar Jahren gab es nur 2 Betriebssysteme, da war die Form des Bashing bzg. Linux das bewusste ignorieren der User!=Lebewesen. Später dann auslachen was schon ein vorschritt war. Das ist IMHO entwürdigender als sachlich miteinander diskutieren.</OT>)

@Fake-NEWS: Wenn ein Medium ständig Falschmeldungen verbreitet werden diese von den Lesern als solche erkannt und als seriöse Quelle vermieden. Wobei Springer/Kopp/... hmm also eher theoretisch, praktisch eher Gegenteil?
 
Zuletzt bearbeitet:
bin aber auch eher DAU in Computer Bereich
Du bist doch der, der hier gerne mit Tilde-Pseudocode und GNU-Geschichten um sich wirft ;-) Musst dich entscheiden was du sein willst :P [/User-über-User Mode OFF]

On-topic: Gegen Heise kann ich eigentlich auch nichts Negatives sagen. Die haben wenig bis keinen Betriebssystem-Bias. Da wird auch nicht Linux vergöttert oder so.
 
Zuletzt bearbeitet:

khz

D@AU ~/Opportunist/Orwell # ./.cris/pr.run
@OT Ja ich ~mag "open source" und deren Philosophie, eher ~mag ich mehr deren Philosophie auf Meta Ebene, nicht nur im Computerbereich. Aber technisches Wissen habe ich sehr wenig und zufällig, unvollständig - über Jahrzehnte! - c/p, also ein (gefährlicher/fehlerbehafteter) DAU für andere. Gratwanderung zum Fanatiker.
Traue niemals einem @khz! Denk für dich selbst! ;-)
 
Zuletzt bearbeitet:

blauton

6 von 5
Ja, das ist nicht ganz neu. Das Prinzip ist daß was immer man bei USB reinsteckt sich als Keyboard ausgibt
und dann Befehle "eintippt".
 

recliq

|||
Könnte vielleicht jemand endlich mal die Überschrift in den Plural erheben? Es braucht wohl bald eine eigene Wikipedia für die Aufzählung und Erklärung der ganzen Sicherheitslücken in CPUs.
 

khz

D@AU ~/Opportunist/Orwell # ./.cris/pr.run
Von Intel kauf ich mir erst einmal nichts mehr, sind eh zu groß auf dem Markt. IMHO
 


News

Oben