Neue Meltdown- und Spectre-Lücke - Updates für neue Spectre-Lücken bremsen Systemleistung

  • Allgemein

  • HotPi
  • 4426 Aufrufe 5 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Neue Meltdown- und Spectre-Lücke - Updates für neue Spectre-Lücken bremsen Systemleistung

    Microsoft und Google finden neue Meltdown- und Spectre-Lücke
    Forscher haben erneut eine Meltdown- und Spectre-Sicherheitslücke entdeckt. Betroffen seien erneut fast alle gängigen CPUs aller Hersteller.
    von Alexandra Lindner 22.05.2018

    Die CPU-Sicherheitsprobleme, die unter den Namen Meltdown und Spectre bekannt geworden sind, weiten sich zunehmend aus. Kurz nach Bekanntgabe des ersten Sicherheitslecks Anfang Januar dieses Jahres zeigten sich die Hersteller noch zuversichtlich, das Problem zeitnah in den Griff zu bekommen. Nun werden aber immer neue Schwachstellen aufgedeckt.

    Microsoft und Google wollen nun eine vierte Variante des Meltdown- und Spectre-Datenlecks entdeckt haben. Betroffen sind den Angaben zufolge moderne Prozessoren von Intel-, AMD-, ARM- und IBMs Power 8, Power 9 und System Z.

    Die Schwachstelle ermöglicht es Hackern, Passwörter und andere sensible Daten aus dem Prozessorkern oder Anwendungsspeicher auszulesen. Wird etwa ein JavaScript in einem Browsertab ausgeführt, können Informationen aus einem anderen Tab extrahiert werden.

    Lücke wurde noch nicht ausgenutzt

    Grundsätzlich wird das Risiko der Sicherheitslücke als mittel eingestuft, heisst es. Veröffentlicht wurden die Informationen des CPU-Sicherheitslecks von Google Projekt Zero und dem Microsoft Security Response Center. Intel teilte indes mit, dass es bisher keine bekannten Fälle gebe, in denen die besagte Sicherheitslücke ausgenutzt wurde. Zudem gebe es zahlreiche Möglichkeiten, sich gegen den Exploit zu schützen. Darunter etwa Browser-basierte Massnahmen, die bereits jetzt zur Verfügung stehen, so Intel weiter.

    Ferner befinde sich ein entsprechendes Mikrocode-Update bereits in einer Betaphase und werde von ausgewählten OEM-Partnern und Software-Entwicklern getestet. Intel geht davon aus, dass das Update zeitnah für die Öffentlichkeit zugänglich gemacht werden kann.


    Quelle: Microsoft und Google finden neue Meltdown- und Spectre-Lücke



    Kein Ende in Sicht
    Intel-Vorwarnung: Updates für neue Spectre-Lücken bremsen Systemleistung
    Microsoft und Google haben neue Spectre-Varianten enthüllt. Es gibt bereits Patches, diese können jedoch fast zehn Prozent Leistungseinbußen mitbringen.

    Seit dem Wochenende sind mit Spectre 3a und Spectre 4 weitere Varianten der Hardware-Sicherheitslücke Spectre. Das Leck hat zusammen mit Meltdown Anfang des Jahres für sehr viel Wirbel gesorgt. Zu Beginn wurden dabei zwei Spectre-Angriffsmöglichkeiten erwähnt, eine dritte folgte schnell. Nun gibt es also zwei neue Varianten der Sicherheitslücke, die die spezifische Arbeitsweise von modernen Prozessoren ausnutzen und Daten in Gefahr bringt.

    Spectre 3a benötigt dabei lokalen Zugriff des Angreifers. Speculative Store Bypass erlaubt einfachere und somit gefährlichere Angriffe. Google und Microsoft haben die Details dazu am Sonntag veröffentlicht. Wie Intels Sicherheitschef Leslie Culbertson sagt, helfen einige bisherige Patches gegen Meltdown und Spectre auch gegen Angriffe nach den neuen Mustern. Das trifft etwa die Nutzung von Prozessoren in den Browsern Chrome, Edge und Safari.

    Auf Betriebssystemebene bedarf es jedoch zusätzlicher Firmware-Updates. Diese sind immerhin schon als Beta-Versionen vorhanden und bei OEM-Partnern zum Test. Wie Culbertson weiter bekannt gibt, sollten die meisten Nutzer nichts von Leistungseinbußen spüren. In bestimmten Systembenchmarks konnte sich jedoch ein Leistungsabfall von zwei bis acht Prozent bemerkbar machen. Leistungseinbußen gab es auch mit vorherigen Updates, die kamen jedoch erst später ans Licht und betrugen in der Regel "nur" etwa fünf Prozent.

    Von den Updates eingeschränkte Nutzer werden sich wie seit Beginn des Jahres Gedanken darüber machen müssen, ob ihnen Performance oder Sicherheit wichtiger ist. Akut aufgefordert zum Handeln sind wie schon zuvor Server-Betreiber im Geschäftsumfeld. Kritische Einbußen könnten aber auch auf einigen Workstations mit hohem Daten- und Rechenaufwand drohen. Gelegenheitsnutzer und auch (anspruchsvollere) Spieler sollten Änderungen in der Regel messen, aber nicht wirklich spüren können. Microsoft prüft derzeit mit Intel und AMD, inwiefern (weitere) Leistungseinbußen mit neuen Updates gegen die Sicherheitslücken Spectre 3a und 4 zu befürchten sind.

    Aktuelle Prozessoren erzielen eine große Zeitersparnis, indem sie – vereinfacht gesagt – Arbeitsschritte und Berechnungen vorhersehen können und nicht warten müssen, sobald der konkrete Befehl da ist. Genau dort können Angreifer Spectre ausnutzen und Daten abgreifen.

    22.5.2018 von The-Khoa Nguyen


    Quelle: Intel-Vorwarnung: Updates für neue Spectre-Lücken bremsen Systemleistung - PC Magazin
  • Foreshadow / L1TF 16.08.2018, 13:01 Uhr
    Drei neue Spectre-Lücken in Intel-Prozessoren entdeckt
    Forscher haben neue Spectre-Lücken in Intel-Prozessoren entdeckt. Über Foreshadow beziehungsweise L1TF können Hacker auch auf geschützte Speichersektionen zugreifen.

    Das Drama um die Sicherheitslücken in den Intel-Chips scheint kein Ende zu nehmen. Forscher finden immer wieder neue Meltdown- und Spectre-Lecks. Die aktuell neu entdeckte Lücke wurde auf den Namen Foreshadow getauft und könnte es Hackern ermöglichen, auf Inhalte in virtuellen Maschinen Zugriff zu erlangen.

    Die Forscher aus Israel, Belgien, den USA und Kanada stellten ihren Fund auf dem Usenix Security '18 Symposium vor. Grundsätzlich gebe es zwei Versionen von Foreshadow. Die erste ermögliche es Angreifern, Daten aus SGX-Enklaven zu extrahieren. Die zweite Variante hingegen betreffe die VMs, Hyervisor (CMM), Betriebssystem-Kernspeicher und System Management Modes, so die Forscher.

    Bei SGX beziehungsweise der Software-Guard-Erweiterung handelt es sich um bestimmte Befehle in Intel-Prozessoren, mit denen Code auf Benutzerebene privaten Speicherebenen zugewiesen werden kann. Da diese auf einer höheren Berechtigungsebene liegen, sind sie vor Zugriffen durch den Prozessor geschützt.

    SGX sei als neues Feature in modernen Intel-CPUs integriert, schreiben die Forscher weiter. Damit könne der Nutzer seine Daten selbst dann vor unberechtigtem Zugang schützen, wenn ein Angreifer das gesamte System unter seine Kontrolle gebracht hat.

    Foreshadow trickst SGX-geschützten Speicher aus

    Bisher wurde angenommen, dass SGX auch gegen die Sicherheitslücken Meltdown und Spectre schützen. Die Demonstration von Foreshadow zeigt jedoch, dass dies nicht der Fall ist. Den Forschern war es gelungen, SGX-geschützen Speicher zu lesen und sogar den privaten Berechtigungsschlüssel zu extrahieren.

    Die zweite Variante der Sicherheitslücke, die die Forscher Foreshadow-NG nennen, wird von Intel als "L1 Terminal Fault" (L1TF) bezeichnet. Im Zuge seiner internen Untersuchungen hat der Hersteller hierbei zwei weitere ähnliche Angriffsmöglichkeiten entdeckt.
    Diese könnten Angreifer dazu verhelfen, Informationen aus dem L1-Cache zu lesen. Darunter auch Daten aus dem Systemverwaltungsmodus (SMM), zum Betriebssystemkernel und zum Hypervisor. Prekär ist allerdings vor allem die Tatsache, dass über das Leck Informationen aus anderen VMs auslesbar sind. Voraussetzung hierfür ist nur, dass diese in derselben Cloud gespeichert sind.

    Laut einer Mitteilung von Intel sind annähernd alle Prozessoren der Core-i-Reihe von den neu entdeckten Sicherheitslücken betroffen. Der Anbieter stellt entsprechende Microcode-Updates auf seiner Webseite zur Verfügung und rät dringend dazu, diese zeitnah durchzuführen.

    Autor(in) Alexandra Lindner


    Quelle: Drei neue Spectre-Lücken in Intel-Prozessoren entdeckt - onlinepc.ch
  • Prozessor-Sicherheit: Sieben neue Varianten von Spectre-Lücken

    Die Spectre-Sicherheitslücken in Prozessoren lassen sich angeblich noch anders nutzen, als bisher bekannt; Intel gibt allerdings Entwarnung.

    Laut einem Bericht von ArsTechnica haben mehrere Sicherheitsexperten, von denen einige zu den Entdeckern der Spectre-Sicherheitslücken gehören, neue Angriffsmöglichkeiten untersucht. Demnach lassen sich die bereits bekannten Lücken noch mit sieben anderen Methoden für Angriffe ausnutzen.

    In einer ebenfalls veröffentlichten Stellungnahme behauptet Intel allerdings, dass die bereits verfügbaren Schutzmaßnahmen auch gegen die neuen Angriffstypen helfen.

    Eine weitere Beurteilung der angeblichen neuen Spectre-Attacken ist derzeit nicht möglich, weil ArsTechnica in dem Artikel keine Quellen nennt und auch nur wenige Details verrät, nicht einmal die konkreten Autoren. Anscheinend wurden bisher auch keine CVE-Nummern für diese Sicherheitslücken vergeben.

    Spectre-Varianten
    Spectre-Varianten wie NetSpectre nutzen keine neue Spectre-Sicherheitslücke, sondern eine bereits bekannte, allerdings auf anderem Weg. NetSpectre nutzt sozusagen Spectre V1 über eine Netzwerkverbindung aus. Dagegen helfen die bekannten Schutzfunktionen gegen Spectre V1.

    Wenn der Fall bei den neuen Spectre-Varianten ähnlich liegt, dann wären bei den meisten Computern keine neuen schutzmaßnahmen erforderlich. Doch erst mit detaillierteren Informationen zu den sieben neuen Lücken ist eine genauere Einschätzung möglich.

    Quelle: Prozessor-Sicherheit: Sieben neue Varianten von Spectre-Lücken |
    heise online
  • USB-Tool sichert PCs gegen Spectre ab
    Viele Mainboard-Hersteller haben noch immer keine Microupdates zum Schutz vor Spectre-Angriffen ausgerollt. Abhilfe verspricht nun ein USB-Tool, das den PC beim Hochfahren absichert.
    von Stefan Bordel 14.11.2018

    Die CPU-Lücken Meltdown und Spectre entwickeln sich zu einem Armutszeugnis für die Hardware-Industrie. Weder die Chip- noch die Mainboard-Hersteller haben nach über elf Monaten seit Veröffentlichung der Lücken flächendeckend alle betroffenen Geräte mit Updates versorgt. In der Regel erhält nur moderne Hardware die benötigten Microupdates von den Herstellern; und auf Betriebssystem werden die Aktualisierungen meist nur in Windows 10 verteilt – Nutzer älterer Systeme gehen leer aus.

    Zumindest Intel-basierte Systeme lassen sich nun aber über ein USB-Tool absichern. Die Software mit dem Namen «Intel Microcode Boot Loader» wurde von Eran Badit (NGOHQ.com) entwickelt, der in der Vergangenheit vor allem für seine modifizierten Nvidia-Grafiktreiber Bekanntheit erlangte. Das USB-Tool versorgt das System beim Boot-Vorgang mit den zur CPU passenden Spectre-Patches.

    Unterstützt werden dabei derzeit 392 Intel-CPUs aus dem Produktionszeitraum zwischen 1996 und 2018. Die Microcodes befinden sich im Ordner \boot\mcudb und können mit neueren Patches bei Bedarf aktualisiert werden. Für den Einsatz genügt bereits ein USB-Stick mit mindestens 25 MByte Speicherkapazität. Als Basis für das Tool dient die Intel BIOS Implementation Test Suite (BITS).

    USB-Stick mit Intel Microcode Boot Loader erstellen

    Um einen USB-Stick mit der Sicherheitssoftware auszustatten, sind lediglich vier Schritte notwendig:
    1. Formatieren Sie zunächst den USB-Stick mit FAT32.
    2. Extrahieren Sie anschliessend das von der Herstellerseite heruntergeladene Zip-Archiv auf den USB-Stick und führen Sie dort die Datei install.exe aus. Dadurch wird der Stick als Boot-bares Medium eingerichtet.
    3. Konfigurieren Sie nun die Boot-Reihenfolge im BIOS/UEFI, damit der USB-Stick an erster Stelle steht. Ausserdem sollte der Modus "Legacy Boot" aktiviert sein.
    4. Abschliessend kann bereits in das gepatchte System gestartet werden.
    Da die Microupdates jeweils nur für die aktuelle Sitzung geladen werden, muss der USB-Stick mit dem Intel Microcode Boot Loader für jeden Startvorgang angeschlossen bleiben. Im Gegensatz zu modifizierten BIOS/UEFI-Systemen hat dies den Vorteil, dass Fehler, die im Zuge von Betriebssystem-Updates auftreten können, nicht gleich den PC ausser Gefecht setzen.


    Quelle: USB-Tool sichert PCs gegen Spectre ab und USB-Tool sichert PCs gegen Spectre ab
  • Windows 10: neues Microcode-Update gegen Spectre
    Microsoft stellt ein neues Microcode-Update für Windows 10 und Windows Server 2019 bereit.
    von Alexandra Lindner 28.11.2018

    Microsoft hat ein Windows-10-Update mit neuem Microcode für die Absicherung gegen Spectre V3a, V4 und L1TF veröffentlicht. Auch alle bisher veröffentlichten Microcode-Updates für die Spectre-Lücken sollen mit im Paket enthalten sein.

    Die Aktualisierungen werden automatisch an die Nutzer verteilt. Alternativ besteht aber auch die Möglichkeit, sich das Update über den entsprechenden Katalog auf der Webseite von Microsoft herunterzuladen.

    Wie die Redmonder mitteilen, ist das neue Update eigenständig. Es hat also nichts mit den üblichen monatlichen Sicherheits-Patches oder gar einem Funktions-Update zu tun. Ausserdem sei die derzeitige Aktualisierung für Windows 10, Version 1809 sowie den Windows Server 2019 optimiert. Andere Systeme sollen aber noch folgen.

    Microsoft stellt auf seiner Support-Seite eine genaue Auflistung zur Verfügung, für welche CPUs sich das Update eignet. Vornehmlich handelt es sich um Intel-Prozessoren der Baureihen Skylake, Kaby Lake, Coffee Lake sowie um die Server-Versionen mit Broadwell und Skylake.

    Patch gegen Spectre V4 manuell in Registry aktivieren

    Ferner weisen die Redmonder darauf hin, dass das Update auch einen Patch gegen Spectre V4 beinhaltet, dieser aber nicht automatisch aktiviert wird. Stattdessen muss der Nutzer dafür in die Registry gehen und die Aktualisierung manuell starten. Wie in diesem Fall vorzugehen ist, beschreibt Microsoft in einem separaten Beitrag.

    Wann auch Nutzer anderer Systemversionen und CPUs mit dem Update rechnen können, hat Microsoft nicht mitgeteilt. Allerdings heisst es, dass neue Patches umgehend bereitgestellt werden, sobald diese verfügbar sind.


    Quelle: Windows 10: neues Microcode-Update gegen Spectre
  • Bundesregierung sieht Behördenrechner gegen Meltdown und Spectre gewappnet

    Der Bund hat angeblich sämtliche mit Spectre und Meltdown bekannt gewordenen Schwachstellen auf potenziell gefährdeten IT-Systemen ganz gut im Griff.

    Der Security-Supergau rund um die vor allem in Intel-Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre ficht die Bundesregierung kaum mehr an. Sämtliche in diesem Zusammenhang bekannten Schwachstellen seien "auf allen potenziell gefährdeten IT-Systemen" durch die "von den Herstellern kostenlos bereitgestellten Patches" im regulären Management von Sicherheitsupdates "mitigiert", schreibt das Bundesinnenministerium in einer heise online vorliegenden Antwort auf eine Anfrage der Bundestagsabgeordneten Anke Domscheit-Berg (Die Linke).

    "Die konsequente Umsetzung der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen IT-Sicherheitsbausteine" und der zugehörigen Maßnahmen sowie eine vielschichtige und mehrstufige Sicherheitsarchitektur gewährleisteten "grundsätzlich schon standardmäßig ein sehr hohes Maß an IT-Sicherheit unabhängig von einzelnen konkreten Angriffsvektoren wie Spectre oder Meltdown". Die Administratoren und das Personal der Informationssicherheitsorganisation in den Ministerien bewerteten ständig Sicherheitslücken und ergriffen geeignete organisatorische beziehungsweise technische Schritte, betont der IT-Beauftragte der Bundesregierung, Klaus Vitt, in dem Schreiben.

    Regierung hat keinen vollständigen Überblick
    Das BSI als IT-Sicherheitsdienstleister des Bundes hat im Einsatz gegen Meltdown und Spectre 114.787 Euro für externe Leistungen ausgegeben und intern 2876 Personenstunden aufgewendet. Der Anteil potenziell angreifbarer Rechner im BSI, bei denen Mitarbeiter so wirksame Maßnahmen ergriffen hätten, um nicht mehr aufgrund dieser Schwachstellen angreifbar zu sein, liege aus Sicht der Behörde selbst "bei 100 Prozent".

    Auf die gerade neu offengelegte Sicherheitslücke in Prozessoren von Intel & Co. bezog sich das Auskunftsersuchen der Parlamentarierin noch nicht. Das BSI selbst ließ eine Anfrage von heise online, ob die Regierungsangaben erhärtet seien, zunächst unbeantwortet.

    Domscheit-Berg kommt in der Antwort der Regierung vor allem spanisch vor, dass die Risiken in der gesamten Verwaltung weitflächig abgemildert seien. Die Bundesregierung hat nämlich gar keinen vollständigen Überblick, welche Software oder Lizenzen die Behörden des Bundes erworben haben. Auf eine frühere Anfrage der Linken hin lieferte das Innenministerium nur eine lückenhafte Aufstellung zu Software, die in Behörden genutzt wird.

    Betriebssystemzoo
    Alleine im Bereich der Server besteht demnach ein großer und bunter Zoo an verschiedenen Betriebssystemen. Auf manchen der Rechner läuft demnach noch Debian 3.1, das seit gut zehn Jahren nicht mehr gepflegt wird. Auch der Support für die laut Regierung nach wie vor eingesetzte Linux-Variante CentOS 4 ist bereits seit vielen Jahren ausgelaufen. Ferner sind in mehreren Ministerien Computer noch mit Windows Server 2003 bestückt, wofür Microsoft den erweiterten Updatezyklus offiziell schon Mitte 2015 einstellte.

    "Wie sicher sind insbesondere alle die IT-Systeme, für die es eindeutig keine Patches mehr gab, weil sie schon zu alt dafür sind?", lautet für Domscheit-Berg so die große offene Frage. Offenbar würden in den Ämtern jenseits des BSI nur kostenfrei verfügbare Sicherheitsupdates der Hersteller angewendet, soweit diese welche veröffentlichten. Die Linke konstatiert daher: "Wer sich gegenüber dieser neuen Art von Sicherheitslücken so naiv sicher gibt, hat offenbar nicht einmal das Ausmaß des Problems erkannt." Mit hoher Wahrscheinlichkeit habe die Regierung so auch nicht das Nötige getan, um künftig besser gegen derartige Angriffsflächen gewappnet zu sein.

    Quelle: Bundesregierung sieht Behördenrechner gegen Meltdown und Spectre gewappnet | heise online