Gravierende Sicherheitslücke in CPUs diverser Hersteller


Klaus Harms

Administrator
Teammitglied
Nun, es geht seit gestern durch die Medien, dass es wohl entgegen erster Informationen nicht nur die CPUs von Intel betrifft, sondern dass auch Hersteller wie AMD und weitere betroffen sind.

Sie müssen kostenlos registriert oder eingeloggt sein, um Bilder sehen zu können. Eine Registrierung ist unverbindlich und in einigen Minuten abgeschlossen. Ausserdem unterstützen Sie mit einer Registrierung dieses wundervolle Projekt. Vielen Dank!


Gemeint ist die von Experten festgestellte Sicherheitslücke in den Herzbausteinen von Computern (Central Processing Unit, (Haupt-)Prozessor eines Computers). Es soll sich dabei um ein Leck handeln, das Angreifer ausnutzen können, um sensitive Daten auf Systemen abzugreifen, die eigentlich wie vorgesehen arbeiten. ( )

Nachdem der Druck auf die Hersteller in den letzten Stunden massiv gewachsen ist, haben diese sich jetzt wohl bereit erklärt, kurzfristig weitere Informationen zu veröffentlichen.

Empfohlen wird, dass Updates der Betriebssysteme, soweit zur Verfügung gestellt, umgehend installiert werden sollten. Ob und inwieweit schon Schäden entstanden sind, ist nicht bekannt.

Wir halten Euch informiert.

Quelle:
 

Klaus Harms

Administrator
Teammitglied
Update 01:

Von den schweren Sicherheitslecks auf CPUs sind auch iPhones, iPads und Mac-Computer der Firma Apple betroffen. So gibt Apple bekannt, dass es in den kommenden Tagen für den Apple Browser Safari ein erstes Update geben wird.

Das Update soll die Schwachstelle auf Mikroprozessoren von Intel, AMD und ARM beheben, mit der über Internetbrowser Anwenderprogramme ausgetrickst und sensible Daten wie Passwörter gestohlen werden könnten.

Quelle und weitere Informationen:
 
Kommentar

Mika

Sehr aktives Mitglied
Das entsprechende Windows-Sicherheitsupdate ist wohl das hier:



Wird bei entsprechender Einstellung automatisch installiert, braucht dann aber einen Neustart, um wirksam zu werden.
 
Kommentar

of51

Nikon-Clubmitglied
Das entsprechende Windows-Sicherheitsupdate ist wohl das hier:



Wird bei entsprechender Einstellung automatisch installiert, braucht dann aber einen Neustart, um wirksam zu werden.
Habe mal nachgeschaut. Wurde bei mir am 04.01 installiert.
 
Kommentar

pbhq

Unterstützendes Mitglied
Das Update soll die Schwachstelle auf Mikroprozessoren von Intel, AMD und ARM beheben, mit der über Internetbrowser Anwenderprogramme ausgetrickst und sensible Daten wie Passwörter gestohlen werden könnten.
Als privater Endanwender kann man die Sache sowieso völlig entspannt angehen, denn wenn auf dem eigenen Rechner ein Schädling aktiv werden kann, dann hatte man mit Sicherheit schon vorher 10000 andere Probleme und definitiv viel einfachere Schwachstellen (z.B. Werbe-, Tracking-, Redirect- und andere Schadsoft-Scripte, incl. diverser Datenverkehr via Datensammel-Domains) für den Verlust seiner Daten.

Harter Tobak ist das Problem dagegen für die Betreiber von Rechenzentren aller Art, Clouds und auch die Admins, die Firmen-PCs/Laptops/etc. gegen ihre eigene Belegschaft/Kundschaft absichern müssen.
 
Kommentar

Danulon

Sehr aktives Mitglied
Als privater Endanwender kann man die Sache sowieso völlig entspannt angehen, denn wenn auf dem eigenen Rechner ein Schädling aktiv werden kann, dann hatte man mit Sicherheit schon vorher 10000 andere Probleme und definitiv viel einfachere Schwachstellen (z.B. Werbe-, Tracking-, Redirect- und andere Schadsoft-Scripte, incl. diverser Datenverkehr via Datensammel-Domains) für den Verlust seiner Daten.

Harter Tobak ist das Problem dagegen für die Betreiber von Rechenzentren aller Art, Clouds und auch die Admins, die Firmen-PCs/Laptops/etc. gegen ihre eigene Belegschaft/Kundschaft absichern müssen.


Das sehe ich anders: wenn man als Privatanwender eben nicht auf diverse Tricks hereingefallen ist und seinen Rechber sauber halten konnte, dann hat man aktuell die Gewissheit, dass der Rechner nun erstmal schutzlos Angriffen auf die veröffentlichte Schwachstelle ausgesetzt ist, bis hoffentlich bald Betriebssystem- und Browser-Updates das Problem (hoffentlich!) adressieren.

Zu den Betriebssystem-Updates wird gemunkelt, dass sie die Leistung der Rechner empfindlich beeinträchtigen werden (von bis zu 20-30% Leidtungseinbuße ist die Rede).

Das finde ich als Privatanwender alles andere als erbaulich oder beruhigend. Und auch im Nachbarthread die PC-Eigenbauer kratzen sich gerade den Schädel bei der Frage, welchen Hauptprozessor man aktuell empfehlen kann.
[MENTION=1]Klaus Harms[/MENTION]: auch Android-Handys sind betroffen. Es handelt sich um einen Hardware-Konstruktionsfehler. Daher ist es erstmal egal, welches Betriebssystem auf der Hardware läuft.
Laut einer Heise-Info gestern hat Google zwar schon Updates veröffentlicht. Wenn man aber um die Zersplitterung des Androidmarktes und die lückenhafte Versorgung mit Betriebssystem-Updates weiß, dann dürfte diese Sicherheitslücke dort noch sehr lange ausnutzbar sein.
 
Kommentar

podilife

Aktives NF Mitglied
Vielen Dank für die Verlinkung. Ich habe das Sicherheitspdate für meinen Laptop gerade frisch installiert und bin gespannt, ob und wie sich der Leistungsverlust bemerkbar macht.

Glücklicherweise muss ich mir zurzeit keine Gedanken machen, welchen Prozessor ich für meinen nächsten Rechenknecht auswählen soll - die Frage hat hoffentlich noch ein paar Jahre Zeit.
Bis die ersten Prozessoren bauseits ohne Sicherheitsleck auf den Markt kommen, dürfte wohl noch eine Weile dauern. Die Nachricht wird dann die breite Masse wohl nur am Rande interessieren.
 
Kommentar
G

Gelöschtes Mitglied 5458

Guest
Zu den Betriebssystem-Updates wird gemunkelt, dass sie die Leistung der Rechner empfindlich beeinträchtigen werden (von bis zu 20-30% Leidtungseinbuße ist die Rede).
......
Ein Schelm, wer böses denkt: Am Ende ist das alles nur ein gigantischer Marketing-Trick ?! Sicherlich wird die ganze Sache in den nächsten Monaten/Jahren zu einer deutlichen Belebung der Computerabsätze führen (modifizierte Hardware). Zweifellos handelt es sich hier um ein real existierendes Problem. Interessant aber finde ich die Tatsache, dass ausgerechnet der gemeinnützige Verein Google das Problem entdeckt, noch bevor die Sicherheitslücke genutzt wird. ;).
 
Kommentar

Kurt Raabe

NF Team
Teammitglied
Zu den Betriebssystem-Updates wird gemunkelt, dass sie die Leistung der Rechner empfindlich beeinträchtigen werden (von bis zu 20-30% Leidtungseinbuße ist die Rede).
Moin
naja in den letzten Meldungen war nur noch von 2-3% Leistungseinbuße die Rede
 
Kommentar

pbhq

Unterstützendes Mitglied
Das sehe ich anders: wenn man als Privatanwender eben nicht auf diverse Tricks hereingefallen ist und seinen Rechber sauber halten konnte, dann hat man aktuell die Gewissheit, dass der Rechner nun erstmal schutzlos Angriffen auf die veröffentlichte Schwachstelle ausgesetzt ist, bis hoffentlich bald Betriebssystem- und Browser-Updates das Problem (hoffentlich!) adressieren.
Glaube es mir ;). Hacker sind auch faul und gehen den Weg des geringsten Widerstandes und der geringste Widerstand sitzt halt in der Regel vor dem Monitor. Im übrigen: Die Angriffe laufen prinzipbedingt derartig lange auf dem PC, das der übliche PC-Nutzer zu Hause den PC in der Zwischenzeit schon wieder ausgeschaltet haben dürfte, denn das Auslesen des Arbeitsspeichers dauert wohl viele Stunden.

Nur so als Info: Bis einschließlich Win98 war dieser Bug sogar Stand der Dinge, per Design. Auch damals ist die Welt nicht zugrunde gegangen.

Zu den Betriebssystem-Updates wird gemunkelt, dass sie die Leistung der Rechner empfindlich beeinträchtigen werden (von bis zu 20-30% Leidtungseinbuße ist die Rede).
Für den Heim-User dürfte die Leistungsänderung homöopathisch sein, bei Datenbank-Servern mit viel I/O und Content-Wechseln sieht das durchaus anders aus.

Das finde ich als Privatanwender alles andere als erbaulich oder beruhigend.
Das ständige und latente Ausspionieren meines kompletten Rechners durch mafiöse Werbe/Tracking-Scripte, die zu Dutzenden auf den Webseiten auf ihre Opfer lauern, das finde ich mehr als beunruhigend. Von der staatlichen Überwachung weltweit mag ich erst gar nicht zu schreiben ...

Und auch im Nachbarthread die PC-Eigenbauer kratzen sich gerade den Schädel bei der Frage, welchen Hauptprozessor man aktuell empfehlen kann.
Solange auf nahezu jedem neuen Rechner eine TPM-Console (Intel ME, etc.) läuft, ist das völlig egal. Diese kleine Console ist nicht mehr als ein Mini-Rechner im BIOS/UEFI, der über die Netzwerkschnittstelle Zugriff auf alle Resourcen des PC erlaubt, ohne das ein OS lauft oder dieses es merken könnte.
 
Kommentar

Klaus Harms

Administrator
Teammitglied
Kommentar

m-hermann

NF-F Platin Mitglied
Moin
habe das Sicherheitspdate am 04.01. auf Desktop und Notebook eingespielt
kann bisher keinen Leistungsverlust feststellen
Moin Kurt,
Deine Aussage bezieht sich dann aber wohl nur auf Windows 10, denn für die 7er Version scheint es noch nix zu geben.
 
Kommentar

Neokt

NF-F Premium Mitglied
Bei mir gab es sogar ein BIOS Update. GIGA Byte Board. In meinen 2. Rechner ist ein MSI Board. Ein Jahr älter.
Außerdem heute Windows Update. Unter Linux neuer gefixter Kernel. Fedora.

Ich hab noch nicht getestet ob es Performance Einbusen nach sich zieht. In Lightroom hab ich nichts gemerkt.
Aber, da ich beide Rechner auch beruflich als Softwareentwickler brauche, werde ich mal schauen ob meine Datenbankanwendungen noch so laufen wie bis her.

Das werde ich spätestens Morgen wissen.
 
Kommentar

Candelumix

Nikon-Clubmitglied
Zusätzlich zu den Betriebssystem-Updates muss auch der Microcode für die Hardware upgedatet werden. Dieser wird von den ersten Boardherstellern in Form von BIOS-Updates bereitgestellt. Nur in dieser Kombination können die installierten Updates maximale Schutzwirkung entfalten.
 
Kommentar

shovelhead

Sehr aktives Mitglied
GROSSARTIG

Endlich ein Grund neue Hardware anzuschaffen. Das wurde auch mal Zeit!

Früher (Holzgewehr, Lederhose ...) kamen grundlegende Hardware-Neuerungen alle sechs Monate, und ein zwei Jahre alter Rechner war Müll - kaum noch fähig, die aktuelle Version einer Textverarbeitung zu öffnen, und von Spielen wollen wir gar nicht erst reden.

Dieser Tage arbeite ich auf einem fünf Jahre alten Notebook und habe keinerlei Grund mich zu beschweren. Es ist einfach nicht genug passiert, als dass sich ein Upgrade oder gar eine Neuanschaffung lohnen würde. Wer 2012 oder 2013 Spitzenklasse gekauft hat, ist derzeit immer noch gut bedient. Und offensichtlich wird sich daran auch nicht viel ändern, denn abgesehen von grösseren und zuverlässigeren SSDs lesen sich die Technischen Daten derzeit nicht grossartig anders, als vor einer halben Dekade.

Jetzt endlich hat man einen Bug identifiziert, den man als Vehikel nutzen kann, um dem Kunden klar zu machen, wie dringend er einen neuen PC braucht. Die CPU hat ein Sicherheitsleck, und wenn man es verschliesst, geht die Leistung wahnsinnig in die Knie. Nur noch Klötzchengraphik und Handbetrieb mit Kurbel. Wir haben dir unsicheren Müll verkauft, jetzt bremsen wir den Müll per Update auch noch runter .... du MUSST einfach investieren! Die CPU einfach austauschen geht so nicht, denn die neue Generation wird nicht mehr auf deinem alten Motherboard laufen. PERFEKT!

Was genau wird eigentlich um 25% langsamer? Fast Nichts! Der Speicher und die I/O Geschwindigkeit zu den Platten ist nicht betroffen. GPU? Auch nicht. Betroffen ist die "Leistung" des Prozessors beim abarbeiten von Routienen. Davon gibt es in der EBV eine ganze Menge, also kratzt mich das wahrscheinlich - solange das Problem nur mit stark bremsend wirkenden Patches angegangen wird. Hier könnten minus 25% Rechenleistung temporär möglich sein.

Nach den Patches (Patches sind das Äquivalent einer Reparatur mit Kabelbindern und Tesa-Band) wird das Problem mit Kernel-Updates angegangen (ein Reparatur durch Neu-Konzeption des fehlerhaften Bauteils). Ab Version 4.15 wird dann die Rechenleistung meines Systems um voraussichtlich 2% langsamer werden. Eine Berechnung, die bisher 100 Sekunden gedauert hat, wird 102 Sekunden dauern. aus 10s werden 10,2s und aus 0,010s werden 0,0102s. Nervt mich das? Irgendwie vermutlich schon, weil ich weiss, dass da "was suboptimal ist". Merke ich das im praktischen Betrieb? Nein!

Also werde ich mit den Achseln zucken und mich wieder hinlegen. Würde ich ein Patch aufspielen? Ja, auf Servern (NAS - Kinder, denkt an eure NAS-Geschichten) ist das von "Kann nix schaden" über "schon sinnvoll" bis hin zu "unbedingt erforderlich". Auf einer privaten Workstation würde ich die Finger von Patches lassen und auf das nächste Update des Kernels warten.

Einen neuen Rechner brauche ich deswegen echt nicht.
 
Kommentar

Falter

Sehr aktives Mitglied
Was genau wird eigentlich um 25% langsamer? Fast Nichts! Der Speicher und die I/O Geschwindigkeit zu den Platten ist nicht betroffen.
Laut unabhängigen Tests hängt der Geschwindigkeitsverlust von einigen Faktoren ab und kann auch I/O stark betreffen, ( )

Antworten auf die wichtigsten Fragen:
 
Kommentar

pbhq

Unterstützendes Mitglied
Laut unabhängigen Tests hängt der Geschwindigkeitsverlust von einigen Faktoren ab und kann auch I/O stark betreffen, ( )
Das betrifft auch wieder nur die ganzen Server-Installationen, denn der normale Benutzer bekommt es nicht mit wenn das gleichzeitige Öffnen/Schließen/Lesen/Verschieben von zehntausenden Dateien auf seinem Rechner um 25% langsamer wird, da er einen solchen Anwendungsfall einfach nicht hat.

Momentan ist es aber wieder einmal so, dass bei der Hype um die Sicherheitslücke viel mehr Schaden entsteht, als um das Problem selbst, Stichwort: spontane Reboots bei Intel-CPUs, AMD-Rechner wollen teils nicht mehr ein OS laden und zudem heftige Nebenwirkungen mit reichlich Software & Treibern.

Fazit: Einmal tief Luft holen und ganz in Ruhe abwarten.
 
Kommentar
Oben Unten
LiveZilla Live Chat Software