Gravierende Sicherheitslücke in CPUs diverser Hersteller

Thread Status
Hello, There was no answer in this thread for more than 30 days.
It can take a long time to get an up-to-date response or contact with relevant users.

Klaus Harms

Administrator
Teammitglied
Administrator
Nun, es geht seit gestern durch die Medien, dass es wohl entgegen erster Informationen nicht nur die CPUs von Intel betrifft, sondern dass auch Hersteller wie AMD und weitere betroffen sind.

15a4e80d74bfcd.png


Gemeint ist die von Experten festgestellte Sicherheitslücke in den Herzbausteinen von Computern (Central Processing Unit, (Haupt-)Prozessor eines Computers). Es soll sich dabei um ein Leck handeln, das Angreifer ausnutzen können, um sensitive Daten auf Systemen abzugreifen, die eigentlich wie vorgesehen arbeiten. (Heise)

Nachdem der Druck auf die Hersteller in den letzten Stunden massiv gewachsen ist, haben diese sich jetzt wohl bereit erklärt, kurzfristig weitere Informationen zu veröffentlichen.

Empfohlen wird, dass Updates der Betriebssysteme, soweit zur Verfügung gestellt, umgehend installiert werden sollten. Ob und inwieweit schon Schäden entstanden sind, ist nicht bekannt.

Wir halten Euch informiert.

Quelle: Heise
 
Anzeigen
Update 01:

Von den schweren Sicherheitslecks auf CPUs sind auch iPhones, iPads und Mac-Computer der Firma Apple betroffen. So gibt Apple bekannt, dass es in den kommenden Tagen für den Apple Browser Safari ein erstes Update geben wird.

Das Update soll die Schwachstelle auf Mikroprozessoren von Intel, AMD und ARM beheben, mit der über Internetbrowser Anwenderprogramme ausgetrickst und sensible Daten wie Passwörter gestohlen werden könnten.

Quelle und weitere Informationen: Spiegel Online
 
Kommentar
Das Update soll die Schwachstelle auf Mikroprozessoren von Intel, AMD und ARM beheben, mit der über Internetbrowser Anwenderprogramme ausgetrickst und sensible Daten wie Passwörter gestohlen werden könnten.

Als privater Endanwender kann man die Sache sowieso völlig entspannt angehen, denn wenn auf dem eigenen Rechner ein Schädling aktiv werden kann, dann hatte man mit Sicherheit schon vorher 10000 andere Probleme und definitiv viel einfachere Schwachstellen (z.B. Werbe-, Tracking-, Redirect- und andere Schadsoft-Scripte, incl. diverser Datenverkehr via Datensammel-Domains) für den Verlust seiner Daten.

Harter Tobak ist das Problem dagegen für die Betreiber von Rechenzentren aller Art, Clouds und auch die Admins, die Firmen-PCs/Laptops/etc. gegen ihre eigene Belegschaft/Kundschaft absichern müssen.
 
Kommentar
Als privater Endanwender kann man die Sache sowieso völlig entspannt angehen, denn wenn auf dem eigenen Rechner ein Schädling aktiv werden kann, dann hatte man mit Sicherheit schon vorher 10000 andere Probleme und definitiv viel einfachere Schwachstellen (z.B. Werbe-, Tracking-, Redirect- und andere Schadsoft-Scripte, incl. diverser Datenverkehr via Datensammel-Domains) für den Verlust seiner Daten.

Harter Tobak ist das Problem dagegen für die Betreiber von Rechenzentren aller Art, Clouds und auch die Admins, die Firmen-PCs/Laptops/etc. gegen ihre eigene Belegschaft/Kundschaft absichern müssen.



Das sehe ich anders: wenn man als Privatanwender eben nicht auf diverse Tricks hereingefallen ist und seinen Rechber sauber halten konnte, dann hat man aktuell die Gewissheit, dass der Rechner nun erstmal schutzlos Angriffen auf die veröffentlichte Schwachstelle ausgesetzt ist, bis hoffentlich bald Betriebssystem- und Browser-Updates das Problem (hoffentlich!) adressieren.

Zu den Betriebssystem-Updates wird gemunkelt, dass sie die Leistung der Rechner empfindlich beeinträchtigen werden (von bis zu 20-30% Leidtungseinbuße ist die Rede).

Das finde ich als Privatanwender alles andere als erbaulich oder beruhigend. Und auch im Nachbarthread die PC-Eigenbauer kratzen sich gerade den Schädel bei der Frage, welchen Hauptprozessor man aktuell empfehlen kann.
[MENTION=1]Klaus Harms[/MENTION]: auch Android-Handys sind betroffen. Es handelt sich um einen Hardware-Konstruktionsfehler. Daher ist es erstmal egal, welches Betriebssystem auf der Hardware läuft.
Laut einer Heise-Info gestern hat Google zwar schon Updates veröffentlicht. Wenn man aber um die Zersplitterung des Androidmarktes und die lückenhafte Versorgung mit Betriebssystem-Updates weiß, dann dürfte diese Sicherheitslücke dort noch sehr lange ausnutzbar sein.
 
Kommentar
Vielen Dank für die Verlinkung. Ich habe das Sicherheitspdate für meinen Laptop gerade frisch installiert und bin gespannt, ob und wie sich der Leistungsverlust bemerkbar macht.

Glücklicherweise muss ich mir zurzeit keine Gedanken machen, welchen Prozessor ich für meinen nächsten Rechenknecht auswählen soll - die Frage hat hoffentlich noch ein paar Jahre Zeit.
Bis die ersten Prozessoren bauseits ohne Sicherheitsleck auf den Markt kommen, dürfte wohl noch eine Weile dauern. Die Nachricht wird dann die breite Masse wohl nur am Rande interessieren.
 
Kommentar
Moin
habe das Sicherheitspdate am 04.01. auf Desktop und Notebook eingespielt
kann bisher keinen Leistungsverlust feststellen
 
Kommentar
Zu den Betriebssystem-Updates wird gemunkelt, dass sie die Leistung der Rechner empfindlich beeinträchtigen werden (von bis zu 20-30% Leidtungseinbuße ist die Rede).
......

Ein Schelm, wer böses denkt: Am Ende ist das alles nur ein gigantischer Marketing-Trick ?! Sicherlich wird die ganze Sache in den nächsten Monaten/Jahren zu einer deutlichen Belebung der Computerabsätze führen (modifizierte Hardware). Zweifellos handelt es sich hier um ein real existierendes Problem. Interessant aber finde ich die Tatsache, dass ausgerechnet der gemeinnützige Verein Google das Problem entdeckt, noch bevor die Sicherheitslücke genutzt wird. ;).
 
Kommentar
Das sehe ich anders: wenn man als Privatanwender eben nicht auf diverse Tricks hereingefallen ist und seinen Rechber sauber halten konnte, dann hat man aktuell die Gewissheit, dass der Rechner nun erstmal schutzlos Angriffen auf die veröffentlichte Schwachstelle ausgesetzt ist, bis hoffentlich bald Betriebssystem- und Browser-Updates das Problem (hoffentlich!) adressieren.

Glaube es mir ;). Hacker sind auch faul und gehen den Weg des geringsten Widerstandes und der geringste Widerstand sitzt halt in der Regel vor dem Monitor. Im übrigen: Die Angriffe laufen prinzipbedingt derartig lange auf dem PC, das der übliche PC-Nutzer zu Hause den PC in der Zwischenzeit schon wieder ausgeschaltet haben dürfte, denn das Auslesen des Arbeitsspeichers dauert wohl viele Stunden.

Nur so als Info: Bis einschließlich Win98 war dieser Bug sogar Stand der Dinge, per Design. Auch damals ist die Welt nicht zugrunde gegangen.

Zu den Betriebssystem-Updates wird gemunkelt, dass sie die Leistung der Rechner empfindlich beeinträchtigen werden (von bis zu 20-30% Leidtungseinbuße ist die Rede).

Für den Heim-User dürfte die Leistungsänderung homöopathisch sein, bei Datenbank-Servern mit viel I/O und Content-Wechseln sieht das durchaus anders aus.

Das finde ich als Privatanwender alles andere als erbaulich oder beruhigend.

Das ständige und latente Ausspionieren meines kompletten Rechners durch mafiöse Werbe/Tracking-Scripte, die zu Dutzenden auf den Webseiten auf ihre Opfer lauern, das finde ich mehr als beunruhigend. Von der staatlichen Überwachung weltweit mag ich erst gar nicht zu schreiben ...

Und auch im Nachbarthread die PC-Eigenbauer kratzen sich gerade den Schädel bei der Frage, welchen Hauptprozessor man aktuell empfehlen kann.

Solange auf nahezu jedem neuen Rechner eine TPM-Console (Intel ME, etc.) läuft, ist das völlig egal. Diese kleine Console ist nicht mehr als ein Mini-Rechner im BIOS/UEFI, der über die Netzwerkschnittstelle Zugriff auf alle Resourcen des PC erlaubt, ohne das ein OS lauft oder dieses es merken könnte.
 
Kommentar
Bei mir gab es sogar ein BIOS Update. GIGA Byte Board. In meinen 2. Rechner ist ein MSI Board. Ein Jahr älter.
Außerdem heute Windows Update. Unter Linux neuer gefixter Kernel. Fedora.

Ich hab noch nicht getestet ob es Performance Einbusen nach sich zieht. In Lightroom hab ich nichts gemerkt.
Aber, da ich beide Rechner auch beruflich als Softwareentwickler brauche, werde ich mal schauen ob meine Datenbankanwendungen noch so laufen wie bis her.

Das werde ich spätestens Morgen wissen.
 
Kommentar
Zusätzlich zu den Betriebssystem-Updates muss auch der Microcode für die Hardware upgedatet werden. Dieser wird von den ersten Boardherstellern in Form von BIOS-Updates bereitgestellt. Nur in dieser Kombination können die installierten Updates maximale Schutzwirkung entfalten.
 
Kommentar
GROSSARTIG

Endlich ein Grund neue Hardware anzuschaffen. Das wurde auch mal Zeit!

Früher (Holzgewehr, Lederhose ...) kamen grundlegende Hardware-Neuerungen alle sechs Monate, und ein zwei Jahre alter Rechner war Müll - kaum noch fähig, die aktuelle Version einer Textverarbeitung zu öffnen, und von Spielen wollen wir gar nicht erst reden.

Dieser Tage arbeite ich auf einem fünf Jahre alten Notebook und habe keinerlei Grund mich zu beschweren. Es ist einfach nicht genug passiert, als dass sich ein Upgrade oder gar eine Neuanschaffung lohnen würde. Wer 2012 oder 2013 Spitzenklasse gekauft hat, ist derzeit immer noch gut bedient. Und offensichtlich wird sich daran auch nicht viel ändern, denn abgesehen von grösseren und zuverlässigeren SSDs lesen sich die Technischen Daten derzeit nicht grossartig anders, als vor einer halben Dekade.

Jetzt endlich hat man einen Bug identifiziert, den man als Vehikel nutzen kann, um dem Kunden klar zu machen, wie dringend er einen neuen PC braucht. Die CPU hat ein Sicherheitsleck, und wenn man es verschliesst, geht die Leistung wahnsinnig in die Knie. Nur noch Klötzchengraphik und Handbetrieb mit Kurbel. Wir haben dir unsicheren Müll verkauft, jetzt bremsen wir den Müll per Update auch noch runter .... du MUSST einfach investieren! Die CPU einfach austauschen geht so nicht, denn die neue Generation wird nicht mehr auf deinem alten Motherboard laufen. PERFEKT!

Was genau wird eigentlich um 25% langsamer? Fast Nichts! Der Speicher und die I/O Geschwindigkeit zu den Platten ist nicht betroffen. GPU? Auch nicht. Betroffen ist die "Leistung" des Prozessors beim abarbeiten von Routienen. Davon gibt es in der EBV eine ganze Menge, also kratzt mich das wahrscheinlich - solange das Problem nur mit stark bremsend wirkenden Patches angegangen wird. Hier könnten minus 25% Rechenleistung temporär möglich sein.

Nach den Patches (Patches sind das Äquivalent einer Reparatur mit Kabelbindern und Tesa-Band) wird das Problem mit Kernel-Updates angegangen (ein Reparatur durch Neu-Konzeption des fehlerhaften Bauteils). Ab Version 4.15 wird dann die Rechenleistung meines Systems um voraussichtlich 2% langsamer werden. Eine Berechnung, die bisher 100 Sekunden gedauert hat, wird 102 Sekunden dauern. aus 10s werden 10,2s und aus 0,010s werden 0,0102s. Nervt mich das? Irgendwie vermutlich schon, weil ich weiss, dass da "was suboptimal ist". Merke ich das im praktischen Betrieb? Nein!

Also werde ich mit den Achseln zucken und mich wieder hinlegen. Würde ich ein Patch aufspielen? Ja, auf Servern (NAS - Kinder, denkt an eure NAS-Geschichten) ist das von "Kann nix schaden" über "schon sinnvoll" bis hin zu "unbedingt erforderlich". Auf einer privaten Workstation würde ich die Finger von Patches lassen und auf das nächste Update des Kernels warten.

Einen neuen Rechner brauche ich deswegen echt nicht.
 
Kommentar
Kommentar
Laut unabhängigen Tests hängt der Geschwindigkeitsverlust von einigen Faktoren ab und kann auch I/O stark betreffen, (siehe Test mit SSDs)

Das betrifft auch wieder nur die ganzen Server-Installationen, denn der normale Benutzer bekommt es nicht mit wenn das gleichzeitige Öffnen/Schließen/Lesen/Verschieben von zehntausenden Dateien auf seinem Rechner um 25% langsamer wird, da er einen solchen Anwendungsfall einfach nicht hat.

Momentan ist es aber wieder einmal so, dass bei der Hype um die Sicherheitslücke viel mehr Schaden entsteht, als um das Problem selbst, Stichwort: spontane Reboots bei Intel-CPUs, AMD-Rechner wollen teils nicht mehr ein OS laden und zudem heftige Nebenwirkungen mit reichlich Software & Treibern.

Fazit: Einmal tief Luft holen und ganz in Ruhe abwarten.
 
Kommentar
-Anzeige-
Zurück
Oben Unten