Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust

SicherheitNoch eine kleine Meldung im Wirrwarr um die Sicherheitsupdates zum Härten gegen Meltdown/Spectre-Angriffe. Google hat seine Cloud-Server gepatcht, ohne dass es zu Leistungsverlusten kam.


Anzeige

Über das Thema Leistungseinbußen durch Sicherheitsupdates zum Härten gegen Meltdown/Spectre-Angriffe habe ich im Blog ja mehrfach berichtet (siehe Linkliste am Beitragsende). Bereits am Freitag hatte Google diesen ganz lesenswerten Beitrag (Englisch) zum Thema Meltdown/Spectre veröffentlicht, und Fragen beantwortet. Nun hat Google den nächsten Blog-Beitrag Protecting our Google Cloud customers from new vulnerabilities without impacting performance veröffentlicht, der auf die Frage eingeht, wie Google Cloud-Produkte geschützt wurden, und wie sich das Ganze auf die Leistung auswirkt.

Zur Einordnung

Seit Sommer 2017 ist Insidern bekannt, dass sich Prozessoren mit den Meltdown und Spectre benannten Angriffsmethoden manipulieren lassen (wir diskutieren das erst seit dem Jahreswechsel 2017/2018 öffentlich). Es geht um folgendes:

  • Spectre (CVE-2017-5753, CVE-2017-5715) – Variante 1 und 2: Diese beiden Varianten unterlaufen die Isolation zwischen verschiedenen Anwendungen. Angreifer können dadurch aus Programmen den Speicher anderer Tasks auslesen und so an sensitive Informationen (Zugangsdaten etc.) herankommen. Der Angriff ist so gut wie auf allen CPUs von Intel, AMD, ARM möglich.
  • Meltdown (CVE-2017-5754) Variante 3: Diese Angriffsmethode scheint nur auf Intel CPUs/Chipsätzen zu funktionieren und verwendet einen spekulativen Seitenangriff. Damit durchbricht der Angriff die Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Daten anderer Programme und des Betriebssystems zuzugreifen.

Über die Links lassen sich die betreffenden PDF-Dokumente abrufen. Einige Informationen finden sich auch unter meltdownattack.com.

Meltdown/Spectre
(Creative Commons Lizenz)

Diese Informationen hatte ich ja in verschiedenen Blog-Beiträgen bereits gegeben, und Google führt dies in ihrem Blog-Beitrag ebenfalls aus. Die Referenz ist notwendig, da sich Google im Blog-Post auf diese Informationen bezieht.

Arbeiten seit September 2017

Nachdem die Sicherheitslücken im Sommer 2017 bekannt wurden, startete Google im  September mit der Auslieferung von Patches gegen Meltdown (Variante 3) und Spectre (Variante 1) für die gesamte Infrastruktur der Google Cloud Platform (Gmail, Search und Drive). Im Oktober wurden dann verbesserte Lösungen nachgeschoben.

Keine wirklichen Leistungseinbußen

Dank umfangreicher Performance-Tuning-Arbeiten verursachten diese Schutzmaßnahmen keine spürbaren Auswirkungen auf die Google Cloud Platform (GCP). Es gab auch keine Ausfallzeiten für Nutzer, was zum Teil auf die Live-Migrationstechnologie der Google Cloud Platform zurückzuführen ist. Kein Google Cloud Platform-Kunde und auch kein internes Google-Team hat einen Leistungsabfall gemeldet.

Auswirkungen der Patches


Werbung

Während die ausgerollten Lösungen die Varianten 1 (Spectre) und 3 (Meltdown) betrafen, war von Anfang an klar, dass die Variante Spectre 2 viel schwieriger abzuschwächen sein würde.

Mehrere Monate lang schien es, dass die Deaktivierung der anfälligen CPU-Funktionen die einzige Möglichkeit wäre, alle Google Workloads vor Spectre 2 zu schützen. Das würde aber die Leistung erheblich reduzieren, was die Anwendungen erheblich verlangsamt.

Bei der Analyse kam Google zur Ansicht, dass nicht nicht nur erhebliche Verlangsamungen bei vielen Anwendungen auftreten würden. Sondern es tritt auch eine inkonsistente Performance auf, da die Geschwindigkeit einer Anwendung durch das Verhalten anderer Anwendungen, die auf demselben Kern laufen, beeinflusst werden kann. Die Einführung dieser Maßnahmen hätte sich negativ auf viele Kunden ausgewirkt.

Moonshot: Mit Retpoline gegen Spectre 2

Ich hatte im Blog ja bereits kurz Googles Technik Retpoline erwähnt, mit der sich die Meltdown- und Spectre-Angriffe aushebeln lassen. Angesichts der im vorherigen Abschnitt angesprochenen Probleme, begannen die Google Teams nach dem ‘Ei des Columbus’ (Moonshot) zu suchen – einer Möglichkeit, Spectre 2 ohne Hardware-Unterstützung abzuschwächen.

Die Lösung kam schließlich in Form von “Retpoline”, einer neuartigen Software-Binärmodifikationstechnik, die branch-target-injection verhindert. Diese wurde von Paul Turner, einem Software-Ingenieur, der zu Googles Gruppe Technische Infrastruktur gehört, entwickelt.

Mit Retpoline müssen die spekulative Ausführung von Daten in der CPU oder andere Hardware-Features des Chipsatzes nicht deaktiviert werden. Stattdessen modifiziert diese Retpoline-Lösung den Programmcode, um sicherzustellen, dass die Ausführung nicht durch einen Angreifer beeinflusst werden kann.

Retpoline, genialer Ansatz

Retpoline ermöglichte Google die Infrastruktur durch Neucompilierung der Software zu schützen, ohne Änderungen am Quellcode vornehmen zu müssen. Darüber hinaus zeigte der Test dieser Funktion, insbesondere in Kombination mit Optimierungen wie z.B. Software Branch Prediction, dass dieser Schutz nahezu ohne Performanceverlust auskommt.

An dieser Stelle eine Anmerkung. Für Google lag diese Lösung (nachdem die Theorie bekannt war) auf der Hand. Denn für die Dienste der Google Cloud Platform verfügt Google ja über den Quellcode – schätze ich jedenfalls. Und noch etwas: Die Implementierung des Ganzen muss nur im Codegenerator-Teil des Compilers erfolgen. Der Teil, der im ersten Pass Syntax-Analysen etc. vornimmt, muss nicht einmal angefasst werden. Ich weiß nicht, welche Compiler Google intern einsetzt. Kann daher auch nichts dazu sagen, wie aufwändig die Implementierung letztendlich war. Aber es ist zu vermuten, dass nur einzelne Routinen der Code-Generierung angefasst werden mussten. Sonst hätte man das Ganze nicht so zügig implementieren können.

Die Google-Leute haben sofort damit begonnen, diese Lösung in der gesamten Infrastruktur einzusetzen. Zusätzlich zur Weitergabe der Technik an Industriepartner (bereits während der Entwicklung) hat Google diese Compiler-Implementierung als Open Source für alle Anwender offengelegt.

Google Cloud Platform ab Dezember 2017 geschützt

Bis Dezember 2017 hatten die Google-Leute alle Google Cloud Platform (GCP)-Dienste gegen alle drei bekannten Angriffsvarianten geschützt. Während des gesamten Update-Prozesses galt: Google hat keine Support-Tickets bezüglich der Auswirkungen der Updates erhalten. Dies bestätigte die interne Google-Einschätzung, dass die eingesetzten, leistungsoptimierten Updates in der Praxis keinen wesentlichen Einfluss auf die Auslastung haben.

Abschließende Überlegungen

Die Google Entwickler glauben, dass der Retpoline-basierter Schutz die leistungsstärkste Lösung für die Spectre-Variante 2 auf aktueller Hardware ist. Retpoline schützt vollständig vor Variante 2, ohne die Performance der Kunden auf allen unseren Plattformen zu beeinträchtigen. Indem Google seine Forschungsergebnisse öffentlich zugänglich macht, hoffen das Unternehmen, dass diese universell eingesetzt werden können, um Cloud-Dienste branchenweit zu verbessern.

Diese Reihe von Schwachstellen war, laut Google, vielleicht die schwierigste und am schwierigsten zu behebende in einem Jahrzehnt. Sie erforderte bei Google Änderungen an vielen Schichten des Software-Stacks. Es erforderte auch eine breite Zusammenarbeit der Industrie, da das Ausmaß der Schwachstellen so weit verbreitet war. Aufgrund der extremen Umstände mit weitreichenden Auswirkungen und der Komplexität, die mit der Entwicklung von Korrekturen verbunden sind, war die Antwort auf dieses Problem eine der wenigen Ausnahmen, die Project Zero von seiner 90-Tage-Policy gemacht hat (die Informationen wurden nämlich für ca. 6 Monate vor der Öffentlichkeit unter Verschluss gehalten).

An dieser Stelle schießen mir sofort ein paar Gedanken durch den Kopf. Unter Linux ist es möglicherweise realistisch, den Quellcode für den Kernel sowie die weitere, per Distribution mitgelieferte Software neu zu übersetzen und Compiler zu verwenden, die Retpoline unterstützen.

Und noch ein Gedanke: Könnte Microsoft diese Retpoline-Technologie nicht in den Just in Time (JIT) Compiler der Common Language Runtime (CLR) von .NET integrieren? Dann wären auf einen Schlag alle .NET Framework basierenden Anwendungen, die ja managed Code verwenden, geschützt. Und das, ohne dass die Entwickler der Programme diese anfassen und die Anwender neue Versionen beziehen müssten. Ein Update des .NET Framework würde genügen. Aber möglicherweise liege ich hier falsch.

Das wirft für mich natürlich einige Fragen auf, speziell, wenn ich sehe, wie der Rest des Universums mit Updates herum stoppelt. Sind die bei Apple, Microsoft, Intel, Oracle etc. alles Stümper? (via)

Hach, da war es wieder – ein Schnipselchen Flash-Back in meine Anfangsjahre, wo ich schon mal in den Quellcode von solchen Teilen reingeschnuppert habe, um Tools wie Disassembler zu schreiben. Und mehrere Semester Informatikvorlesungen an der Fernuni Hagen waren scheinbar nicht ganz umsonst – zumindest habe ich ein Gefühl dafür, was die Jungs und Mädels bei Google gemacht haben – wenn das Zeugs auch über 30 Jahre her ist und ich damals an der Theoretischen Informatik mit Turing-Beweis oder Gödel-Automaten verzweifelt bin und mich gefragt habe, ‘wozu brauchst Du diesen Mist?’. Drei Jahrzehnte später ist das alles in den Details zwar vergessen – und es stellt eine Herausforderung dar, die Codeausführungen der Gurus zu verstehen (und oft bleibt mir der Sinn verschlossen, da es seit 25 Jahren nicht mehr meine Baustelle ist). Aber ich kann als nutzloser Blogger immer noch von diesen Erfahrungen aus den Achziger Jahren profitieren Zwinkerndes Smiley.

Ähnliche Artikel
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 1
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 2
Intel Fixes gegen Meltdown und Spectre wegen Bugs gestoppt
Windows Updates (KB4056892, KB4056894 etc.) für AMD temporär zurückgezogen
AMD-GAU & AV-Ärger: Neues zu Windows-Sicherheitsupdates


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Kommentare zu Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust

  1. Al CiD sagt:

    Tja, als “nutzloser Blogger” tragen Sie aber doch erheblich dazu bei, diese ganzen “Verwirrungen” halbwegs zu ertragen und zu durchleuchten…
    …Ein großes Danke dafür!

  2. Uwe Albrecht sagt:

    Sehr geschätzter Günter Born,

    wenn ich sehe, wie Ihre ebenfalls hochgeschätzten Kollegen bei Deskmodder oder Dr. Windows trotz hochbegabter IT-Experten jede „Werbe“sau durchs Dorf jagen, damit auch jede Farb- oder Schriftveränderung im neuen hochgejubelten Windows 10 – Hochsicherheitstrakt marketingmässig ausgeschlachtet wird, kann ich über Ihre Selbstkritik nur schmunzeln.

    Ihre Weitsicht fängt schon mit der Benennung des Blogs an. Es ist eben ein IT und kein reiner Windowsblog und mit diesem Konzept hat selbst Caschys Blog sichtbar mehr Erfolg, als reine Windowshelferlein, die dieser Tage eher selbst alle hilflos wirken.

    Statt vermeintlich neuer Features (die sowieso kaum einer mehr haben will oder die von der Idee bis zur amateurhaften Umsetzung fast nur noch Nutzerfrust erzeugen) kommen immer mehr Sicherheitsprobleme im verschlossenen MS-Hochsicherheitstrakt zum Vorschein und die tausendste Verbesserung des Winzigklein-Betriebssystems oder der Office-Komponenten bringt auch nicht mehr Durchbruch im Kundenvertrauen, so dass Microsofts dezimierte Ingenieursgilde kapituliert und den Marketingleuten die Einstellung von angeblich veralteten und überholten Komponenten überlässt. Alles in die Cloud und Schluss mit Anders- und Sicherheitsdenkenden?

    Alle genannten Seiten sind mal gestartet, um den durchschnittlichen Windowsanwender am Desktop zu helfen und gute Empfehlungen zu geben. Heute ist daraus ein Wettbewerb mit Heise, Golem & Co geworden von dem Sie sich wohlwollend abheben. Lieber mal ein paar Meldungen weniger, dafür ausführlich und verständlich auf aktuelle Sicherheitsprobleme eingehen.

    Zur Ehrenrettung möchte ich aber auch Martin Geuß für diesen Beitrag danken:

    https://www.drwindows.de/news/microsofts-lokalisierungs-katastrophe-es-wird-zeit-fuer-eine-kunden-revolte

    Er zeigt, dass selbst der treueste Fan und die größte deutsche Marketingmaschine nicht mehr hilft, wenn man bei Microsoft zu sehr an den Kunden vorbei arbeitet. Anders als er sehe ich das aber nicht nur bei der Lokalisierung, sondern beim ganzen Betriebssystem und im Officebereich. Nein ich bin nicht viel zu früh auf einen angebissenen Apfel oder eine Linux-Freakshow hereingefallen, sondern wurde erst vor wenigen Jahren mit Windows 10 und Office 365 dahingetrieben. Die leeren Worthülsen von Winzigklein ersetzen nicht den Ingenieur, der quelloffen die Welt mobiler und sicherer machen will. Alles in den Händen von Google ist aber auch nicht angenehmer, deshalb täte es allen Blogs gut, sich für alle Betriebssysteme und Officeanwendungen in iOS, Linux, Windows, Android… zu öffnen. Die etablierten Werbeeinnahmen mögen da sicherlich manchmal hinderlich sein.

    Hier dürfen wir sicher sein, dass die Produktwerbung nicht im Vordergrund der Berichterstattung steht. Hier dominiert die Problembeschreibung, der Lösungshinweis und der kleine Blick über den Windowsdesktop hinaus.

    Danke

    • Günter Born sagt:

      Danke für die Blumen, muss jetzt vor Scham hinter den Schrank. Aber auch die Kollegen von Dr. Windows und deskmodder machen ihren Job und bedienen ihre Klientel. Wir stehen hinter den Kulissen lose ich Kontakt und ich verweise auch auf deren Beiträge, wo sinnvoll. Ich denke, jede dieser Seiten (sowie deren Foren) haben ihre Berechtigung.

      Und der Beitrag von Martin zur Lokalisierung hat mich schon erstaunt – gibt ja einen Kommentar von mir dazu. Ich kenne das Thema Lokalisierung (habe ja lange für MS Press Deutschland und USA geschrieben und war an der einen oder anderen Wortschöpfung beteiligt – im US Windows 98 Ressource Kit von Microsoft war das Registry-Thema sogar aus meiner Feder) und habe meine Erfahrungen als Communitymoderator (unbezahlt) bei Microsoft Answers gemacht (und erleben müssen, wie gute Dienstleister als Forenmoderatoren, die sind bezahlt, wegen ‘geht doch billiger, wenn wir Leute aus dieser oder jener Region oder jenem Land nehmen’ geschasst wurden).

      Für mich persönlich gilt: Ich bin froh, mit dem Blog meinen Stiefel fahren zu können, ohne mich verbiegen zu müssen. Vielmehr habe ich oft meinen Spaß dabei, die Beiträge aufzubereiten. Engpass ist halt die Zeit, die mir verbleibt. Eigentlich müsste ich einige Ideen, die ich so (auch in Richtung Linux) habe, testen und als Beiträge publizieren. Aber so was kostet oft eine halben oder ganzen Tag, und dann wird der Beitrag nur 200 Mal gelesen.

      Aus diesem Grund habe ich meine Schreibe zu Programmierthemen vor vielen Jahren eingestellt (viel Arbeit, viel Ehr, aber kein Geld zu verdienen).

      Ergo wird meine Ideen-Halde (musst Du unbedingt mal thematisieren) immer größer. Aber noch plane ich ja den Blogger-Griffel nicht an die Wand zu nageln ;-).

      • Musician sagt:

        Sehe ich schon etwas anders. Die meisten Blogger und (News)Portale sind schon ziemlich mies. Einer schreibt einfach nur vom anderen ab, oder postet einfach mal die Pressemeldungen 1:1. Ohne jegliche Eigenleistung, weil man davon träumt, auch etwas vom großen Kuchen der Werbeeinnahmen abzubekommen, oder gar Soft- und Hardware abstauben zu können. Ich meine die, die sich für nichts zu schade sind, um auch mit den dämlichsten und maximal reißerischen Headlines jedes Clickbait-Potential auszureizen und sich auch nicht zu schade sind, eine fragwürdige/grenzwertige Leserschaft zu bedienen, um deren Clicks zu sichern. Das sind auch genau diejenigen dann, die sich am lautesten wegen der bösen Adblocker beschweren. Und diese Umschreibung trifft inzwischen auf weit über 90% der (News)Portale und Blogs zu. Der Inhalt dieser ist derartig schlecht, unreflektiert, ungeprüft, bestenfalls angereichert mit Halbwahrheiten und Gerüchten, Autostart-Videos die sofort laut losplärren. Eben auf BI*D Niveau.

        Am schlimmsten sind ehemalige Presse-Urgesteine wie z.B. Chip, PC-Welt und PC-Magazin. Deren Inhalte sind inzwischen einfach nur noch unterirdisch schlecht. So RICHTIG schlecht.

        Dr. Windows, DeskModder und WinFuture sind eigentlich identisch. Nahezu gleiche Inhalte (mal abgesehen davon, das Dr. Windows mit gefühlt 10 Beiträgen pro Tag über Apps aus dem Store noch extra nervt) und so ziemlich egal, was Microsoft treibt, alles wird hochgejubelt, jegliche Kritik an Microsoft kategorisch niedergemacht und -gevotet, es sei denn, sie kommt vom Betreiber selber.

        Speziell Dr. Windows: Sicherlich war der Beitrag von Martin über das Thema Lokalisierung ein Schritt in die richtige Richtung. Er realisiert allerdings nicht einmal ansatzweise, das all das, was er dort über das Thema Lokalisierung geschrieben hat, prinzipiell auf Microsoft und das Thema Windows 10 ingesamt zutrifft. Spätestens seit Nadella. Dort sinnvolle Informationen und interessante Diskussionen ohne Anbetungscharakter zu finden, gleicht einer Suche nach der berühmten Nadel im Heuhaufen. Eben alleine auch schon, weil dort gefühlt jeder 2. Beitrag irgendwelche Store Apps behandelt, der Rest normalerweise alles hochjubelt, was Microsoft macht.

        Wenn Microsoft morgen eine Windows kompatible Bohnensuppe auf den Markt bringen würde, würde noch am selben Tag auf Dr. Windows ein Artikel darüber erscheinen, wie gut sie doch schmeckt, wie toll sie sich doch in Windows integriert und wie wohlriechend die Microsoft-Dämpfe doch sind, von denen jeder einzelne natürlich von Microsoft telemetriert wird, um das Nutzer-Bohnen-Erlebnis noch mehr zu verbessern (natürlich inkl. einer Store App, über die wieder ein weiterer extra Artikel dort kommen wird) und Martin würde sich höchstens darüber beschweren, wenn die Beschriftung auf der Dose nicht korrekt lokalisiert ist.

        Und sobald DeskModder und WinFuture die Artikel sehen, werden dort dann nahezu identische Artikel erscheinen, nur halt diese oder jene Stelle geringfügig umformuliert.

        Chip, PC-Welt, Focus/Huffington Post und 99% der Blogger veröffentlichen fast zeitgleich Artikel mit der Überschrift “Wie schmeckt die Bohnensuppe von Microsoft?” und dem Inhalt “Microsoft hat eine Bohnensuppe auf den Markt gebracht” und darunter einfach nur die Pressemitteilung von Microsoft. Wenn überhaupt.

        Golem & Heise veröffentlichen sofort auch Artikel zu der Microsoft Bohnensuppe, über 6 Seiten und in den darauf folgenden Tagen je einen weiteren Artikel mit den neuesten Gerüchten und Spekulationen. Natürlich auch noch weitere Artikel aus der Sicht von Linux und Apple und der Frage, ob es bald auch eine Arduino-Bohnensuppe geben wird. Daraufhin werden dann alle anderen einen Artikel über Bohnensuppe unter Linux, Apple und Arduino mit dem Verweis auf Golem und Heise veröffentlichen.

        Und weil ich diesen Beitrag geschrieben habe, so oft “Microsoft” und “Bohnensuppe” darin erwähnt habe, wird nun Bohnensuppe in Verbindung mit Microsoft ein Top-Suchergebnis bei Google & Bing sein. Microsoft wird dies als Marktlücke erkennen, eine Bohnensuppen-Fabrik aufkaufen und Bohnensuppe verkaufen (Natürlich nur echt und kompatibel mit dem Original Microsoft Logo) und all das, was ich geschrieben habe, wird wirklich passieren.

        Kurz: Ich bin froh, das es Dich und “Born City” gibt, Günter.

        Danke!

        • Günter Born sagt:

          Zumindest für deskmodder.de kenne ich ein paar Hintergründe. Denen lässt sich wirklich nicht vorwerfen, primär an Werbeeinnahmen interessiert zu sein. Und sie haben eine aktive Community.

          Zum Rest: Jedes Medium muss irgendwie seine Leute finanzieren. Und mal ganz trocken auf den Punkt gebracht: Ich sehe es an den Abrufzahlen hier im Blog. Ich kann mich mit Beiträgen zu Orchideen-Themen, lange und aufwändig recherchiert, komplett erden. Die bekommen dann so 100 bis 200 Abrufe. Ein kurzer Beitrag zu einem Bug in Windows hingerotzt, ist binnen Stunden mit 1.000 Abrufen dabei. Also versuchen letztlich alle eine gute Mischung hin zu bekommen, die die Leserschaft interessiert. Kann man gerne kritisieren, aber die Abstimmung erfolgt mit den Füßen. Die von dir genannten Sites haben die Leserschaft, die Blogs bei weitem nie erreichen. Ergo: Verhungern mit Ruhm und Ehre, oder irgendwie überleben und seine Klientel bedienen – das sind die beiden Optionen.

        • ralf sagt:

          Musician: “Wenn Microsoft morgen eine Windows kompatible Bohnensuppe auf den Markt bringen würde, würde noch am selben Tag… Und sobald DeskModder und WinFuture die Artikel sehen, werden dort dann nahezu identische Artikel erscheinen”

          “bohnensuppe” klingt in diesem kontext natuerlich ein bisschen despektierlich. wenn die leute “bohnensuppe” moegen, geht das – geschmacksfrage – erst mal voellig in ordnung, denn niemand wird dabei genoetigt, die “suppe” auch auszuloeffeln. das aergernis faengt fuer mich erst dann an, wenn vor lauter “suppe” das hauptgericht nicht mehr aufzufinden ist oder aber mit unappetitlichen beilagen (clickbait-ueberschrift und dramatisierende aufbauschung) garniert wird. hier verlassse ich dann das lokal – man muss auch vorbeigehen koennen.

          Musician: “Chip, PC-Welt, Focus/Huffington Post… veröffentlichen fast zeitgleich Artikel mit der Überschrift ‘Wie schmeckt die Bohnensuppe von Microsoft?'”

          kein wunder, bis auf pc-welt alle unter dem einfluss von hubert burda (clickbait-)media. die chip-headline wuerde gewiss am deftigsten ausfallen – etwa: “microsoft bestätigt geheime vorspeise: millionen nutzer betroffen”. focus wuerde vielleicht so titeln: “bohnensuppe von microsoft – das muessen sie wissen”, und huffington post: “7 gruende, warum genau jetzt der richtige moment fuer dich ist, um mit bohnensuppe anzufangen”, und schliesslich pc-welt: “so reizen sie bohnensuppe voll aus” ;-)

          Musician: “Golem & Heise veröffentlichen sofort auch Artikel zu der Microsoft Bohnensuppe”

          rudern sie vorweg oder rudern sie hinterher wird im eigenen forum heftig gemeckert – mal ueber die unzureichende recherche, mal ueber die recherche-bedingte veroeffentlichungsverzoegerung. egal ob ueber “bohnensuppe” oder anderes – so ist es halt: die leute wollen sich “asap” maximal-informiert fuehlen. doch selbst wenn man es wollte, man kann es einfach nicht allen gleichzeitig recht machen.

          damit gebe ich den loeffel wieder im forum ab.

  3. Trillian sagt:

    Moin Herr Born!

    “Aber ich kann als nutzloser Blogger….”

    Also wenn ich hier die fachliche Qualität dieses IT-Blogs (dies bezieht sich nicht nur auf Ihre Beiträge sondern auch auf die Kommentare der Leserschaft) so betrachte, dann kann ich nur hoffen, dass Sie bis in alle Ewigkeit weiterhin hier so “nutzlos” vor sich hinbloggen….

    @ Google Meltdown/Spectre Patch: Es wäre wünschenswert wenn diese Typen von Microsoft den von Google veröffentlichten Quellcode ganz genau analysieren und ihre Windowsupdates entsprechend überarbeiten. Und zwar stante pede! ^^ Aktuell habe ich durch die Patchlösung auf meinen mit SSD’s ausgestatteten Win 7 Pro 64x Systemen bei den Lese/Schreibzugriffen einen Performanceeinbruch, der so nicht akzeptabel ist. Entsprechende Messergebnisse hierzu hatte ich im Blogbeitrag “Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 2” im Kommentarbereich gepostet.

  4. Nils sagt:

    Naja, es gibt eben einen entscheidenden Unterschied, warum Google auf seiner Cloud Plattform das Problem anscheinend besser in der Griff bekommt.

    Google kann sich bei der Lösung auf ihre eigene Plattform konzentrieren und muss keine Rücksicht auf Kompatibilität nehmen.

    Intel, AMD und Microsoft müssen ihre Patches so konzipieren, dass sie auf praktisch jeder irgendwie erdenklichen und verfügbaren Hardware und Software Kombination funktioniert. Das macht es natürlich viel komplexer und komplizierter.

    • Uwe Albrecht sagt:

      Ich bin ja kein Cloud- oder Serverexperte und fühle mich bei so was eher „beklaut“ als „beschenkt, aber die Plattform in der man erfolgreich sein möchte, schafft sich wohl jeder selbst und dass Microsoft nun auch dort alles viel zu komplex und heterogen angefangen haben soll, will ich in deren Interesse mal nicht hoffen, denn wenn eine Sache erst mal aus dem Ruder gelaufen ist, bekommt man es tatsächlich nicht mehr hin und beerdigt es besser noch vor der Fertigstellung.

      Als Kunde eines PC‘s mit Atomprozessor, als Windowsphonekäufer, ehemaliger Nutzer von Office und dem Musicpass….hab ich auch schon so meine persönlichen Erfahrungen, aber Windows RT und jetzt S sind mir Gott sei dank erspart geblieben. Der Rest war eben persönliche Dummheit von mir, man sollte eben nicht alles glauben, was aus der Marketingabteilung kommt.

      Das Intel, AMD und Microsoft es jetzt vielleicht tatsächlich schwerer haben könnten, ist aber wohl mehr Ihrer Abschottungs- und Produktpolitik geschuldet. Googles Erfolg baut auf quelloffenen Lösungen und wird ebenfalls bei zu starker Abschottung an den eigenen Fehlern ersticken.

    • Günter Born sagt:

      Stimmt zwar für die Clients. Aber auch MS hat ja eine Cloud – für Outlook.com, OneDrive etc. habe ich noch nix gelesen. Vielleicht haben die es ja gepatcht – aber mir hat die Art, wie Google das erledigt hat, schon gefallen.

  5. Werbung

  6. RedOne sagt:

    sind wir nicht alle “Die Cloud” ?

    Wenn ich als Laie den Sinn der Sache auch nicht vollständig verstanden habe,
    scheint mir doch eines klar:

    Praktisch alle Hardware-Chips und alle Software ist betroffen!
    Warum setzen sich nicht alle zusammen und programmieren Security-Patches die sich im Sinne von Google’s Retpoline einsetzen lassen und vor allem EINFACH zu installieren sind?
    Letztlich sind wir doch ALLE die Cloud.

    Oder ist die Idee dahinter das sich die Nutzer neue Hard- und Software kaufen sollen, damit sie den Schwierigkeiten (Irrungen und Wirrungen wie u.a. in diesem Blog beschrieben) vielleicht aus dem Weg gehen können?

    • Nobody sagt:

      Für den Privatuser wichtig zu wissen ist, dass zur Ausnutzung der Sicherheitslücken Schadcode auf den Rechner gelangen muss. Dafür gibt es im Wesentlichen 3 Wege. Zum einen können Mails mit Links oder Anhängen versehen sein, die zu Schadware führen. Deshalb im Zweifelsfall Mails unbekannter Herkunft löschen. Das ist jedoch nicht neu. Möglich ist weiterhin, dass heruntergeladene Programme infiziert sind. Deshalb Software beim Hersteller beziehen. Letztlich kann der Browser dazu genutzt werden, Remote Code aus dem Internet auszuführen. Die verbreitetsten Browser haben das mittels Updates mittlerweile fast unmöglich gemacht. Man kann also relativ einfach die Gefahr auf ein Minimum reduzieren.

  7. Klaus Pit sagt:

    Der Hausmeister dieses Block’s liefert hervorragende Arbeit.
    Das Beste,was im deutschen Web, zu dieser Möglichkeit, zu finden war.

    Und dazu noch verständlich für uns User.

    Gruß

  8. Werbung

  9. Herr IngoW sagt:

    Nutzlos würde ich, Sie Herr Born, als Blogger nicht sehen.
    Es ist alles gut rescherschiert und relativ verständlich erklärt, so das ich als normaler Anwender es sogar verstehe.
    Es hat schon bei so manchen Problemen geholfen.
    Also ich kann da nur sagen, DANKE.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.