Massig Sicherheitslücken in Intel CPU's gefunden.

"Ich mache keine Betriebssystemupdates und bin auch noch stolz drauf"

Habe ich eh noch nie verstanden für was das gut sein soll.

Vor Urzeiten kannte ich mal Leute die Windows-Installationen mit geklauten Produktschlüsseln laufen hatten und meinten sie stellen alle Onlinefunktionen/Updates aus, damit Microsoft sie nicht tracken kann. Sind übrigens dieselben Leute die sich mit Personal Firewalls einen Wolf rödeln und sich dann bei dir melden, weil igendwas nicht läuft :D
 
Zuletzt bearbeitet:
Intel arbeitet ja angeblich intern bereits an Patches. Bin mal echt gespannt wie die dieses Chaos dem Ottonormalverbraucher erklären wollen.

Ich schätze mal, es geht zukünftig alles nur noch über Windows-Patches (inkl. micro code, falls notwenig). BIOS updates sind ja mehr oder weniger gescheitert, da sie nicht die notwendige Reichweite erlangen. Gründe dafür sind die Mainboard-Hersteller selbst, die entweder lahm sind oder das Board bereits abgekündigt haben. Hinzu kommt die Hürde für viele User, mal so eben ihr BIOS upzudaten. Vom selber-patchen nicht zu reden.

Mein aktuellster Rechner macht das mit den BIOS Updates einfach so von alleine (fragt natürlich vorher nochmal nach) automatisch mit der Hersteller Software.
 
Updates bringen der $Firma/Aktionäre kein Geld ein, sie kosten diesen nur und bringen dem Endanwender nur Nachteile wie z. B. Leistungsverluste.

@BIOS update: Intels evt. erscheinendes update (Hardware ist kaputt, also nur gefrickel) wird weitergeleitet und die Verantwortung hängt dann vom Wohlwollen des jeweiligen Motherboard/Hardware Herstellers und Betriebssystem ab ob, wann und wie ein update kommt und wie gut das ist.
Das sind für den jeweiligen Konzern Zusatzkosten die ihm wirtschaftlich nichts bringen außer Ausgaben.
Und die ~Kunde==Beschwerden an die Firma dass dann etwas nicht mehr so funktioniert bzw. Leistungsverluste ... will man evt. nicht.
 
Zuletzt bearbeitet:
Updates bringen der $Firma/Aktionäre kein Geld ein, sie kosten diesen nur und bringen dem Endanwender z. B. Leistungsverluste.
Hoffe das genügend User (inkl. gewerbliche Kunden) denen ordentlich Druck machen. Ich finds echt zum K**en, weil dir ja nachträglich ein Produkt beschränkt und verkrüppelt wird (vergleichbar VW Softwareupdates, bzw. eher schlimmer).
hängt dann vom Wohlwollen des Motherboard/Hardware Herstellers und Betriebssystem ab ob, wann und wie ein update kommt und wie gut das ist.
Die sollen das diesmal gefälligst sauber und ordentlich machen. Und bitteschön ohne Performanceeinbußen!!! :pcsuxx:
 
Über 11 Monate sollte dann schon was ordentliches sein, ja.
Die Folgeschäden-Spectre-NG/PG/ZD/LS/.... :P
 
Das sind für den jeweiligen Konzern Zusatzkosten die ihm wirtschaftlich nichts bringen außer Ausgaben.
Falsch. Ein Motherboardhersteller, der regelmäßig und zuverlässig Updates bringt, hat durchaus Wettbewerbsvorteile gegenüber denen, die das nicht tun.
 
Zuletzt bearbeitet:
Falsch. Ein Motherboardhersteller, der regelmäßig und zuverlässig Updates bringt hat durchaus Wettbewerbsvorteile gegenüber denen, die das nicht tun.

Das dachte man sich immer, ähnlich bei z. B. Android. Doch dann fiel auf: Manche Hersteller zählen einfach fröhlich Versionsnummern hoch statt den Patch zu liefern.
Vielleicht lassen sich Enterprise-Kunden nicht ganz so einfach verarschen aber andernteils ist SAP ja auch immer noch auf dem Markt...


Und an alle die denken: "Hey, ich nutz die Klaut ja gar nicht."
Ein angemessener Vergleich wäre sowas wie...
"Was? Das Atomkraftwerk im Nachbarort fliegt in die Luft? Na gut ist mir recht, ich wohn da ja nicht und verwende eh nur Ökostrom aus erneuerbaren Energien!"

Soll heißen: Jeder von uns ist inzwischen von der Digitalisierung abhängig und niemand ist in der Lage abzuschätzen an welchen Systemen die eigene Leben so hängt. Reicht ja schon eine "harmlose" "Verwechslung" von Datensätzen in der Schufa und schon bist Du erstmal ziemlich gefickt.
 
Falsch. Ein Motherboardhersteller, der regelmäßig und zuverlässig Updates bringt, hat durchaus Wettbewerbsvorteile gegenüber denen, die das nicht tun.
Ja.

Wobei ich vermute dass der User eher die Nachteile sieht/wahrnimmt (der angebliche hohe Leistungsverlust etc.) und Punkt zuverlässig Updates, Sicherheit ihm total egal ist.

Bei Amazon AWS, Azure, Google etc. könnte das Interesse wieder etwas anders gelagert sein. Und diese sind auch die wichtigeren Kunden.

Letztlich fallen Kosten an was schlecht für den jeweiligen Konzen (Motherboard Hersteller und den OS Hersteller (Microsoft/Mac/Linux) ...) ist.
 
Wobei ich vermute dass der User eher die Nachteile sieht/wahrnimmt (der angebliche hohe Leistungsverlust etc.) und Punkt zuverlässig Updates, Sicherheit ihm total egal ist.
Dann soll er halt nicht updaten, wenn ihm das egal ist.

Und der Leistungsverlust existiert wohl auch nur in den Medien. Aber wer würde eine Zeitung lesen, wo nur drinsteht "Es gibt eine neue Sicherheitslücke, sie wurde vom Hersteller gefixt. Bitte Updates installieren."

Apropos. Ein Prozessor, der diese Lücke nicht hat, hätte eben den Leistungsverlust von Anfang an und nicht erst nach dem Update.
 
Daß es Leistungsverluste geben muss liegt ja auf der Hand, es betrifft ja die spekulative Codeausführung.

Es gab auch das Gerücht daß Server in Rechenzentren serienweise zu heiß wurden und ausfielen.
 
Meine Kollegen aus der Ecke Serverbetrieb haben das kalte Kotzen mit den Fixes. AFAIK ist Code der viel IO braucht vor allem betroffen von den Einbußen in der Performance. Grade wenn man man in einem gesamten Rechenzentrum misst was das für Auswirkungen hat kann einem übel werden.

Und der Leistungsverlust existiert wohl auch nur in den Medien.

Wer will sich denn die Blöße geben und zugeben, dass das eigene Rechenzentrum nun rumlahmt? Das würde bedeuten, man hat etwas nicht unter Kontrolle.

Weiterhin sind die Meisten noch ehr mit Workarounds bauen und Patchen beschäftigt. Intel ist bei Firmen quasi alternativlosund es gibt ja auch keine Softwarelösung die das Leistungsproblem behebt. Und Intel nun in Grund und Boden klagen hat nur zur Auswirkung, dass Intel danach entweder kein oder noch weniger Geld hat. Das Problem geht damit dann immer noch nicht weg und die Schäden dadurch bleiben auch unersetzt.
 
@Rechenzentrum Hmm das hört sich ätzend an. Unbezahlte Überstunden ... .
@Privat (und ich bin ein unrelevant Kunde genauso wie kleine/mittlere Firmen) merke ich kaum was, geschätzt ca. unter 1% Leistungsverlust?
Auf jeden Fall weit unter den vorhergesagten 30 - 60%.
Und Intel nun in Grund und Boden klagen
Soweit ich verstanden habe kann man sie nicht verklagen da laut Datenblatt Spezifikation ja alles stimmt.
Bei einem nachgewiesenen erfolgreichen Angriff aufgrund der Sicherheit(s)lücke(n) wäre es dann möglich. Viel Spaß beim Beweisen.
Aber was bringt es dann da A) es keine Alternative zu INTEL gibt, B) bei einem erfolgreichen Angriff evt. ganz andere Probleme relevanter sind, C) ... .

Mein gefühltes 1/2 Wissen Ende.
 
Zuletzt bearbeitet:
Wer will sich denn die Blöße geben und zugeben, dass das eigene Rechenzentrum nun rumlahmt?
Damit mit kann man natürlich alle Praxiserfahrungen wegdiskutieren.
Ich arbeite zufällig in einem Rechenzentrum, und wir hatten keine Leistungsverluste. Aber vielleicht will ich mir ja auch einfach keine Blöße geben ...
 
Damit mit kann man natürlich alle Praxiserfahrungen wegdiskutieren.
Ich arbeite zufällig in einem Rechenzentrum, und wir hatten keine Leistungsverluste. Aber vielleicht will ich mir ja auch einfach keine Blöße geben ...

Ich gebe zu, es ist schwer (Also ja... unmöglich) zu beweisen das es etwas nicht gibt. Diese Diskrepanz unserer Erfahrungen (Wobei ich meine ja aus zweiter Hand habe) gibt mir aber schon zu denken.
 
Apple hat es da wirklich besser, da sie ja eine Hard-/Softwarecombo haben. Aber deswegen würde ich mir nicht wieder einen Apple kaufen, der Zug ist abgefahren. Wirklich interessant, was für Lösungen da kommen werden. Vielleicht bieten ja auch einige Mainboard-Hersteller mal ein LongTermSupport an? Lässt sich bestimmt gut verkaufen sowas. Mit Angst lässt sich wunderbar Geld verdienen. Microsoft will doch eigentlich keine Microcode Updates mehr raus bringen, oder? Ich glaube, ich habe sowas bei heise.de gelesen, obwohl die Seite auch nicht mehr ist was sie mal war. Da ist jeder Artikel mittlerweile mit Vorsicht zu genießen, viel Windows-Bashing und der Versuch mit Angst vor Sicherheitslücken Geld zu machen. Golem.de ist da einen Tick besser, frage ist aber wie lange noch.
 
Diese Diskrepanz unserer Erfahrungen (Wobei ich meine ja aus zweiter Hand habe) gibt mir aber schon zu denken.
Vielleicht sind unsere Server einfach schnell genug.
Außerdem, wie willst du denn messen, was an Verzögerung beim Anwender ankommt? Der Seitenaufbau in meinem Terminplaner dauert weniger als eine Sekunde. Eine Verzögerung um 20% wäre überhaupt nicht zu bemerken. Und der Unterschied je nach Anwenderzahl zwischen 8 Uhr und 11 Uhr vormittags ist sicher größer.
Dann gibt es noch Zeiten im Netzwerk, Datenbankzugriffe etc. Die Leistung der CPU selbst ist da gar nicht so ausschlaggebend.
Die meisten Performancegewinne haben wir durch die Einführung von SSDs gemacht. Oder wenn wir den Softwareherstellern mal wieder beweisen müssen, dass sie einen Index in der Datenbank anlegen sollen.

Wenn ich eine Numbercrunchingfarm betreibe würde ich vielleicht Performanceverluste bemerken. Aber nicht in einer interaktiven Datenbankanwendung, wenn die vorher schon schnell genug war.

Anders sieht es natürlich aus, wenn der Server eh schon auf Kante fährt.
 
Zumindest in Benchmarks sollten sich die Leistunsgeinbußen zeigen. Außerdem sind Prozessoren von der Generation Skylake und neuer weniger betroffen als ältere.

Ich persönlich habe bei SSD Benchmarks was gemerkt. Leider konnte ich das nicht systematisch vermessen (mir fehlen Vergleichswerte von vor dem Patch).

@khz hatte zum Thema Leistunsgeinbußen ja schon was verlinkt - dort stehen die interessanten Dinge allerdings erst auf Seite 4.

Gute Informationen zu der Funktionsweise der Mitigations zu Branch Target Injection (Spectre V2) gibt es ansonsten zum Beispiel hier. Empfehlenswert ist das dort enthaltene Interview mit dem Forscher der TU Graz sowie der Mailaustausch mit Linus Torvalds.
 
Zuletzt bearbeitet:
<Halbwissen-on>Gibt es die Möglichkeit gute oder schlechte (verschiedene) Hardware in so Bereichen (Rechenzentrum/...) zu ver -bauen -wenden welche solche unterschiedliche Auswirkungen hervorrufen können? Neben viele anderen Faktoren wie @haebbmaster angeritzt hat (Tageszeit/...). Oder ist die verwendete Hardware immer ~ähnlich da es kaum Alternativen=Kongruenz gibt?<Halbwissen_off>

Ist schnelle Hardware wichtiger als stabile/sichere? Wenn "ja" dann könnte in vielen anderen Bereichen ja ähnlich produziert werden. ;-)
Intel zumindest macht das seit Mitte der 90'er. Und diese Lücken bestehen demnach seit Jahrzehnten? Das diese dann die erste Wahl sind verstehe ich zwar nicht, bin aber auch eher DAU in Computer Bereich.

heise@Windows-Bashing: Denke das da alle Betriebssysteme/Bereiche mehr oder weniger kritisch thematisiert werden, je nach Autor. Sind ja verschiedene Autoren. Wenn es Sicherheitsprobleme gibt werden sie veröffentlicht, egal wo.
Es gibt auch die Forderung Sicherheitsforschung zu verbieten damit so etwas erst gar nicht passiert.
(<OT>Vor ein paar Jahren gab es nur 2 Betriebssysteme, da war die Form des Bashing bzg. Linux das bewusste ignorieren der User!=Lebewesen. Später dann auslachen was schon ein vorschritt war. Das ist IMHO entwürdigender als sachlich miteinander diskutieren.</OT>)

@Fake-NEWS: Wenn ein Medium ständig Falschmeldungen verbreitet werden diese von den Lesern als solche erkannt und als seriöse Quelle vermieden. Wobei Springer/Kopp/... hmm also eher theoretisch, praktisch eher Gegenteil?
 
Zuletzt bearbeitet:
bin aber auch eher DAU in Computer Bereich
Du bist doch der, der hier gerne mit Tilde-Pseudocode und GNU-Geschichten um sich wirft ;-) Musst dich entscheiden was du sein willst :P [/User-über-User Mode OFF]

On-topic: Gegen Heise kann ich eigentlich auch nichts Negatives sagen. Die haben wenig bis keinen Betriebssystem-Bias. Da wird auch nicht Linux vergöttert oder so.
 
Zuletzt bearbeitet:
@OT Ja ich ~mag "open source" und deren Philosophie, eher ~mag ich mehr deren Philosophie auf Meta Ebene, nicht nur im Computerbereich. Aber technisches Wissen habe ich sehr wenig und zufällig, unvollständig - über Jahrzehnte! - c/p, also ein (gefährlicher/fehlerbehafteter) DAU für andere. Gratwanderung zum Fanatiker.
Traue niemals einem @khz! Denk für dich selbst! ;-)
 
Zuletzt bearbeitet:
Ja, das ist nicht ganz neu. Das Prinzip ist daß was immer man bei USB reinsteckt sich als Keyboard ausgibt
und dann Befehle "eintippt".
 


News

Zurück
Oben