Eine schwerwiegende Sicherheitslücke im Prozessordesign von Intel wurde entdeckt, welche alle Betriebssysteme betrifft und angeblich bereits 10 Jahre existieren soll. Noch wurde die Lücke nicht behoben und entsprechend wenige Details wurden bislang veröffentlicht.
Bekannt ist lediglich, dass die Lücke erlaubt, dass bösartige Programme auf den Kernelspeicher zugreifen. Der Kernel ist ein zentraler Bestandteil eines Betriebssystems, enthält Treiber für Hardware, Schnittstellen für Anwendungen und verwaltet das Dateisystem. Der Kernel verfügt über die höchsten Rechte im System, was das Lesen und Schreiben von Daten betrifft. Die Intel-Prozessoren scheinen aufgrund dieses Designfehlers, der wohl einen grundlegenden Fehler in Intels x86-Implementierung darstellt, nicht in der Lage gewesen zu sein, die Restriktionen des Betriebssystems umzusetzen, sodass nur der Kernel dafür bestimmte Bereiche bearbeiten kann. Normale Programme sowie auch Inhalte aus dem Web, die auf Javascript basieren, hätten möglicherweise mit dem Kernel interagieren können. Ein Update für die Firmware des Prozessors wird wirkungslos bleiben, da einfach Intels Design einen Fehler hat. Somit müssen alle Betriebssysteme entsprechend angepasst werden, diese Restriktionen umzusetzen und zwar muss der Kernel vom System aus einen komplett neuen Adressbereich erhalten.
Fix macht PCs langsamer
Die wohl einzig mögliche Lösung ist die Verwendung von Kernel Page Table Isolation, um den Kernelspeicher vom User Mode zu trennen, welcher eben keine Möglichkeit haben sollte, auf die Hardware direkt zuzugreifen. Dieser Bugfix könnte allerdings die Performance des Computers reduzieren.
Laut Experten gibt es die Möglichkeit, dass die Performance um 5 bis 30 Prozent sinkt nachdem die Patches angewendet wurden. Es hängt allerdings stark davon ab, von welcher Generation die CPU ist und welches Modell. Bei neueren Prozessoren soll der Unterschied allerdings geringer sein.
Windows-Patches bestätigt
AMD-basierte Geräte sind von diesem Fehler übrigens gar nicht betroffen. Windows und Linux werden in naher Zukunft einen Patch für diese Lücke erhalten, jedoch gibt es von Apple bislang keine Bestätigung.
Für Cloud-Anbieter ist das Problem besonders unangenehm, da so Nutzer theoretisch Zugriff auf den Kernel haben könnten, um somit Angriffe auf die gesamte Infrastruktur zu starten. Microsoft scheint bereits einen Fix bereit zu haben und wird dazu Azure-Server am 10. Januar neu starten.
via mspu / Quelle: The Register
Da bin ich ja mal gespannt, was am Dienstag so passiert…
Könntet Ihr dann mal recherchieren, ab wann/welcher Prozessorgeneration der Fehler nicht mehr auftritt?
Es wäre ja gut zu wissen, wenn ich mir jetzt bald ein neues Gerät kaufe, dass das dann keinen Patch benötigt und mir der vorgesehenen Geschwindigkeit läuft… 😉
Hintergründe zur (offenbar defekte) Technik in der CPU, um die es hier geht, kann man (rudimentär für einen Überblick) hier studieren:
https://de.wikipedia.org/wiki/Ring_(CPU)
https://de.wikipedia.org/wiki/Virtuelle_Speicherverwaltung
https://de.m.wikipedia.org/wiki/Speicherschutz
Edit: Mittlerweile viel besser nachlesbar bei heise:
https://m.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html
Wer glaubt das die NSA oder andere hinter solch einem Hardware super Gau stecken ist vermutlich ein Verschwörungstheoretiker, oder nicht?
Was ist die quelle der bis zu 30% Verlangsamung durch den Patch?
Bei Heise secqurety beispielsweise ist die Rede von 0,28 – 5%.
Vielleicht ist doch nur das Komma verrutscht, wie damals beim Spinat?! ?
Bin Ich froh einen AMD Prozessor zu haben
Bin Ich froh einen AMD Prozessor zu haben
Hat AMD dann am Ende gar wieder die Nase vorn, wie noch vor gut 15 Jahren? ?
Athlon XP… Das waren Zeiten… ?
Athlon 64 hatte ich ab 2003/04, als Intel noch mit echten 3,x GHz warb. Das waren noch Intel-Prozessoren zum Spiegeleierbraten. ?
Da konnte AMD das ganze bei weniger GHz trotzdem schneller.
Edit: Das war auch der Grund, wieso es bei Windows XP keinen i386-Ordner mehr gab, wie noch bei den Versionen zuvor. Da AMD die Nase vorn hatte, wurde der Ordner in AMD64 umbenannt.
Ihr habt ryzen nicht mitbekommen oder? Amd lag schon vor kurzem noch vorne… Gerade sind sie wieder etwas zurück, aber is ja normal bis ryzen 2 kommt…
Nein, leider nicht. Gilt das nur für Videoschnitt oder auch für Allround-Anwendungen und Spiele?
Das gilt für alle Anwendungen.
Auf jeden Fall bekommt man mehr Leistung\Geld.
In der Überschrift steht „wird“ im Artikel selbst „könnte“. Was denn nun? ?
Erstaunlich ist immer, wie zeitnah MS bei Sicherheitspatches reagiert. Bei Apple liest man immer, dass sich noch niemand geäußert hat.
Ich hoffe mal, dass das System dann nicht so dermaßen lahm läuft, dass man gezwungen ist einen neuen Rechner zu besorgen. Obwohl … vielleicht so tolle always on PCs ?. … tja Intel … ??
Könnt ihr bitte Bescheid geben, wenn dieses Update kommt und wenn ja, wie es genau heißt, damit man es blockieren kann?
Ich meine ja fast, von diesem Fehler vor ein paar Jahren schon mal gelesen zu haben. Wenn der Fehler schon 10 Jahre bekannt ist und ihn bis heute niemand ausgenutzt hat, verstehe ich die plötzliche Panikmache nicht. Und für so einen Fix dann eine Verlangsamung des Systems in Kauf zu nehmen halte ich für übertrieben. Wäre nur schön, wenn dann jeder selbst entscheiden dürfte, ob er sich das antut oder nicht.
So kann nur jemand schreiben dem die tragweite des Fehlers nicht bewußt ist.
Ich würde den Patch auf gar keinen Fall blockieren!!
Er müsste meines Erachtens sogar zwangsweise installiert werden (!)!!
Habe gerade nicht die Zeit noch die Lußt (wieder) große Abhandlungen über den „Kernel Mode“ bzw. auch „Ring 0“ bei CPU’s seit dem 80286 genannt zu beschreiben. Nur soviel: Es ist das grundlegendste in Hardware implementierte Sicherheitskonzept für Multitasking fähige CPU’s (quasi alle heutzutage).
Wenn es sich bestätigt, das seit 10 jahren ein offenbar (zum glück noch nicht ausgenutzter(?)) sicherheits Kritischer Hardware Fehler bei Intel CPU’s existiert ist das der Super Gau für Intel! Und den Intel Nutzern!
Hintergründe zur (offenbar defekte) Technik in der CPU, um die es hier geht, kann man (rudimentär für einen Überblick) hier studieren:
https://de.wikipedia.org/wiki/Ring_(CPU)
https://de.wikipedia.org/wiki/Virtuelle_Speicherverwaltung
https://de.m.wikipedia.org/wiki/Speicherschutz
Jo Wie soll jemand so einfach daran gelangen, wenn man sich nicht wie ein kompletter Laie verhält, der jeden Link anklickt, den er findet, alles installiert, was es so gibt und sonst auch nichts an seinem System konfiguriert? Das passiert nicht einfach so, sondern nur wenn man es zulässt. Ich habe mein System weitestgehend vor Schadprogrammen und anderem Unrat gesichert (und nein, ich hab nicht einfach nur eine Internet Security installiert!). Ich hatte noch nie irgendeinen schwerwiegenden Virenbefall oder ein durch Schadprogrammen abgerauchten PC. Wenn das Update wirklich eine Leistungsbremse ist, wird es nicht installiert. Punkt. Und sollte es tatsächlich irgendwann durch einen dummen Zufall passieren, dass mein PC von solch einer ausgenutzten Lücke unbrauchbar gemacht wird, ist es eben so. Backups sind gesichert und bei defekter Hardware gibt’s eben neue. Muss meinen PC eh bald wieder aufrüsten. Was wollen sie denn noch machen? Meine Spielstände stehlen? Und ehrlich gesagt, wäre es so einfach wie in anderen Staaten, müsste man Intel für diese Schludereien verklagen! Es kann nicht sein, dass sie Wucherpreise für ihre Prozessoren verlangen, und dann noch rumpfuschen! Und eigentlich müssten alle, die einen Intel verbaut haben (das wird wohl die Mehrheit sein), dagegen vorgehen. Denn das ist nicht nur grob fahrlässig, sondern auch fast schon vorsätzlich! Auf biegen und brechen den Nutzer zu irgendwas zu zwingen, ist so ziemlich das Letzte. Denn ob er irgendwas installiert oder nicht, sollte er immer noch selbst entscheiden. Oder findest du es auch gut, dass FertigPCs mit massenhaft Bloatware ausgeliefert werden, weil das angeblich gut oder nützlich ist?
Der Fehler kann bei Intel CPU’s durch bloße Nutzung des Browsers durch JavaScript ausgenutzt werden.*
Da nützt zur Zeit das sauberste System nichts. Ziel sind z.B. Passwörter welche im Browser gespeichert oder vor kurzem eingegeben wurden.
Grundsätzlich gebe ich dir recht, das der Nutzer entscheiden können soll was installiert wird und was nicht. Hier ist das aber etwas anderes! Die entscheidung war, ein Betriebssystem zu nutzen! Jedes moderne Betriebssystem welches betreffende CPU’s unterstützt muß gepatcht werden! Oder es funktioniert nicht mehr richtig, denn die Hardware stellt *jetzt* andere Anforderungen an das OS! Spätestens seit der veröffentlichung des Bugs kann läuft die Zeit gegen ungepatchte User.
*) [https://m.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html]
Mhhhh ?, wer böses denkt.
war sicher ungeplant. Welch ein Zufall es ist, dass der Intel Chef noch Ende Dezember praktisch all seine Aktien verkauft hat…
„Bei neueren Prozessoren soll der Unterschied allerdings geringer sein.“
Heißt das im Umkehrschluss bei (m)einem älteren i5-2320 könnte die Leistungseinbuße eher Richtung 20-30% gehen?
bei bestimmten Anwendungen, ja.