Meltdown und Spectre: Intel äußert sich zu den Sicherheitslücken der eigenen CPUs

„Meltdown“ und „Spectre“ zählen im Technologiesektor zu den wichtigsten Schlagwörtern des noch jungen Jahres 2018. Sie bezeichnen eine Reihe von kürzlich für die Öffentlichkeit bekanntgewordenen Sicherheitslücken unter anderem in Intel-CPUs, über die Angreifer an Nutzerdaten gelangen können. Auch in Macs kommen die betroffenen Prozessoren zum Einsatz. Intel-Chef Brian Krzanich wendet sich jetzt mit einem offenen Brief an die Kunden, um über den Stand der Dinge zu informieren und die nächsten Schritte anzukündigen.

Update-Plan für betroffenen CPUs
Zunächst lobt Krzanich die „bemerkenswerte, industrieweite Zusammenarbeit“, um so schnell wie möglich Maßnahmen gegen Meltdown und Spectre in die Weg zu leiten. Besonderer Dank gelte dem Team von Google Project Zero, das die Lücken in Intel-Chips aufspürte und den Fund dokumentierte.

Bis zum 15. Januar seien für mindestens 90 Prozent der Intel-Prozessoren, die der Hersteller in den letzten fünf Jahren präsentierte, Sicherheitsupdates erschienen. Die restlichen CPUs dieses Zeitabschnitts werden bis Ende Januar entsprechende Aktualisierungen erhalten. Ab dem nächsten Monat gehe es daran, auch für ältere Intel-Chips Updates in die Wege zu leiten.

Intel informiert via Website
Nutzer können sich via Intel-Website jederzeit über den Fortschritt informieren. Der Hersteller wird dort auch Hinweise dazu geben, ob Kunden mit Leistungseinbußen der jeweiligen Chips, die durch Softwareupdates hervorgerufen werden, rechnen müssen.

Abschließend betont Krzanich erneut, wie wichtig dem Unternehmen die Sicherheit der Nutzer und deren Daten ist. Intel arbeite mit vielen Industriepartnern daran, Rechner besser vor Hackerangriffen zu schützen. Dazu gehöre auch, akademische und und unabhängige Forschungseinrichtungen, die sich der Suche nach potenziellen Bedrohungen für die Sicherheit von Computersystemen widmen, finanziell zu unterstützen. Die wichtigste Schutzmaßnahme, die Endkunden und PC-Hersteller gleichermaßen ergreifen können, sei das zeitnahe Installieren von Software- und Firmware-Patches.

Kommentare

Paddy2590
Paddy259012.01.18 14:13
Wie bekomme ich diese Updates? Müssen die von Apple über den Store bereitgestellt werden, oder muss ich die anderweitig installieren?
0
Paul K.
Paul K.12.01.18 14:22
Paddy2590

Auf Apple warten, Update kommt via App Store. Eine andere Update-Variante sollte man bei Apple besser unterlassen 😬
0
Windwusel
Windwusel12.01.18 14:23
Du kannst davon ausgehen das der entsprechende Patch in Form von einem Sicherheitsupdate im App Store oder über ein allgemeines OS Update (z.B. 10.13.3) erscheinen wird. Apple macht es seinen Kunden bestimmt nicht schwer.

Meltdown wurde in 10.13.3 bereits gefixt. Ein Microcode Update für Spectre wird von Intel in Kürze bereitgestellt. Wann Apple das aber einbindet ist derzeit noch unklar.
Meine  Hardware: MacBook Pro mit Touch Bar (15-inch, 2017), iPhone X und Apple TV 4
0
sierkb12.01.18 14:50
Windwusel
Meltdown wurde in 10.13.3 bereits gefixt.

Wenn ich die Formulierungen unter

WebKit Blog (08.01.2018): What Spectre and Meltdown Mean For WebKit
und
WebKit Blog (10.01.2018): Release Notes for Safari Technology Preview 47

und auch die Formulierungen anderer Browser-Hersteller zu deren ersten Fixes richtig verstanden habe: noch nicht endgültig, sondern teilgefixt bzw. erstmal das Gröbste, das ganze Fixing ist ein mehrteiliger Prozess, der offenbar noch nicht endgültig abgeschlossen ist, weitere, bessere, gründlicherere Fixes werden wohl noch folgen.
Windwusel
Ein Microcode Update für Spectre wird von Intel in Kürze bereitgestellt.

Wird bereits bereitgestellt seit dem 08.01.2018, siehe

Intel Support Download: Drivers & Software: Downloads for Processors
Intel Support Download: Drivers & Software (08.01.2018): Linux* Processor Microcode Data File

Und laut , :
Despite the name, this is not Linux-specific microcode. If you're running SmartOS or another illumos derivative, run ucodeadm(1) on the microcode.dat file (which will need to be renamed to have an "intel" prefix per the man page -- e.g., "intel-code.txt"). You can then run "ucodeadm -v" to validate that the new microcode has been loaded. (Note that this does not persist across a reboot, but we at Joyent are currently in the process of upstreaming the microcode into illumos, at which point it will.)
Windwusel
Wann Apple das aber einbindet ist derzeit noch unklar.

Jepp. Warten ist angesagt.
+3
erikhuemer
erikhuemer12.01.18 14:51
Irgendwie klingt das für mich so, als ob ich mit Karacho in ein Auto fahre und dann ein Hansaplast anbiete.
Der Fortgang der wissenschaftlichen Entwicklung ist im Endeffekt eine ständige Flucht vor dem Staunen. Albert Einstein
-4
JR12.01.18 15:40
Windwusel
Meltdown wurde in 10.13.3 bereits gefixt.

Und wo bleibt 10.13.3?
0
Windwusel
Windwusel12.01.18 16:17
JR
Windwusel
Meltdown wurde in 10.13.3 bereits gefixt.

Und wo bleibt 10.13.3?
Beta ist schon da ^^
Meine  Hardware: MacBook Pro mit Touch Bar (15-inch, 2017), iPhone X und Apple TV 4
+1
aMacUser
aMacUser12.01.18 16:19
erikhuemer
Irgendwie klingt das für mich so, als ob ich mit Karacho in ein Auto fahre und dann ein Hansaplast anbiete.
Eher anders: Du fährst mit 100km/h auf eine Betonwand zu und Intel baut jegliche existente Abbrems-Technik der Welt vor die Mauer.
+1
matt.ludwig12.01.18 16:34
Paul K.
Paddy2590Auf Apple warten, Update kommt via App Store. Eine andere Update-Variante sollte man bei Apple besser unterlassen 😬
Nö, Comboupdates sind auch nie eine schlechte Idee
-2
gfhfkgfhfk12.01.18 18:04
sierkb
Wird bereits bereitgestellt seit dem 08.01.2018, siehe …
Der Punkt der interessant ist: Wird Apple die Firmware der Systeme patchen und zum Download anbieten, so dass das OS die Firmware nicht laden muss, oder unterstützt Apple das Nachladen der Firmware wie unter Linux?
+1
depeche101mode12.01.18 18:12
Und die Altprozessoren unter El Capitan?
+2
sierkb12.01.18 20:17
Spiegel Online (12.01.2018): Sicherheitslücken in Prozessoren: Womit Sie nach Intel-Updates rechnen müssen
Nach dem PR-Debakel um die Sicherheitslücken "Meltdown" und "Spectre" gelobt Intel-Chef Brian Krzanich Besserung. Doch einige Updates führen zu Problemen.

heise (11.01.2018): Intel-Benchmarks zu Meltdown/Spectre: Performance sackt um bis zu 10 Prozent ab, SSD-I/O deutlich mehr
Die Leistungsfähigkeit aktueller Intel-Prozessoren kann sich laut Intel nach dem Einspielen von Sicherheitspatches um bis zu 10 Prozent verringern, in Spezialfällen fällt der Performance-Verlust sogar noch höher aus. Besonders betroffen: SSD-Systeme.
0
sierkb12.01.18 21:17
Golem (12.01.2018): Updates: Wie man Spectre und Meltdown los wird
Sicherheitslücken in fast allen modernen Prozessoren verunsichern seit der vergangenen Woche Privatanwender und Administratoren. Wir erklären, was Nutzer derzeit unternehmen sollten und wo noch Unklarheit besteht. Dabei konzentrieren wir uns auf Desktop- und Server-Systeme. Eine Analyse.
Golem
[…]
Während eines Vortrags auf der Sicherheitskonferenz Real World Crypto sagte der an der Entdeckung beteiligte Sicherheitsforscher Jann Horn von Googles Project Zero, er sei sich "nicht so sicher", ob gegen Meltdown mit den bestehenden Prozessoren ein effektiver Patch entwickelt werden könne. Diese Aussage gilt nach Angaben von Horn auch für die zweite der Spectre-Sicherheitslücken mit der CVE-Nummer 2017-5715.
[…]
[…]
Was macht Apple für MacOS-Nutzer?

Auch Apple hat bereits reagiert und Patches für Meltdown bereitgestellt. Da Apple in seinen Mac-Rechnern durchgehend Intel-Chips einsetzt, sind aktuelle Geräte auf jeden Fall von Meltdown betroffen. Und natürlich sind die Chips auch für Spectre anfällig.

Klar ist, dass Nutzer der aktuellen Version 10.13.2 (High Sierra) und wohl auch in der Version 10.13.1 mit Updates für Meltdown versorgt sind. Nutzer der Versionen Sierra (10.12) und El Capitan (10.11) sind derzeit noch nicht bedacht worden, obwohl das in den Release-Notes auch für die älteren Versionen zunächst angekündigt worden war.

Unklar ist, ob der Patch zu einem späteren Zeitraum nachgereicht wird. Wegen zahlreicher Fehler und Problemen in High Sierra dürfte es noch viele Nutzer geben, die aus Unsicherheit eine nicht-aktuelle Version von MacOS verwenden.

Details zu Spectre-Patches sind bislang unklar

Völlig offen ist bislang noch, wie Apple mit Spectre umgeht. Hier müsste das Unternehmen die von Intel bereitgestellten Mikrocode-Updates einspielen. Da es unter MacOS derzeit offenbar keine praktikable Möglichkeit gibt, den Update-Status der CPU zu checken, berichten Mac-Nutzer, dass sie per Bootcamp eine Windows-Version laden und den Patchstatus dann mit Microsofts Powershell-Tool überprüfen.

Apple hat sich auch auf Anfrage von Golem.de noch nicht geäußert, wann und in welcher Form die Patches für Spectre kommen werden. Ein stabiler Workaround für das Einspielen des Mikrocodes durch Nutzer ist bislang nicht bekannt. Apple-Nutzer sollten darauf achten, die aktuelle Version von MacOS zu benutzen und eventuelle zukünftige Firmware-Updates beachten.
[…]
Q:
Golem
Meltdown-Patches für ARM64,
Meltdown-Variante für weit verbreitete ARM-CPUs
+2
An_Dy13.01.18 13:58
Tja das wird wahrscheinlich auch ein wenig schockieren, aber es ist doch irgendwie nur noch alles S* und wird sich auch wahrscheinlich bei dem einen oder anderen im täglichen Arbeitslauf bzw. der Geschwindigkeit seines Gerätes bemerkbar machen

"Meltdown patch reduces mkfile(8) throughput to less than 1/3 on macOS"
+1
Freudensprung13.01.18 14:20
Bei dem ganzen Geschwätz von Intel fehlt mir der Hinweis nach Zahlungen von deren Seite für den Mist den Sie entwickelt haben.
-2
aMacUser
aMacUser13.01.18 14:23
Freudensprung
Bei dem ganzen Geschwätz von Intel fehlt mir der Hinweis nach Zahlungen von deren Seite für den Mist den Sie entwickelt haben.
Wenn man an einem Kommentar schon erkennen kann, wie viel Kompetenz der Schreiber in dem angesprochenen Themen hat...
+1
sierkb13.01.18 15:35
An_Dy
Tja das wird wahrscheinlich auch ein wenig schockieren, aber es ist doch irgendwie nur noch alles S* und wird sich auch wahrscheinlich bei dem einen oder anderen im täglichen Arbeitslauf bzw. der Geschwindigkeit seines Gerätes bemerkbar machen

"Meltdown patch reduces mkfile(8) throughput to less than 1/3 on macOS"

osxreverser (07.01.2018): Measuring OS X Meltdown Patches Performance

kommt zu ähnlichen eklatanten Performance-Einbrüchen, teilweise grausam schlechten Ergebnissen (Details siehe Link).
[…]
The general conclusion points toward a real performance loss with High Sierra 10.13.2. This result was expected because of the engineering behind the patch and other operating systems initial reports. The syscall results are somewhat atrocious with 2 to 4 times increases in total execution time. This at “face” value looks really bad and some workloads will definitely suffer, hence the need to measure the impact for each specific scenario. But OS X and iOS are mostly desktop type operating systems and so the impact is somewhat smoothed because they aren’t executing millions of syscalls as fast as possible as my tests did. Yes it sucks, we just lost a certain amount of computing power in the space of a week, and for some people there is even real financial impact - some cloud users experienced higher CPU usage which will translate into higher costs.

[…]
Conclusions

[…]
The main question to be answered is if the performance impact exists?
Yes, it is very clear.

That leads to a follow up question. Is it relevant?
It depends.
[…]
One thing is sure, this appears to be here to stay in the medium to long term until all hardware is replaced.

Yes it sucks very much that we all lost computing performance due to a CPU bug. Blame all CPU manufacturers and designers. Or you can view this from Adam Smith point of view of “there is no such thing as free lunches”. The computing power increased spectacularly in past decades. Do we really think this was without any trade-offs, in particular security trade-offs? Or maybe those security trade-offs weren’t even known or taken in account?

Because hindsight is 20⁄20 and now people are finding out old papers (“The Intel 80x86 Processor Architecture: Pitfalls for Secure Systems” ) discussing early ideas on this type of problems and others exposing their knowledge and previous experimentations with similar issues (“Finding a CPU Design Bug in the Xbox 360” ). So the ignorance defence is probably harder to sustain and it was just a trade-off performance vs security. Money talks, security walks .

Cheers to all the researchers involved in Meltdown and Spectre, this was top notch security research.
[…]
0
An_Dy13.01.18 15:51
sierkb
Ich glaube wir haben auch noch einen anderen Aspekt außer acht gelassen. Die Performance ist ja eine Sache, aber was ist eigentlich mit der Akkulaufzeit? Ich habe bisher nur davon gelesen, dass die CPUs (und SSDs) langsamer werden, aber wenn diese für eine Aufgabe viel länger oder mit einer höheren Last arbeiten müssen, dann wird es doch sicher auch die Akkulaufzeit schrumpfen. Bisher habe ich noch nirgends was dazu gelesen. Bei den Smartphones sprechen sie auch immer nur davon, dass die Performance leidet, aber ob die Akkulaufzeit auch betroffen ist, stand nicht dabei.
0
sierkb13.01.18 16:16
An_Dy:

Hier (1. Artikel) steht was dazu:

Jani Tarvainen (10.01.2018): The potential impact of Spectre on mobile performance and security

Melvin Mughal: iPhone performance benchmarks after Spectre security update

Und auch hier:

React, etc. Tech Stack (10.01.2018): Benchmarks show Spectre patch slows iPhone JavaScript performance by 40%
0
sierkb14.01.18 19:07
heise (11.01.2018): Meltdown und Spectre: Mitentdecker warnt vor erstem Schadcode
Sicherheitsforscher Anders Fogh hat entscheidend zur Entdeckung von Meltdown und Spectre beigetragen. Er schätzt, dass es schon in Kürze erste Angriffe auf Computer geben wird. Funktionierende Werkzeuge dafür kursierten bereits im Netz.

G Data Security Blog (11.01.2018): Interview mit Anders Fogh: Auf Tuchfühlung mit "Spectre" und "Meltdown"
Meltdown und Spectre gelten als die gravierendsten Sicherheitslücken in der Computergeschichte. Mit Anders Fogh arbeitet in unserem Team einer der wenigen Spezialisten weltweit zu diesem Thema. Er hat mit seiner Forschung die Grundlagen für das gelegt, was wir heute als Meltdown und Spectre diskutieren. Wir haben ihm ein paar Fragen gestellt.
+1
Freudensprung15.01.18 10:16
aMacUser
Freudensprung
Bei dem ganzen Geschwätz von Intel fehlt mir der Hinweis nach Zahlungen von deren Seite für den Mist den Sie entwickelt haben.
Wenn man an einem Kommentar schon erkennen kann, wie viel Kompetenz der Schreiber in dem angesprochenen Themen hat...
Lemming, bis her gab es keinerlei Äusserung zur monetären Wiedergutmachung für 24 Monate alte Hardware. Was juckt mich warum und wieso etwas langsamer ist, es ist langsamer. Comprende?
0
sierkb15.01.18 10:21
Freudensprung:

heise (07.01.2018): Meltdown und Spectre: Erste Klagen gegen Intel, Performanceprobleme kochen hoch
In drei US-Staaten wurden wegen der Sicherheitslücken in Intel-Prozessoren Klagen eingereicht. Die Kläger streben eine Sammelklage an – unter anderen wegen Performance-Einbußen. Die hatte auch schon Epic Games als Grund für Fortnite-Downtimes beklagt.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen