Jump to content
MacG

Schwere Sicherheitslücke in allen x86 Intel CPUs (update AMD und ARM auch betroffen)

Empfohlene Beiträge

Hallo liebe Druckies,

wie es scheint wurde bei Intel CPU nach dem letzten BUG in der Management Engine nun noch einen Fehler in der x86 Architektur festgestellt.

    Update: AMD ebenfalls betroffen und auch ARM Architektur weist diesen Fehler auf.

Dieser lässt sich nicht mit einem Microcode update beheben, da es sich wohl um einen Designfehler der Architektur handelt.

    Update: Für Spectre kann Intel nach eigener Aussage nun doch Microcode updates herausbringen und tut dies für CPUs ab einem Produktionsdatum von 2013. Für Meltdown ist man immer noch auf OS updates  angewiesen.

    https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-patcht-ab-2013-produzierte-Prozessoren-bestaetigt-Performance-Auswirkung-3936956.html

Um die Sicherheitslücke zu schliessen muss das Betriebssystem gepatcht werden um Kernel Page Table Isolation zu aktivieren. Dies kann wohl in bestimmten Fällen bis zu 30% Leistungsverlust verursachen, für normale Gamer wohl eher zwischen 1-3%. Bleibt die Lücke offen können Prozesse mit Benutzerrechten geschützten Kernelspeicher auslesen und so evtl. an Logins und Passwörter herrankommen.

Quellen:

https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/ (englisch)

https://derstandard.at/2000071395941/Intel-CPUs-Verheerende-Luecke-Fix-resultiert-in-Performance-Verlust (deutsch)

http://www.pcgameshardware.de/CPU-Hardware-154106/News/Intel-Erneut-Hinweise-auf-Sicherheitsluecke-1247001/ (deutsch)

 

bearbeitet von MacG
update

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das ist so ziemlich der Super-GAU für Intel... Da wurde auf Hardwareebene extrem geschlampt.

Ich kann mir vorstellen das es bald Klagen wegen der bis zu 30% verminderten Leistung geben wird. Der Prozessor arbeitet dann ja nicht mehr in der Geschwindigkeit wie beim Kauf angegeben!?

Mal sehen wie sich das auf den Markt auswirken wird und ob AMD davon profitieren kann...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 58 Minuten schrieb lemba:

 

Mal sehen wie sich das auf den Markt auswirken wird und ob AMD davon profitieren kann...

AMD und ARM sind laut Googles Project Zero davon auch betroffen, wenn auch nicht ganz so krass wie Intel.

Die 30% sind ein einzelner Extremwert. Im Schnitt sind die Intel CPUs wohl 2-4% langsamer in typischen Datenbankanwendungen. Aber selbst das wird Intel im Servermarkt ne Menge Geld und Ansehen kosten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wo steht denn das mit AMD? Weil meine Infos sich darauf belaufen, das AMD meint, angeblich nicht betroffen zu sein(Gut, wahrscheinlich Marketing).

http://www.chip.de/news/Sicherheitsluecke-erschuettert-die-Tech-Welt-Prozessor-Fehler-betrifft-Milliarden-Geraete_131088408.html

Fettes Ding! Krass! Hihihihiiiii....äh.

Edit:

Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien.

Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.

bearbeitet von tdkoe-descander

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

So jetzt kommt alle mal ein wenig runter! Anbei ein Zitat aus einem heise Artikel:

"Klar scheint nach den Analysen von Google jedenfalls zu sein, dass man lokal Code ausführen können muss, um einen Angriff einzufädeln."

Aus meiner Sicht wichtig: "lokal" und "muss"

Jetzt erklärt mir doch bitte mal, wie die Hacker in eure Wohnung kommen sollen oder seid ihr alle sooooo wichtig, dass ein solches Szenario (Aufwand/nutzen) bei euch denkbar wäre? :mrgreen:

Hier noch der komplette Artikel: Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates

 

justmy2cent

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 12 Minuten schrieb PatienTT:

So jetzt kommt alle mal ein wenig runter! Anbei ein Zitat aus einem heise Artikel:

"Klar scheint nach den Analysen von Google jedenfalls zu sein, dass man lokal Code ausführen können muss, um einen Angriff einzufädeln."

Aus meiner Sicht wichtig: "lokal" und "muss"

Jetzt erklärt mir doch bitte mal, wie die Hacker in eure Wohnung kommen sollen oder seid ihr alle sooooo wichtig, dass ein solches Szenario (Aufwand/nutzen) bei euch denkbar wäre? :mrgreen:

Hier noch der komplette Artikel: Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates

 

justmy2cent

 

Ähm, du weißt schon das man mit einem relativ einfachen PHP-Script (PHP ist so etwas wie HTML, sprich fast ALLE Webseiten nutzen PHP) Schadcode auf deinem Rechner lokal ausführen kann?! (z.B. mit dem Befehl: exec)

Dazu muss KEIN Hacker an deinem Rechner in echt sitzen... der macht das Ferngesteuert! Dein Rechner allerdings denkt, das der Befehl LOKAL ausgeführt wird.

Verstanden? ;)

bearbeitet von lemba

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

So einfach wie Du es darstellst, ist es nicht...

Ansonsten hätte ich gern einen Beweis von Dir, wie Du so einfach über eine Webseite meinen PC zu Hause angreifst und mit dem Angriff auch noch Erfolg hast. Wenn Du nicht die nötigen Skills hast, Du kennst bestimmt jemand ;)

 

Und um eines klar zu stellen, ich empfinde diese ganze Angelegenheit als eine bodenlose Frechheit den Käufern gegenüber, egal ob privat oder geschäftlich!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich habe auch nur gefährliches Halbwissen aber google mal nach Code-Injection... ich kann ja mal unsere DW-HP versuchen zu infizieren ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ihr vögel ...

genau, um lokal code auszuführen kommt der h4ckm4st0r1999 bei einem vorbei und drückt die enter taste ...

mit schwarzen lederhandschuhen an, dabei läuft das im hintergrund:

 

 

 

 

------------------------------------- runterkommenlinie -----------------------------------------

 

der l33t x386 h4xx ist schon seit frühsommer 2017 bekannt und alle relevanten hersteller wurden informiert. das heisst eure windows pc´s haben den patsch schon seit monaten drauf, viele eurer IOS und android geräte auch (bis auf die alten). 

ihr könnt also eure cpu benchmarks wieder einpacken: wenn ihr bis jetzt nix gemerkt habt, merkt ihr auch nix.

 

zum "lokal code ausführen" muss ein angreifer erstmal an eurem wertgeschätzen virus/trojaner schutz vorbei ... wer da nix gescheites hat, dessen adobe reader/internetbrowser/watweissichrandomprogramm kann genauso angegriffen werden wie der cpu exploit.

 

das einzig spektakuläre an der "news" ist, das sie eigentlich erst 1 monat später offiziell bekannt gegeben werden sollte. der exploit wurde im labor gefunden und es wurde sicher gestellt, das vor bekanntgabe alle relevanten hersteller genug zeit haben das leck zu stopfen.

 

die yellow-press weiss schon wie sie klicks generiert :)

bearbeitet von LaRokka

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 19 Minuten schrieb LaRokka:

ihr vögel ...

genau, um lokal code auszuführen kommt der h4ckm4st0r1999 bei einem vorbei und drückt die enter taste ...

mit schwarzen lederhandschuhen an, dabei läuft das im hintergrund:

 

 

 

 

------------------------------------- runterkommenlinie -----------------------------------------

 

der l33t x386 h4xx ist schon seit frühsommer 2017 bekannt und alle relevanten hersteller wurden informiert. das heisst eure windows pc´s haben den patsch schon seit monaten drauf, viele eurer IOS und android geräte auch (bis auf die alten). 

ihr könnt also eure cpu benchmarks wieder einpacken: wenn ihr bis jetzt nix gemerkt habt, merkt ihr auch nix.

 

zum "lokal code ausführen" muss ein angreifer erstmal an eurem wertgeschätzen virus/trojaner schutz vorbei ... wer da nix gescheites hat, dessen adobe reader/internetbrowser/watweissichrandomprogramm kann genauso angegriffen werden wie der cpu exploit.

 

das einzig spektakuläre an der "news" ist, das sie eigentlich erst 1 monat später offiziell bekannt gegeben werden sollte. der exploit wurde im labor gefunden und es wurde sicher gestellt, das vor bekanntgabe alle relevanten hersteller genug zeit haben das leck zu stopfen.

 

die yellow-press weiss schon wie sie klicks generiert :)

 

Bitte bei den Fakten bleiben und gut/besser informieren (eine gute Quelle ist z.B.: https://meltdownattack.com)

1. Um Code lokal auf einem Rechner ausführen zu können MUSS MAN NICHT AM RECHNER SITZEN!

2. Der Bug ist seit Juni bekannt. Die Patches werden aber erst jetzt bzw. sind erst vor kurzem ausgerollt... also nicht seit Monaten!

3. Meltdown und Spectre werden von Anti-Virus- und Malware-Scanner (oft) NICHT ENTDECKT!!! -> Siehe Punkt 3 der FAQ weiter unten.

4. Der Bug wurde im Labor entdeckt. ES IST NICHT BEKANNT, OB ER NICHT SCHON IN "FREIER WILDBAHN" AUSGENUTZT WIRD! Siehe Punkt 5 der FAQ.

 

Hier mal die FAQs:

Questions & Answers

Am I affected by the bug?

Most certainly, yes.

Can I detect if someone has exploited Meltdown or Spectre against me?

Probably not. The exploitation does not leave any traces in traditional log files.

Can my antivirus detect or block this attack?

While possible in theory, this is unlikely in practice. Unlike usual malware, Meltdown and Spectre are hard to distinguish from regular benign applications. However, your antivirus may detect malware which uses the attacks by comparing binaries after they become known.

What can be leaked?

If your system is affected, our proof-of-concept exploit can read the memory content of your computer. This may include passwords and sensitive data stored on the system.

Has Meltdown or Spectre been abused in the wild?

We don't know.

Is there a workaround/fix?

There are patches against Meltdown for Linux (KPTI (formerly KAISER)), Windows, and OS X. There is also work to harden software against future exploitation of Spectre, respectively to patch software after exploitation through Spectre ( LLVM patch).

Which systems are affected by Meltdown?

Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013). We successfully tested Meltdown on Intel processor generations released as early as 2011. Currently, we have only verified Meltdown on Intel processors. At the moment, it is unclear whether ARM and AMD processors are also affected by Meltdown.

Which systems are affected by Spectre?

Almost every system is affected by Spectre: Desktops, Laptops, Cloud Servers, as well as Smartphones. More specifically, all modern processors capable of keeping many instructions in flight are potentially vulnerable. In particular, we have verified Spectre on Intel, AMD, and ARM processors.

Which cloud providers are affected by Meltdown?

Cloud providers which use Intel CPUs and Xen PV as virtualization without having patches applied. Furthermore, cloud providers without real hardware virtualization, relying on containers that share one kernel, such as Docker, LXC, or OpenVZ are affected.

What is the difference between Meltdown and Spectre?

Meltdown breaks the mechanism that keeps applications from accessing arbitrary system memory. Consequently, applications can access system memory. Spectre tricks other applications into accessing arbitrary locations in their memory. Both attacks use side channels to obtain the information from the accessed memory location. For a more technical discussion we refer to the papers (Meltdown and  Spectre)

Why is it called Meltdown?

The bug basically melts security boundaries which are normally enforced by the hardware.

Why is it called Spectre?

The name is based on the root cause, speculative execution. As it is not easy to fix, it will haunt us for quite some time.

Is there more technical information about Meltdown and Spectre?

Yes, there is an  academic paper and  a blog post about Meltdown, and an  academic paper about Spectre. Furthermore, there is a Google Project Zero blog entry about both attacks.

What are CVE-2017-5753 and CVE-2017-5715?

CVE-2017-5753 and CVE-2017-5715 are the official references to Spectre. CVE is the Standard for Information Security Vulnerability Names maintained by MITRE.

What is the CVE-2017-5754?

CVE-2017-5754 is the official reference to Meltdown. CVE is the Standard for Information Security Vulnerability Names maintained by MITRE.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb LaRokka:

hasse fein gemacht, darfst dir ein fleisskärtchen nehmen :)

Darum gehts mir gar nicht, sondern darum, Falschinformationen nicht unkommentiert zu lassen und richtige Informationen weiter zu geben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Eine ganz gute Info-Quelle ist in diesem Fall auch Heise:

Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates

Zitat

Das Windows-Update, das Microsoft in der Nacht herausgegeben hat, um der Sicherheitslücke zu begegnen, ist offensichtlich das Update, das für den 9. Januar mit Bekanntgabe der Details zu den Problemen vorgesehen war. Allerdings bekommen nicht alle Anwender das Update angeboten: Es gibt Probleme mit einigen Antivirus-Produkten. Betroffen ist Antiviren-Software, die laut Microsoft nicht unterstützte Aufrufe in den Windows-Kernelspeicher macht. Um die Kompatibilität ihrer Antiviren-Produkte mit dem Sicherheitsupdate zu dokumentieren, müssen die Hersteller einen bestimmten Registry-Key in Windows setzen; Microsoft dokumentiert dies in seinem Support-Hinweis. Einige Antiviren-Hersteller, etwa Kaspersky oder Avast, haben schon reagiert und Updates bereitgestellt oder sie für den 9. Januar angekündigt. Microsoft warnt ausdrücklich davor, das Windows-Update zu installieren, solange nicht kompatible Antiviren-Software eingesetzt wird.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Zu was komplett anderem. Hat das Zeugs bei Euren Arbeitgebern zu Aufregung geführt? Bei uns wurde jeweils nach Release eines Patches innerhalb von 2-3 Stunden downtimelos durchgepatcht. Also besonders spannend war das Ganze nicht.
Wobei ich mal gespannt bin ob es auch noch Solaris-Patches für alles gibt.
Aber allgemein verstehe ich die Aufregung nicht (außer man betreibt performance-kritische Anwendungen und ist unfassbar langsam im Patchprozess).

 

@Lemba: In dem Fall ist Heise etwas reisserich was aktuell AMD-Prozessoren angeht.

bearbeitet von Staubkind

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Der Super-GAU ist ja das es seit Jahren potentiellen Angreifern Möglich war, den Speicher auszulesen - weniger das Patchen oder die Performance Einbußen...

Es scheint, als ob vielen die Tragweite nicht bewusst ist! Keiner weiß, ob nicht schon vor bekannt werden des Bugs dieser ausgenutzt wurde.

Das bringt alle sicherheitsrelevanten Systeme und Prozesse dazu, sich komplett neu aufzubauen.

Welche Auswirkungen das für den Otto-Normal-Anwender hat, bleibt abzuwarten zumal es nur Patches für aktuelle Plattformen/Prozessoren gibt. Besitzer von Handys, Computern, IoT-Geräten, Smart-Homes, KFZ-Computern, etc. deren Hersteller keinen Patch anbieten sind potentiellen Angreifern ausgeliefert.

Das ist der Super-GAU!

Und das ist nicht reißerisch, Alu-Hut mässig oder übertrieben gemeint.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 20 Stunden schrieb LaRokka:

ihr vögel ...

[...]

der l33t x386 h4xx ist schon seit frühsommer 2017 bekannt und alle relevanten hersteller wurden informiert. das heisst eure windows pc´s haben den patsch schon seit monaten drauf, viele eurer IOS und android geräte auch (bis auf die alten).

[...]

Deine Anrede, genau wie deine Sprüche mit "Fleißkärtchen" und "recht so", zeugen von deinem guten Umgangston, Respekt dafür @LaRokka.

Lemba hat es ja schon erwähnt, die Patches sind noch nicht seit Monaten da, Microsofts Patch ist sogar erst am 4 Januar 2018 veröffentlicht worden, und wird auch nicht auf allen Rechnern angeboten, da einige AV Hersteller nicht korrekt unterstützte Kernelaufrufe benutzen, was zu Bluescreens führen könnte wenn der Patch eingespielt ist. Daher hat MS beschlossen den Patch nur über die Windows Updates auszurollen, wenn die AV Hersteller ihrerseits ihr Produkt mit dem Patch getestet haben, und über ein Update ihres Produktes einen bestimmten Registry Schlüssel setzen. Ist der nicht da, weil der AV Hersteller nicht testet oder aus anderen Gründen den Reg-Key nicht schreibt, bekommt man den Patch nicht.

Zumal selbst Leute die den Reg-Key bereits haben, das Update nicht angeboten bekommen haben. Wie es aussieht rollt MS den Patch wohl erst zum nächsten Patch Mittwoch aus (so die Vermutung, offizielles von MS dazu gibt's nicht)

Klar muss dazu erst mal Code lokal ausgeführt werden, aber das Schlimme ist, der Code muss eben nicht mit admin Rechten ausgeführt werden, sodass weder die UAC greift noch die meisten AV Lösungen, da die nicht auf Code-Ausführung im User-Mode reagieren.

Dazu das Webseiten durchaus lokal Code ausführen können hat @lemba ja schon was gesagt. Ich hoffe für dich nur, dass du niemals Webseiten nutzt, die Java oder Flash nutzen, da wird der Code nämlich immer lokal ausgeführt, und evtl. sogar Antworten ins Internet zurück gesendet.

Der einzelne Private Nutzer wird wohl auch eher weniger im Fokus von Leuten stehen die solch eine Schwachstelle ausnutzen, sondern eher bei Servern wo mit einem Angriff gleich unzählige Daten abgegriffen werden können. Aber die Schwachstelle kann eben auch gegen Otto-normal PC Nutzer eingesetzt werden.

Worum es auch geht, ist die Tatsache, dass Intel scheinbar keinerlei Sicherheitsüberprüfung ihrer Entwürfe und Implementierungen vornimmt, und auch andere Hersteller wie AMD und ARM einfach Patentnutzungen bei Intel bezahlen ohne mal zu testen ob das, was sie da in Lizenz selber verbauen sicher ist.

 

Grundsätzlich möchte ich allerdings noch festhalten; wen es nicht interessiert, der brauch das hier ja nicht lesen und sich nicht drum kümmern, ob seine Passwörter für Paypal, oder Amazon oder sonst welche Dienste die auch einen echten monetären Schaden verursachen können, evtl. abgegriffen werden oder nicht.

Es sollten lediglich Leute informiert werden, dass es durchaus ein Problem gibt um dessen Beseitigung man sich kümmern sollte. Anreden wie "ihr vögel" zeigen, dass so etwas hier nicht gewünscht wird und ich Entschuldige mich dafür, hier Leute damit belästigt zu haben. Wird nicht wieder vorkommen.

bearbeitet von MacG

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Copyright © 2003 - 2017 DRUCKWELLE e.V. - Impressum

Alle Rechte vorbehalten. Obwohl die Administratoren und Moderatoren von DRUCKWELLE e.V. versuchen, alle unerwünschten Beiträge von diesem Forum fernzuhalten, ist es für uns unmöglich, alle Beiträge zu überprüfen. Alle Beiträge drücken die Ansichten des Autors aus und DRUCKWELLE e.V. sowie Invision Power Inc (Entwickler von IPS Community Suite) können nicht für den Inhalt jedes Beitrags verantwortlich gemacht werden. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten Seiten sind ausschließlich deren Betreiber verantwortlich.
×