Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 1

Wie stark wirken sich die Sicherheitsupdates für Meltdown und Spectre, die jetzt und künftig freigegeben werden, nun auf die Performance aus? Microsoft hat da was in Bezug auf Windows geschrieben – sieht nicht gut aus.


Anzeige

Worum geht es?

Letzte Woche wurden ja zwei gravierende Sicherheitslücken mit den Namen Meltdown und Spectre bekannt. Ich hatte im Blog-Beitrag Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme frühzeitig über das Thema berichtet. Diese beeinflussen die Sicherheit fast aller Systeme – wobei Spectre eigentlich auf fast allen CPUs ausnutzbar ist, während Meltdown auf Intel CPUs begrenzt bleibt.

Die Betriebssystemhersteller versuchen momentan hektisch die Sicherheitslücken in der Hardware zu stopfen. Microsoft hat bereits am 3. Januar 2018 erste Updates ausgerollt, am 4. und 5. nachgelegt und sich auf AMD-Systemen (sowie manchen Intel-Systemen) eine blutige Nase geholt. Der AMD-Patch wurde temporär ausgesetzt, weil er die Rechner lahm legt. Details finden sich in den am Ende des Blog-Beitrag verlinkten Artikeln.

Über die Sicherheitsauswirkungen der Fehler lässt sich zum Zeit nur spekulieren – aktuell sind keine Angriffe, die die Lücken ausnutzen, bekannt. Das könnte sich aber ändern, weshalb die Prozessorhersteller und die Softwareentwickler Updates bereitstellen. Und ich bin mir relativ sicher, dass wir in 2018 weitere Nachrichten zu CPU-Lücken zu lesen bekommen. Denn der Vorfall hat die Aufmerksamkeit der Sicherheitsforscher auf das Feld der CPU-Bugs mit Sicherheitslücken verschoben. Ohne Übertreibung lässt sich feststellen, dass uns dieses Thema noch ein paar Tage, wenn nicht Jahre beschäftigen könnte.

Und wie schaut es mit der Performance aus?

Die spannende Frage war ja: Wie wird die Leistung des Systems durch diese Updates ausgebremst? Im Blog-Beitrag Windows 10: Patch fixt den Intel-Bug hatte ich von ersten Benchmarks 5 bis 30 bis 50% berichtet.

Blog-Leser Leon hat mich auf diesen Epic-Games-Foreneintrag aufmerksam gemacht, die ihre Server wegen Meltdown patchen mussten und auf 20% Leistungseinbußen kamen. The Verge diskutiert hier die massiven Performance-Einbußen bei Epic-Games Fortnite. Bei Cloud-Diensten wie AWS oder Azure habe ich dagegen nur Werte von 3 – 5 % gelesen. Das deckt sich mit diesem Artikel, wo beim Surface und Windows 10 nachgemessen wurde. Dieser Artikel enthält ebenfalls eine Übersicht, die einige Angaben enthält.

  • Lustre (parallel distributed filesystem) 10 bis 45 % (siehe)
  • Monero Miner 45% – es gibt aber auch Angaben von 10 bis 15%
  • Python (unter Windows 7) 37 % (siehe)

Auch hier im Blog gab es widersprüchliche Erfahrungen, die von ‘nichts zu merken’ bis zu spürbare Einschränkungen (z.B. Musikproduktion) reichen.

Microsoft nimmt Stellung


Werbung

Microsofts Windows-Chef, Terry Myserson, hat im Blog-Beitrag  Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems Stellung zum Thema Leistungseinbußen genommen. Vorab sollte man im Hinterkopf behalten, dass wir erst am Anfang der Patcherei stehen. Im ersten Schritt gibt er Hinweise, mit welchen Maßnahmen die drei bekannten Angriffsvarianten abgeblockt werden können.

Mitigation for Meltdown and Spectre

Während manches durch Änderungen der Compileroptionen und Neuübersetzung oder Anpassungen am Browser gelöst werden kann, erfordert Meltdown die Trennung der Kernel und User Mode-Tables. Eine Methode zur Abwehr von Spectre erfordert sogar ein Update des Microcodes der CPU. Und dann gibt Myerson Butter bei die Fische.

  • Bei Windows 10 auf neuer CPUs (PCs aus 2016-Ära mit Skylake, Kabylake oder neuerer CPU) zeigen Benchmarks Leistungseinbußen im einstelligen Prozentbereich. Microsoft erwartet nicht, dass die meisten Anwender eine Veränderung bemerken, da diese Prozentsätze in Millisekunden angegeben werden.
  • Mit Windows 10 auf älterer Hardware (PCs aus 2015 mit Haswell oder älteren CPUs) sind nicht so gut dran. Einige Benchmarks  zeigen eine deutlichere Verlangsamung der Systeme. Microsoft geht davon aus, dass einige Anwender einen Rückgang der Systemleistung bemerken werden.
  • Hat jemand was von Windows 7 und Windows 8.1 gesagt? Mit Windows 8 und Windows 7 auf älteren Prozessoren/Chipsätzen (Systeme bis 2015  mit Haswell oder älteren CPUs) sieht es schlechter aus. Dort erwartet Microsoft, dass sich bei den meisten Anwendern eine Abnahme der Systemleistung bemerkbar macht.
  • Bei Windows Server, insbesondere in jeder IO-intensiven Anwendungen (Datenbanken), zeigen Benchmarks, unabhängig vom Alter der Hardware eine signifikantere Auswirkung auf die Performance. Dies gilt, wenn vertrauenswürdiger Code innerhalb einer Windows Server-Instanz isoliert werden muss.

Die Unterschiede in den Leistungseinbußen zwischen neueren und älteren Prozessoren begründet Myerson damit, dass in neuen CPUs mehr Möglichkeiten gegeben seien, Branch Speculation zu deaktivieren. Das reduziert die Leistungseinbußen wegen Spectre-Updates. Bei Windows 7 und Windows 8.1 gibt es, auf Grund des Designs, mehr Übergänge zwischen User-Mode und Kernel-Mode (z.B. erfolgt dort das Font-Rendering im Kernel). Dies wirkt sich negativ in der Leistung aus. Microsoft will in den kommenden Wochen Benchmarks veröffentlichen.

Server-Umgebungen selektiv patchen

Microsoft schlägt für Server-Umgebungen vor, für jede Instanz zu entscheiden, ob ob nicht vertrauenswürdigem Code (in VMs) isoliert werden muss.

Unter nicht vertrauenswürdigem Code versteht Microsoft z.B. Browser, Webanwendungen, heruntergeladene Apps und Anwendungen etc.

Administratoren müssen dann entscheiden, ob Server gepatcht werden oder ob im Hinblick auf Leistungseinbußen die Updates nicht eingespielt werden (so jedenfalls meine Lesart). Server, bei denen Anwendungen keine Browser verwenden und vertrauenswürdigen Code ausführen, können dann ggf. ungepatcht bleiben. Man soll einen Kompromiss zwischen Sicherheit und Leistung suchen.

The Verge hat hier einen Artikel zum Thema publiziert. Deutschsprachige Artikel lassen sich bei den Kollegen von deskmodder.de und Dr. Windows nachlesen. Was ich persönlich im Blog-Beitrag von Myerson vermisst habe? Er geht mit keinem Wort auf die von Google kürzlich vorgestellte Retpoline-Technik ein, die die Sicherheitslücken durch Software abschwächt und angeblich kaum Leistungseinbußen verursacht.

Artikelreihe:
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 1
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 2
Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust

Ähnliche Artikel
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Windows 10: Patch fixt den Intel-Bug
Kritische Updates für Windows und Browser (3.1.2018)
Windows 10: Kritische Updates vom 3.1.2018
Kritische Sicherheitsupdates für Windows 7/8.1/Server (3./4.1.2018)
Weitere Updates (Internet Explorer, GDI) 3.1.2018
Windows10: Update KB4056892 killt AMD-Systeme (Error 0x800f0845)
Windows 7: Update KB4056894 macht Probleme (0x000000C4)
Kaspersky Endpoint Security 10 Update auf V10.3.0.6294
Windows Updates (KB4056892, KB4056894 etc.) für AMD temporär zurückgezogen

AMD-GAU & AV-Ärger: Neues zu Windows-Sicherheitsupdates


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Kommentare zu Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 1

  1. ldlx sagt:

    > Administratoren müssen dann entscheiden, ob Server gepatcht werden oder ob im Hinblick auf Leistungseinbußen die Updates nicht eingespielt werden (so jedenfalls meine Lesart).

    Wie passt das denn zu kumulativen Updates? Nie wieder Updates für den Windows-Server?

    • Pass sagt:

      Die kummulativen Updates kann man umgehen.
      Es gibt zu jedem kommulativen Update auch ein Sicherheits-Only Pendant, das nicht kummulativ ist.
      Ein WSUS bietet z.B. immer beide Updates an.
      Arbeitet man ohne WSUS, muß man sich das Security-Only Update manuell bei MS herunterladen und installieren.

      • ldlx sagt:

        Wie lange willst du den Kram umgehen? warst du von dem Problem betroffen, dass RDP-Verbindungen nicht wiederhergestellt werden können? Ich bin leider noch nicht dazu gekommen, die betroffene VM neu zu installieren (auf die ich mich gelegentlich verbinden muss) und alle geplanten Tasks wiederherzustellen, also läuft alles weiter “nach Plan” (auf dem Hyper-V-Host “stop-vm” & “start-vm” einzugeben, falls mal was nicht funktioniert). Und selbst dann… die “guten” Updates bekommst du dann halt nicht.

  2. deoroller sagt:

    Wenn deswegen ältere Systeme, die an sich noch reichten, früher ersetzt werden, ist es ein Konjunkturprogramm. ;-)

  3. Berto Roblanco sagt:

    “Und wo schaut es mit der Performance aus?”
    Ja, wo schaut die Perforance raus, oder saut die Prenofance aus?

  4. Jo sagt:

    Grias eich!

    Es wurde schon mit den letzten Update 1709 /16299.125 an der Performance Schraube gedreht.
    Ein suchen in einer Outlook-Datei (*.pst) mit ca. 10GB dauert früher ca. 4-10 Sekunden, je nach Suchbegriff.
    Seit Patch immer zwischen 2-4 Minuten.
    Intel core i5-2500
    MB Intel DH67GD
    4GB Memory
    Sind HDD’S eingebaut, versuche es nun mit SSD zu beschleinigen.

  5. Werbung

  6. acvolker sagt:

    Was ist denn das größere Risiko? Die Meltdown/Spectre-Lücke oder das nervöse und vielleicht verfrühte Patchen der Betriebssysteme? Wie groß ist denn derzeit überhaupt die Bedrohung? Ich würde es gerne einschätzen können.

    • Ralf Lindemann sagt:

      Eigentlich kann man es nur salomonisch sagen: Am gefährlichsten sind die Bedrohungen und Attacken, die nicht bekannt sind.

      Was Meltdown & Spectre betrifft: Man glaubt nicht, dass die Sicherheitslücken bereits ausgenutzt werden. Wirklich wissen tut man es aber nicht. Die gefährlichste Variante wäre: Die Sicherheitslücken werden bereits ausgenutzt – der Schädling ist bislang aber nicht entdeckt worden.

      Ist so ein bisschen wie mit dem Sicherheitsgurt im Auto: Wenn man wüsste, wann der Unfall passiert, bräuchte man sich ja nur dann angurten (oder steigt gar nicht erst ins Auto ;-) …). Weiß man aber nicht vorher. Ergo: Man gurtet sich immer an, auch wenn bei 99,9999% aller Fahrten nie etwas passiert …

      • acvolker sagt:

        Das kann ich nachvollziehen. Aber wenn der Sicherheitsgurt nicht funktioniert (Auto springt nicht an oder hat Leistungseinbußen – ok das hinkt…), dann warte ich vielleicht auf einen besseren Sicherheitsgurt?

        Es ist halt die Frage, was passieren kann, d.h. welche Bedrohungsszenarien denkbar sind.

        • Ralf Lindemann sagt:

          Das Beste, was man machen kann: sich gut informieren, eine eigene Meinung bilden und dann entscheiden, was für die persönliche Situation das Richtige ist. Wer Online-Banking betreibt oder von Zuhause auf das Firmennetzwerk seines Arbeitgebers zugreift, ist vermutlich gut beraten, verfügbare Sicherheitsupdates zu installieren. Unter Umständen bestehen sogar Haftungsrisiken, wenn verfügbare Sicherheitsupdates nicht installiert werden.

  7. Al CiD sagt:

    Bei der Schnellüberprüfung – Windows Defender ist eine deutliche Leistungseinbuße auf meinem PC zu verzeichnen.
    Vor dem gestrigen Patch war die ungefähre Dauer der Überprüfung ca. 13-15 Minuten, je nach Auslastung beim Surfen, heute waren es knapp 19 Minuten (auch nur Surfen)… viele I/O-Operationen geben da wohl den Ausschlag…

    Ich hoffe, es werden bald verbesserte Patches bereit gestellt.

    System: Win7 x64 SP1 – Dell Poweredge mit Xeon 1225v3 – 16GB – SSD

    Es ist schon bemerkenswert, dass die Leistungseinbußen bei Windows 7 und 8.1 deutlich größer sind als bei Windows 10…

    Bemerkenswert ist auch, dass unter Linux die Leistung bei gleicher Hardware und Patch auch kaum einbricht.

    • Cmd.Data sagt:

      Verbesserte Patches bei Windows 7 und 8.1?

      Wozu?

      Einfach auf Windows 10 wechseln.

      Die sind jetzt über-glücklich!

      Denn “Schuld” ist Intel.

      • Al CiD sagt:

        “Einfach auf Windows 10 wechseln.”

        … oder Linux ;-)

        Windows 10 / 8.1 / 7 brauche ich nur zu Supportzwecke… BIS ich meine Kunden auch auf Linux umstelle :-P

  8. Werbung

  9. Cmd.Data sagt:

    Mit Windows 8 und Windows 7 auf älteren Prozessoren/Chipsätzen (Systeme bis 2015 mit Haswell oder älteren CPUs) sieht es schlechter aus. Dort erwartet Microsoft, dass sich bei den meisten Anwendern eine Abnahme der Systemleistung bemerkbar macht.

    Jetzt knallen die Sektkorken bei Microsoft (alle wechseln auf Windows 10) und Intel (alle kaufen neue Hardware).

    Unglaublich.

    • nook sagt:

      Und genau deshalb wechsle ich erst recht nicht auf Win10 !

      Habe gestern auf der Arbeitsmaschine (W7x64-Lenovo T520-i5-2430-8gb-ssd) das KB4056897 installiert. Es gibt keine Games, Video rendering o.ä., nur Libre Office, Internet, Mails, PaintNet etc.
      Es ist kein drastischer Leistungseinbruch gewesen, eine Bremse stelle ich aber fest.

      Heute Mittag kurz das Image von gestern (vor KB4056897) wieder drauf.
      Top. So wird Win7 dann bei mir bis zur Rente in 2,5 Jahren laufen ;-)

      Dann gibt es Qubes, Tails oder was weiss ich was es dann geben wird …

  10. Tim sagt:

    Witziger finde ich, das es sich wohl doppelt auswirkt. Neben der CPU Leistung triffts scheinbar auch direkt SSD Nutzer… findet man so in Nebensätzen und da wos wichtig ist, bei den Spielern.

    gamestar.de-Artikel

  11. Rainer Gras sagt:

    Hallo zusammen,
    anbei ein Link zum Bundesamt für Sicherheit in der Informationstechnik.

    Der Artikel ist sofern interessant, weil hier aufgezeigt wird wie die Daten ausspioniert werden können.

    Gruß
    Rainer

    • Nobody sagt:

      Danke für den Link.
      Interessante Stelle für Privatuser auf dem Heim-Pc:
      “Das Risiko eines solchen Angriffs für Privatpersonen erscheint aufgrund des hohen Aufwandes niedrig, dennoch ist ein solcher Angriff möglich.”
      Weil diese offiziellen Statements mit aller Vorsicht formuliert werden müssen, würde ich das so interpretieren, dass die Wahrscheinlichkeit einer Attacke gegen Null geht.

  12. Rainer Gras sagt:

    Hallo zusammen,
    ich habe mit DiskMark mal einen Test gemacht.
    Windows 7 Pro x64 auf VMware Workstation 10.0.8

    Ich habe Screenshots angefertigt die unter folgendem Link abgerufen werden können:
    https://www.amazon.de/clouddrive/share/nQKcuIM4oDBoYwzlbL1GawLd5O99on7OQ0NhpuHeV4N

    Diskmark-Ohne heißt “ohne kb4056894”
    Diskmark-mit heißt “mit kb4056894”

    Gruß
    Rainer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.