Kleiner Überblick über Meltdown und Spectre (für Normalos)

Hier im Blog beschäftige ich mich ja seit Jahresanfang dediziert mit den Angriffen über Meltdown und Spectre auf moderne Computersysteme und Geräte. Reguläre Blog-Leser sind also informationstechnisch gut versorgt. Für die Leser/innen, die möglicherweise über Suchmaschinen auf den Blog stoßen und nicht so technik-nah sind: Ich habe drüben in meinem Blog für die Zielgruppe im Alter von 50+ einen Übersichtsbeitrag Wissen: Sicherheitslücken Meltdown und Spectre veröffentlicht, der einiges wissenswertes zusammen fasst.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Antworten zu Kleiner Überblick über Meltdown und Spectre (für Normalos)

  1. Nobody sagt:

    "(für Normalos)"
    Oh Gott, jetzt fällt es mir wie Schuppen aus den Haaren – ich bin schizophren.
    Einerseits bin ich oft hier unterwegs und gehöre somit zu den Durchgeknallten.
    Andererseits bin ich im Alter von 50+ und bin damit eher einer von den Normalos.
    Bloß gut, dass die Zeit für mich spielt und mit zunehmendem Alter demnach mit mehr Normalität zu rechnen ist. ?

    • StefanP sagt:

      Habe ähnliches gedacht.
      Ich gehöre als Ü50 Admin auch zu beiden Gruppen.
      Allerdings wird das mit dem "Wie Schuppen aus den Haaren…" zunehmend schwieriger ;-)

      • Günter Born sagt:

        Oh ha, mit der Zielgruppe 50+ ist es halt schwierig ;-). Wie oft ist mir das "Senioren" schon um die 'Augen gehauen' worden – gibt sogar Leser, die sind so eitel, die lesen drüben nicht mehr.

        Dass es Admins 50+ gibt, die nicht unbedingt zur Zielgruppe des Blogs Günnis Seniorentreff 50+ gehören (zumindest, soweit es IT-Themen betrifft), sollte schon klar sein. Und ich habe 80+ jährige Leser meiner Bücher, die mir die Ohren in Leserbriefen und Mails lang ziehen, weil ich nicht tief genug einsteige.

        Andererseits gibt es genügend Leute, die nix mit dem Zeugs am Hut haben und einfach ein wenig leichtgängige Infos im Nachrichtendickischt suchen.

        Niemand von uns dürfte einem Herzchirugen seinen Job erklären und es wäre möglicherweise vermessen, von dem anzunehmen, dass er sich mit dem letzten Patchstand seines Rechners auskennt. Gleiches gilt für die Krankenschwester, deinen Heizungsbauer oder was weiß ich.

        Also: Nix Haare raufen – einfach so nehmen, wie es gemeint ist ;-).

        • StefanP sagt:

          Siehe
          ;-)
          im vorangegangenen Beitrag.

          Um es mit einem Filmzitat aus "Field of Dreams" zu sagen:
          "Ich bin Dir nicht böse"

        • Rainer Gras sagt:

          Hallo Herr Born,
          ich habe ca. 1994 mit einem DR-DOS 5 angefangen und mich Mitte 2011 aus der IT verabschiedet.
          Mein letztes großes Projekt war die Migration eines Unternehmens mit 6500 Postfächern von Exchange 2003 auf einen Exchange 2007 Cluster zusammen mit Herrn Ulrich Boddenberg.
          Ich war damals einer der ersten Deutschlandweit die sich bei Microsoft ein NT 3.5 zum Schnupper-Preis bestellt haben, ich meine es waren damals 198,00 DM. In meinem Besitz befinden sich noch zwei absolute CD-Raritäten, nämlich Word und Excel 32 Bit. Diese wurden damals extra für Windows NT 3.5 programmiert. Für mich ist übrigens immer noch Windows NT 3.51 mir SP5 das Beste Betriebssystem was es je gegeben hat.

          Ich bin immer noch VMware Junkie und beobachte nur noch den Markt. Und mit der Einführung von Windows 10 wurde mein Schritt mich aus der IT zu verabschieden nur noch bestätigt.

          Das heißt aber nicht, nur weil ich über 20 Jahr in der IT war, dass ich einen Blog oder Beitrag für angebliche "Normalos" nicht mehr lesen würde. Wenn Sie die Sache nüchtern betrachten, ist der Informationsgehalt bei Computerbild heute höher als der bei Heise.
          Entscheidend sind doch die Information, egal wo sie stehen, sowie der Umgang; und gerade der Umgang hier in diesem Blog empfinde ich als sehr Familiär.

          Was mir nur gestört hat war, wie das Intel Problem kommuniziert wurde und immer noch wird. Vielleicht ist das auch einfach ein Generationsproblem und ich mit 56 sehe das einfach anders. :-)

          Gruß
          Rainer

  2. Dekre sagt:

    Bin auch zur Gruppe Normalos zuzurechnen. Ich habe bewusst nicht alles gelesen, was auf diversen Seiten und in den Medien da so gekommen ist. Da kann man schnell meschugge werden und das ist ja auch ein Fressen für Nepper/Schlepper/Bauernfänger um erneut Trojaner etc. zu verteilen.
    Danke für die Links mit den Tests und auch diese Zusammenfassung.
    Meine zusammenfassung kurz:
    # Der Browsertest geht auch bei Google und dort ist es wohl auch gepacht, so jedenfalls mein Test gerade. IE11 und Firefox sicher.
    # bei heise.de steht, dass Intel nur die letzten drei Jahre patchen will.
    # Intel hat diese Seite mit den PC-Herstellern, dort sein Hersteller suchen und die Seite anklicken (bestimmt schon bekannt):
    https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html
    # Bei HP gibt es diese Seite mit den Bios-Updates und wann diese kommen sollen:
    https://support.hp.com/de-de/document/c05869091
    Das mit den drei Jahren scheint wohl fast zu stimmen, denn mein HP Elitebook 8560w ist da nicht mehr aufgeführt. Aber mein anderer HP Compaq 8300 CMT wird Ende Januar 2018 versorgt, so die Aufstellung. Es geht wohl darum, wann die Prozessoren zum letzten Mal in PCs verkauft wurden?

    Dann warten wir auf die nächste Entdeckung.

    • Frank Renz sagt:

      Hallo Dekre,

      jetzt frag ich Dich einfach nochmal direkt. Habe auch den HP Elitebook 8560W. Nun kam ja vor wenigen Tagen ein außerordentliches Patch bei mir an, welches die Sicherheitslücke vom Meltdown und Spectre patchen sollte, wurde ja viel über den Performanceverlust diskutiert. Das Update über Windows-Update habe ich für den HP8560W auch erhalten. Betrifft das jetzt nur den Browser, kann doch aber fast nicht sein, weil ich wirklich das Gefühl habe, der Rechner hat Performance verloren. Bei einem Fix für den Browser wäre das doch nicht der Fall. Die Info von Dir bedeutet ja, das HP8560W bleibt ungepatcht. Vielleicht kannst mir nochmal kurz antworten darauf? Danke für ein Feedback :)!

      • Bolko sagt:

        Der Windows-Patch ist nur gegen Meltdown, aber nicht gegen Spectre.
        Gegen Spectre muss jedes Programm einzeln angepasst werden, also auch jeder Browser.
        Das allerdings verursacht höheren RAM-Verbrauch, weil der Browser-Schutz "strict site isolation" eben keine Daten mehr mit anderen TABs teilen lässt, sondern jeder TAB muss sämtliche Daten selber haben, selbst dann, wenn sie in anderen TABs bereits ebenfalls vorhanden sind.

        Man braucht also :
        – Windows-Patch (den es noch gar nicht in funktionierender Form gibt, siehe das aktuelle AMD K8- / K9- Problem).
        Nachteil: CPU und SSD werden langsamer.

        – Microcode-Update, den es für ältere CPUs nicht gibt
        Nachteil: CPU wird nochmal langsamer.

        – Anwendungs-Patch, den es bisher nur für Chrome und Firefox ansatzweise gibt.
        Nachteil: RAM-Verbrauch steigt.

        • Frank Renz sagt:

          Hallo Bolko,

          irgendwie ging dahin mein Intuition! Naja, mein HP8560w hat ja wie der von Dekre schon ein paar Jahre, obwohl ein super Notebook, bisher ohne Macken und Defekte. Bedeutet aber trotzdem, bald wird man sich mal nach was Neuem umschauen müssen!

        • ralf sagt:

          Bolko: "Der Windows-Patch ist nur gegen Meltdown, aber nicht gegen Spectre."

          der spectre teil ist nicht ganz richtig dargestellt, denn spectre besteht laut microsoft aus 2 ausnutzbaren verwundbarkeiten.

          * spectre variante 1 ("bounds check bypass") soll per januar-update bereits "gemindert" worden sein (aenderung: wechsel des compilers und haertung der microsoft browser).

          * spectre variante 2 ("branch target injection") wurde durch das januar-update auch adressiert (aenderung: aufruf neuer cpu-befehle um die spekulative ausfuehrung bei verzweigendem code in "riskanten situationen" zu verhindern), die minderungswirkung steht aber noch aus solange nicht zusaetzlich noch ein microcode-update eingespielt worden ist. dieses ist bei den meisten usern noch nicht angekommen, weil es auf den supportseiten ihrer geraete (noch) nicht angeboten wird. der ausblick hier ist nicht rosig: vor allem bei altgeraeten ist es fragwuerdig, ob dem user das microcode-update jemals angeboten werden wird; viele user werden die supportseiten zudem aus unwissenheit oder desinteresse niemals aufrufen; andere user (z.b. hardcore-spieler) rufen zwar die supportseiten regelmaessig auf, werden aber gerade dieses update aus angst vor performanceverlusten nicht aufspielen wollen.

          quelle – tabelle auf:
          https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

      • Dekre sagt:

        Hallo Frank Renz,
        bei mir ist für HP Elitebook 8560w Workstation nichts angekommen. habe auch alle Quellen überprüft, also Softpaq-Download-Manager, den Support Assistant und die Produktseite für das Gerät.
        Der Test weist bei Spectre "rot" aus, also nicht sicher. Das andere ist "grün". Warte mal ab. Vielleicht kommt da noch was. Das andere soll ja von HP erst Ende Jan 2018 kommen.
        Bei den neuen HP ProDesk 400 G4 MT (Win10) habe ich gerade das neue BIOS-Update vom 09.01.2018 eingespielt, sh. mein Kommentar hierzu, da ist alles beides jetzt "grün" also sicher.
        Richtig ist, bei Spectre – BIOS-Update notwendig.

        • Dekre sagt:

          Ergänzung – HP will den 8760w mit BIOS versorgen. Ich denke, dass dann vielleicht auch 8560w versorgt wird, denn der Unterscheid zwischen den beiden Modellen ist die Bildschrimgröße.

        • Bolko sagt:

          Interessant wäre der Geschwindigkeitsverlust durch die Microcode-Updates im BIOS.
          Benchmark vorher / nachher.

    • Dekre sagt:

      Habe gerade festgestellt, dass die HP-Seite wohl nicht so stimmt. Bei HP Prodesk 400 G4 MT wird auf ein Patch verwiesen vom 02.12.2017. Das ist wohl ein Witz. Der Link zu SP84281 geht auch nicht bei mir. Ich habe einen nagelneuen. Auf der Supportseite vom Produkt werden 2 mit Datum vom 09.01.2018 zwei neuere BIOS angeboten Das eine ist für Intel-Prozessor Typ P03 Familie und der andere für P05 Familie (jeweils 6. und 7 Gen.). Da muss man schon aufpassen, jew. andere SP-Nummern

  3. Facelwega sagt:

    Als OldMan komme ich mit einem für mich noch ungelösten Problem.

    IE 11 ist mit KB 4056568 am 03.01.18 aktualisiert worden. Im Update-Katalog ist aber bereits KB 4056897 vom 04.01.18 zu finden. Automatisch "upgedatet" wurde die Letzgenannte Aktualisierung nicht.

    Empfiehlt es sich, den Download um Update-Katalog zu nehmen? Wäre "Zuwarten" empfehlenswert?

    Dankbar bin ich, wenn ich von Euch eine Assistenz erhalte.

    Facelwega

  4. Facelwega sagt:

    Ich habe HP Probook 6570b. Ich bin überfordert, Dir eine kompetente Antwort zu geben. Einfach gesagt: CPU-Checker habe ich vorgenommen mit dem gleichen Resultat wie bei Günter Born.

    Können wir ohne Messgeräte tatsächlich feststellen, dass unsere Rechner Performance verloren haben? Ich sehe doch gar nicht die effektive Ursache eines verlängerten Ablaufes. Liege ich mit dieser Annahme grob richtig oder präzise falsch?

  5. Mike sagt:

    So langsam blicke ich auch nicht mehr durch, es gibt Patches für Browser und Windows sowie BIOS-Updates.

    Im Support-Forum von AVG schreibt AVG-Mitarbeiter Alok Kumar:
    "AVG 2017 is compatible with the Windows patch and we protect against the malware".
    https://support.avg.com/answers?id=9060N000000TrmmQAC

    Würde das reichen als Schutz und man kann die ganzen Updates für Windows und BIOS vergessen ?

    • Günter Born sagt:

      Nein, imho reicht ein AV-Programm nicht. Die Sicherheitsanbieter geben nur an, ob ein Produkt mit den Kernel-Änderungen von Windows kompatibel ist, so dass Patches von Microsoft eingespielt werden.

      Die Angriffsmethoden sind aber so gestrickt, dass sie keine Spuren auf dem System hinterlassen und nicht von Virenscannern erkannt werden können. Nur wenn ein Schadprogramm bekannt und in den Signaturlisten aufgeführt ist, könnte ein AV-Programm dieses blocken.

      Ansatz für 'Dummies': Die Updates vom Betriebssystemhersteller, die angeboten werden, installieren. Browser updaten. und falls ein BIOS-Update vom Hersteller bereitsgestellt wird, auch installieren. Mehr kann man eh nicht machen.

      • Mike sagt:

        Wäre auch zu schön gewesen wenn das so einfach zu lösen wäre.

        Wenn ich als Normalo diese Aussage eines Mitarbeiters von AVG lese ist meine Schlussfolgerung "AVG schützt meinen Computer vor Meltdown und Spectre".

        Zumindest bekannte Schadprogramme sollten dann schon vom Antivirusprogramm blockiert werden.

        • Bolko sagt:

          Antivirus-Programme machen den Computer sogar unsicherer, weil der Programmcode selber Sicherheitslücken hat und wenn ein Angreifer diese Lücken im AV ausnutzt, dann ist er direkt ohne Umweg auf der Kernel-Ebene und darf dann alles.
          Sämtliche Schutzmaßnahmen des Betriebssystems werden dadurch umgangen und existieren praktisch nicht mehr. Also besser auf Echtzeit-Antivirus verzichten.

  6. Mike sagt:

    Aktuelle Informationen zu BIOS-Updates der Mainboardhersteller gibts hier:

    http://www.pcgameshardware.de/Mainboard-Hardware-154107/News/Spectre-BIOS-Updates-1247555/

  7. Frank sagt:

    In vergleichbarer Weise wurde schon 2005 der Cache ausgespäht. Das zur Messung nötige Hyperthreading konnte man aber einfach abschalten.

  8. Dekre sagt:

    Für alle mit HP-Geräten:
    HP hat die o.g. Seite überarbeitet und diesmal wohl ist diese "aktuell", jedenfalls mit Stand per 12.01.2018. Hier der Link:
    https://support.hp.com/de-de/document/c05869091

    Da scheint das was gestern nicht ging zu funktionieren.

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.