Intel-Sicherheitslücke in macOS bereits teilweise gefixt

[marcozingel]

Deine Beiträge überleben jedenfalls nicht für lange Zeit - nachdem du nachträglich, ohne Hinweis, den kompletten Inhalt änderst.

Ich passe meine extra kurzgehaltenen Beiträge an und ändere diese nicht vollständig,sondern um deine unverständliche Angespanntheit zu entschärfen wenn hier Kritik am Hersteller und nicht AT oder redaktionelle Mitarbeiter angesprochen wird.

Untertöne und unterstellende Deutungen deinerseits sind unangebracht und meine unterschwelligen Botschaften für dich nicht verständlich.

Deine Beiträge überleben jedenfalls nicht für lange Zeit - nachdem du nachträglich, ohne Hinweis, den kompletten Inhalt änderst.

Wunderbares Feingespür :rolleyes:

 

[Mitglied 166033]

Also wenn ich hier von Einbußen von 10-30% höre in Sachen Leistung krieg ich schon Lust mein neues MBP dem Verkäufer wieder in die Hand zu drücken und auf mein Geld zu plädieren...ich weiß das man damit niemals durchkommen wird aber eigentlich müsste jemand Intel oder Apple verklagen

 

[staettler]

Was genau kann Apple dafür das Intel einen fehlerhaften Prozessor liefert?
Bist du sicher, dass du die 10-30 % im Tagesgeschäft spürst?

 

[Sauron]

Was genau kann Apple dafür das Intel einen fehlerhaften Prozessor liefert?

Was im Falle einer Reklamation unerheblich ist, denn der Kunde hat wohl kaum seinen Apple Rechner bei Intel gekauft. Apple kann dann Schadenersatz bei Intel einfordern.

Ob eine Reklamation erfolgreich wäre, ist eine andere Geschichte.

 

[forenwalter]

Intel wird vermutlich schon Druck bekommen vom Militär und diese werden nicht lange diskutieren wenn das wirklich ein grosses Sicherheitsproblem ist.

 

[Mitglied 87291]

Google hat weitere Informationen zu dem Bug veröffentlicht. Es handelt sich insgesamt um 3 Bugs. Der erste ist durch PTI patchbar, d.h. dass jedes Betriebssystem einen Patch benötigt um diesen Bug zu beheben. Apple hat diesen Bug teilweise schon gepatcht. Dieser Bug ist auch Intel only und wird "Meltdown" genannt.

Die anderen beiden Bugs sind zum einen deutlich tiefgreifender, zum anderen auch deutlich schwerer auszunutzen und greifen in der Standardarchitektur der CPU. Diese sind nicht durch einen einfachen Patch beherrschbar sondern müssen teilweise in der jeder einzelnen Software behoben werden. Diese beiden tragen den Namen Spectre und sind auf ALLEN Architekturen vertreten, Intel, AMD und auch ARM. Dies bedeutet dass nicht nur Desktop OS betroffen sind sondern auch mobile Systeme wie Android und iOS. Auf einer anderen Seite werden auch Beispiele genannt wie ein Angriff aussehen könnte. So ist es möglich Spectre z.B. über Java im Browser auszunutzen und Passwörter auszulesen.
Google hat Chrome bereits ein Update verpasst. Ich bin gespannt wann die anderen Softwarehersteller nachziehen.

Zu Leistungseinbußen:

Diese sind praktisch nicht existent und nur in Spezialfällen spürbar. So sind in Windows-Anwendungen keine spürbaren messunterschieder bemerkbar, bei Spielen liegt die Leistungseinbuße bei sehr CPU-lastigen Anwendungen bei 2-3%.

 

[u0679]

@Reemo, hast Du mal bitte Links dazu?

 

[ottomane]

Weil ich gerade selbst nachlese: https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

 

[Mitglied 87291]

@Reemo, hast Du mal bitte Links dazu?

Klar.
Googles Security Blog: https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html
Linux Benchmark Gaming: https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests
Linux Benchmark Anwendungen: https://lkml.org/lkml/2018/1/2/678

Eine deutsche Seite hat die Problematik selbst zusammengefasst und auch noch eigene Benchmarks eingefügt: https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

 

[ottomane]

Um die Schwere mal klarzumachen: Der Bug ist über Javascript exploitable, das heißt, eine beliebige Website könnte z.B. die Datenbank von 1Password auslesen, falls gerade zufällig das Programm entsperrt ist. Oder sie könnte das Banking, das im paralellen Tab läuft, mitschneiden. Oder sie kopiert die Keychain von macOS nach sonstwo.

Zumindest theoretisch erscheint dies möglich, wenngleich solche Expoits sehr schwierig zu entwickeln sind.

https://www.react-etc.net/entry/exploiting-speculative-execution-meltdown-spectre-via-javascript

 

[Mitglied 87291]

Problematisch ist halt, dass sich eine der 3 Lücken relativ einfach schließen lässt, die anderen beiden aber die sind, welche einfach über JavaCode auf einer Website ausgeführt werden können. Und dass manchmal auch seriöse Seiten von Schadcode infiziert werden, ist nunmal nichts neues.

 

[marcozingel]

Es ist bekannt seitdem es bekannt ist? Danke für diese tolle Antwort.

Ergänzung !

 

[Martin Wendel]

Ergänzung !

Da steht nichts davon, wie lange Intel (oder wen auch immer du meintest) schon bescheid weiß.

 

[Mitglied 87291]

Google hat alle betroffenen Unternehmen am 1. Juni über Spectre und vor dem 28. Juli über Meltdown informiert. Intel und Google sagten weiter, dass sie am 9. Januar die Öffentlichkeit informieren wollten, gleichzeitig sollten die informierten Unternehmen zu diesem Zeitpunkt Sicherheitspatches rausbringen.
Microsoft hat Patches angekündigt (gegen Meltdown), VMWare hat schon im September (!) letzen Jahres Patches durchgeführt (gegen Spectre, Meltdown betrifft VMWare wohl nicht). Linux ist auch schon auf der sicheren Seite (Meltdown) und baut Sicherheitspatches für niedrigere Kernel Versionen.
Google hat auch schon angefangen seine Software gegen Meltdown und auch Spectre zu schützen. Chrome OS und Chrome sind mit dem neusten Patch vor beiden Lücken geschützt.

Das einzige (stark) betroffene Unternehmen welches sich noch nicht geäußert hat ist Apple. Bisher scheinen ja einige Möglichkeiten von Meltdown eingedämmt zu sein, mit dem nächsten Patch soll Meltdown dann komplett geschlossen sein. Mal schaun was mit Spectre passiert. Dazu müsste ja auch Safari überarbeitet werden.

Quellen:
https://www.theguardian.com/technol...fect-computers-intel-processors-security-flaw
https://cloudhat.eu/vmware-security-advisory-vmsa-2018-0002-meltdown-specter-vulnerabilities/

Edit: Interessant finde ich, dass viele Fixe mehr als Workarounds beschrieben werden, z.B: der von Google Chrome. Wirkliche sicherheit wird wohl erst in 2-3 Jahren kommen, wenn Intel, AMD und ARM und evtl auch Apple ihre Architekturen angepasst haben.

Ich zitiere mal Buisness Insider.

Spectre, by contrast, appears to be much more dangerous. Google says it's been able to successfully execute Spectre attacks on processors from Intel, ARM, and AMD. And, according to the search giant, there's no single, simple fix.

It's harder to pull off a Spectre-based attack, which is why nobody's completely panicking. But the attack takes advantages of an integral part of how processors work, meaning it will take a new generation of hardware to stamp it out for good.

In fact, that's how Spectre got its name.

"As it is not easy to fix, it will haunt us for quite some time," says the

http://www.businessinsider.de/intel-chip-bug-meltdown-and-spectre-explained-2018-1?r=US&IR=T

 

[Verlon]

alle MacOS und iOS Geräte sind betroffen. watchOS ist nicht betroffen.

Meltdown ist bereits gefixt, Auswirkungen auf die Leistung soll es nicht geben:
"Apple released mitigations for Meltdown in iOS 11.2, macOS 10.13.2, and tvOS 11.2. watchOS did not require mitigation. Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6."

Für Spectre wird in den nächsten Tagen einen Fix für Safari geben, Auswirkungen auf die Performance sollen gering sein:
"Our current testing indicates that the upcoming Safari mitigations will have no measurable impact on the Speedometer and ARES-6 tests and an impact of less than 2.5% on the JetStream benchmark."



Hier die Stellungnahme von Apple:

https://support.apple.com/en-us/HT208394

 

[Macbeatnik]

Da steht nichts davon, wie lange Intel (oder wen auch immer du meintest) schon bescheid weiß.

Intel weiß offiziell seit einen halben Jahr von der Lücke, interessant ist in dem Zusammenhang, das wohl zumindest ein Verantwortlicher all seine möglichen Aktien verscherbelt hat, kurz bevor die Lücke öffentlich wurde, ein Schelm wer dabei böses vermutet.

 

[Verlon]

Intel weiß offiziell seit einen halben Jahr von der Lücke, interessant ist in dem Zusammenhang, das wohl zumindest ein Verantwortlicher all seine möglichen Aktien verscherbelt hat, kurz bevor die Lücke öffentlich wurde, ein Schelm wer dabei böses vermutet.

zum einen hat er nicht "all seine möglichen Aktien verscherbelt" und zum zweiten nicht "kurz bevor die Lücke öffenltich wurde". Aber hey, für Verschwörungstheorien ist es völlig ok, die Fakten nicht ganz so genau zu nehmen.

Das Problem ist seit langem bekannt und heute überhäufen sich die Meldungen im Sekundentakt und der Aktionismus von Securityupdates mit Halbfixes.

Ich bin da kritischer und unterstelle da mal einen weiteren (existenziellen) Imageschaden abzuwenden und Sicherheit zu suggerieren,damit der Kunde ein gutes Gefühl hat.

oder es ist so, dass die Fixes für diese sehr komplexe Lücke seit langem im Entwicklung sind und die Hersteller nach herauskommen der Lücke diese möglichst schnell zu veröffenltichen, selbst wenn sie noch nicht final sind.
Aber das wäre natürlich viel zu einfach und zu plausibel.

Solche Lücken (Designfehler kicher) werden (verschwörungstheoretisch) nicht um sonst offen gelassen...

Die Meltdown-Lücke in MacOS und iOS wurde vor bekanntwerden der Lücke gefixt...

 

[Macbeatnik]

Aber hey, hab die Info aus dem von Verschwörungstheorien sprudelnden Spiegel online, von hier, letzter Absatz:
http://m.spiegel.de/netzwelt/netzpo...h-apple-geraete-sind-betroffen-a-1186324.html

Und nun stehen wir da, was stimmt denn nun, hat er verkauft oder nicht, alle oder nur ein paar, wusste er von der Lücke oder brauchte er Geld für seine Bitcoins fragen über fragen.

 

[Verlon]

Und nun stehen wir da, was stimmt denn nun, hat er verkauft oder nicht, alle oder nur ein paar, wusste er von der Lücke oder brauchte er Geld für seine Bitcoins fragen über fragen.

eigentlich kann man sich viele beantworten, wenn man die zur Verfügung stehenden Infos einfach mal durchliest.

 

[Mitglied 87291]

zum einen hat er nicht "all seine möglichen Aktien verscherbelt" und zum zweiten nicht "kurz bevor die Lücke öffenltich wurde".

Doch, eigentlich hat er genau das getan. Alle Aktien bis zu seiner Mindest-Aktien Anzahl als CEO verkaufen, bevor die Lücke publik wird. Offiziell sollte die Lücke von Google und allen betroffenen Unternehmen am 09.01 veröffentlicht werden.

Die Meltdown-Lücke in MacOS und iOS wurde vor bekanntwerden der Lücke gefixt...

Trotzdem werden mit dem nächsten Patch noch weitere Anpassungen kommen, ganz zufriedenstellend ist der Patch also nicht. Und um Spectre wurde sich noch garnicht gekümmert, aber zumindest ist der Safari-Patch in arbeit.

eigentlich kann man sich viele beantworten, wenn man die zur Verfügung stehenden Infos einfach mal durchliest.

Genau.
Nachzulesen z.B. hier: http://www.faz.net/aktuell/finanzen...r-sicherheitsluecken-aufdeckung-15373338.html

Nebenbei ist zumindest Meltdown, in spezielleren Kreisen, bereits seit Juli der Öffentlichkeit bekannt. Ein Artikel vom 28.Juli beschreibt die Lücke ausführlich. https://cyber.wtf/2017/07/28/negative-result-reading-kernel-memory-from-user-mode/

Auch wenn ich es sinnvoll finde, dass wir erst jetzt davon erfahren während die meisten Hersteller zumindest Meltdown gefixt haben und Patches für Spectre schon erschienen bzw in arbeit sind, ist es schon kritisch, dass eine so gravierende Lücke so lange ungepatcht blieb. In einem halben Jahr kann auch auf Seite der Hacker viel passieren.