Sind Spectre und Meltdown immer noch eine Bedrohung? Die Patches, die Sie brauchen

Werbung

Die Enthüllungen über die Schwachstellen des Spectre- und Meltdown-Prozessors waren ein schockierender Start ins Jahr 2018. Die Sicherheitslücken betreffen nahezu jeden Prozessor, praktisch jedes Betriebssystem und jede Architektur. Prozessorhersteller und Betriebssystementwickler haben schnell Patches zum Schutz vor Sicherheitslücken veröffentlicht.

Aber es gab auch einige ernsthafte Kinderkrankheiten.

Sind wir nun, über ein Jahr nach den ersten Berichten, näher dran, die Schwachstellen von Meltdown und Spectre wirklich zu beheben?

Spectre- und Meltdown-Sicherheitslücken Neueste

Die Anfang 2018 entdeckten Spectre- und Meltdown-Schwachstellen wirken sich weiterhin auf das Computing aus. Meltdown betrifft speziell Intel-Mikroprozessoren, die bis 1995 zurückreichen. Die Langlebigkeit dieses Problems bedeutet, dass die meisten Intel-Prozessoren der Welt gefährdet sind und sogar Dienste wie Microsoft Azure und Amazon Web Services.

Spectre hat einen ähnlichen globalen Effekt. Die Spectre-Sicherheitsanfälligkeit betrifft Mikroprozessoren von Intel sowie andere wichtige Designer wie AMD und ARM. Spectre und Meltdown machen daher den größten Teil der Computer der Welt anfällig, eine Situation, die über 20 Jahre zurückreicht.

#Kernschmelze & #Gespenst - Ein Vergleich von Seite zu Seite#Internet-Sicherheit#Datenleck# Menschenfaktoren# CES2018#malware#Technologie

CC: @ ipfconline1@ JimMarous@evankirstel@ MikeQuindazzi@pierrepinna@ jblefevre60@ Reach2ratan@ KirkDBorne@ Ronald_vanLoonpic.twitter.com/0S79P5jDbV

- Shira Rubinoff (@Shirastweet) 10. Januar 2018

Verständlicherweise sorgen die Enthüllungen weiterhin für Bestürzung bei Verbrauchern und Unternehmen. Die Sorge ist vielfältig. Intel, AMD und ARM haben alle Patches für die Sicherheitsanfälligkeiten veröffentlicht. funktionieren diese Patches? Ist es einfacher, ganze Bestände an Mikroprozessoren zu ersetzen? Wann kommt ein vollständig sicherer Prozessor auf den Markt? Und was ist mit den Kosten?

"Wir haben noch nie einen so weitreichenden Fehler gesehen, der buchstäblich jeden großen Prozessor betrifft", sagt er David Kennedy, der CEO von TrustedSec, der Penetrationstests und Sicherheitsberatung für Unternehmen.

"Ich hatte letzte Woche mindestens zehn Anrufe bei großen Unternehmen und zwei gestern, um zu erklären, was passiert. Sie haben keine Ahnung, was sie beim Patchen tun sollen. Es verursacht wirklich ein Durcheinander. "

Spectre Next Generation

Nein, es ist nicht der James Bond-Star Trek-Crossover, von dem Sie geträumt haben. Spectre Next Generation ist die zweite Generation von Spectre-Schwachstellen. Die zweite Generation wurde von Googles Project Zero (der auch die erste Generation enthüllte) aufgedeckt.

Project Zero ist Googles Taskforce, um Zero-Day-Schwachstellen zu finden und verantwortungsbewusst aufzudecken, bevor schändliche Personen sie entdecken.

Ich werde hier nicht auf alle Details eingehen, aber hier ist ein Artikel, der das erklärt Auswirkungen von Spectre Next Generation Intels Spectre-Sicherheitslücke kehrt zurück wie ein Geist aus der VergangenheitDie Spectre / Meltdown-Enthüllungen Anfang 2018 erschütterten die Computerwelt. Jetzt haben Sicherheitsforscher acht neue Schwachstellen im Spectre-Stil entdeckt, die Intel-CPUs betreffen. Dies könnte bedeuten, dass Ihr Computer einem weiteren Risiko ausgesetzt ist. Weiterlesen .

Gibt es Spectre- und Meltdown-Patches?

Die Vielzahl an anfälligen Geräten bietet ein weiteres Problem. Jeder Hardwaretyp benötigt eine etwas andere, individuell gestaltete Lösung. Der Patch-Prozess seit Januar 2018 war geradezu umwerfend.

Intel beeilte sich, einen Sicherheitspatch zu entwickeln und zu veröffentlichen. Der Nachteil waren schwerwiegende Leistungsprobleme. Intel sagte bekanntlich: „Alle Auswirkungen auf die Leistung hängen von der Arbeitslast ab und sollten es für den durchschnittlichen Computerbenutzer tun nicht signifikant sein und wird im Laufe der Zeit gemildert werden. “ Die Aussage war damals falsch und bleibt es zum Zeitpunkt von Schreiben.

Selbst neuere Prozessoren, die gerade erst auf den Markt kommen, spüren die Auswirkungen.

Tatsächlich hat Intel am 22. Januar 2018 einen seiner Spectre-Patches zurückgezogen, da dies zu einem zufälligen Neustart führte. Intel schlug vor, dass Netzwerkadministratoren bereits installierte Updates mit Neil Shenoy, Executive Vice President von Intel, einfach zurücksetzen sollten sagen: "Ich entschuldige mich für jede Störung, die diese Änderung der Anleitung verursachen kann." VMware, Lenovo und Dell machten alle gleichzeitig ähnliche Ankündigungen Zeit.

Ende Januar gab Microsoft außerdem bekannt, dass die Spectre- und Meltdown-Patches für Windows 10 verfügbar sind beeinträchtigten die Leistung und verursachten zufällige schwerwiegende Fehler, die bestätigten, dass ihre Sicherheitskorrekturen durchgeführt wurden Buggy.

Oh, und Apple hat in ähnlicher Weise die Behauptungen bezüglich des Schutzes älterer Maschinen zurückgezogen und eine Vielzahl von Patches für High Sierra, Sierra und El Capitan veröffentlicht.

Linus und Linux

Linus Torvalds, der Entwickler und Hauptentwickler des Linux-Kernels, steht dem gesamten Spectre / Meltdown-Patch-Prozess weiterhin äußerst kritisch gegenüber. (Was ist überhaupt ein Kernel? Was ist ein Kernel unter Linux und wie überprüfen Sie Ihre Version?Linux ist ein Betriebssystem, oder? Nun, nicht genau! Es ist eigentlich ein Kernel. Aber was ist der Linux-Kernel? Weiterlesen ). Tatsächlich ging Torvalds so weit, die Intel-Patches als "COMPLETE AND UTTER GARBAGE" zu deklarieren.

Du kannst Lesen Sie hier den Rest seiner Tirade. Es ist die Lektüre wert.

Linus analysierte die Patches. Er fand, dass Intel versuchte, die Sicherheitspatches optional und betriebssystembasiert zu machen, damit sie nicht verfügbar sind Um das CPU-Design vollständig zu überarbeiten (dies ist die einzige Option für echte Sicherheit -, erkläre ich in einem Moment).

Eine Alternative wäre die Ausgabe von zwei Patches, von denen einer die Sicherheitspatches aktiviert und ein zweiter die Fixes für den Kernel implementiert.

Stattdessen behauptet Torvalds, Intel zwinge die beiden zusammen, die Leistungstreffer zu beschönigen, indem sie einen „optionalen sicheren Modus“ zulassen. Dabei muss der Benutzer seine CPU für das Update auswählen und dafür sorgen, dass die Leistung die Entscheidung des Kunden trifft, anstatt dass Intel die Entscheidung trifft Flak. Wenn Benutzer ein älteres Betriebssystem starten, das den Patch noch nie gekannt hat, sind sie sofort anfällig.

Am 29. Januar wurde der Linux 4.15-Kernel mit neu erweiterten Sicherheitsfunktionen in Intel- und AMD-CPUs auf Linux-Geräten zur Verfügung gestellt. Und während Linus Torvalds Rant auf Linux ausgerichtet war, ist klar, dass die Intel-Patches für kein Betriebssystem auf dem neuesten Stand waren.

Wusste China von Spectre und Meltdown?

Obwohl Intel in Bezug auf seine Gewinnberichte einer Kugel ausweicht (trotz der kritischen Sicherheitslücke, die in den meisten Computern der Welt zu finden ist, tuckern die Gewinne von Intel ziemlich mit Intel hat jede Menge Kritik geübt, weil es Berichten zufolge sowohl Meltdown als auch Spectre seinen massiven chinesischen Kunden wie Alibaba und Lenovo offengelegt hat, bevor es den USA davon erzählte Regierung.

Mehrere große US-Agenturen wurden erst bei Veröffentlichung der Berichte auf Spectre und Meltdown aufmerksam gemacht, als auf ein Benachrichtigungsverfahren vor der Offenlegung. Obwohl es keinen Hinweis darauf gibt, dass die Informationen nicht ordnungsgemäß verwendet wurden (z. B. von der chinesischen Regierung weitergegeben und verwendet wurden), gibt es erhebliche Bedenken hinsichtlich der Wahl von Intel, wer informiert werden soll.

Angesichts der Tiefe und des Umfangs der chinesischen Internetüberwachung ist es völlig unwahrscheinlich, dass die chinesische Regierung sich der Schwachstellen vor der US-Regierung nicht bewusst war.

Windows 10 Retpoline Spectre Fix

Retpoline ist a "Software-Konstrukt zur Verhinderung der Verzweigungszielinjektion." Mit anderen Worten, es ist ein Patch, der davor schützt Spectre durch Einführung eines alternativen Vorhersagezweigs, der das System vor Spekulationen im Spectre-Stil schützt Anschläge.

Im Dezember 2018 Microsoft hat den Retpoline-Fix verfügbar gemacht für sein Insider-Programm. Im Insider-Programm und in den Insider-Voransichten testet Microsoft die kommende Version von Windows 10, bevor sie in die Mainstream-Version aufgenommen wird. Das neueste Update, 19H1, enthält das Retpoline-Update.

Im März 2019 gab Microsoft jedoch bekannt, dass der Retpoline-Fix für alle verfügbar ist, die ihn herunterladen möchten. Es gibt einige Bestimmungen:

• Auf dem System muss das Windows 10-Update vom Oktober 2018 ausgeführt werden.
• Das Update funktioniert nur für Skylake-Prozessoren vor Intel und älter (das Update funktioniert auch für AMD-Computer und AMD-Reader).

Sie sind sich nicht sicher, welche Windows 10-Version Sie derzeit verwenden? Drücken Sie Windows Key + I., dann System> Info. Sie können Ihre aktuelle Windows-Version unter sehen Windows-Spezifikation. Wenn 1809 angezeigt wird, können Sie das Update installieren. Wenn nicht, müssen Sie warten, bis Ihre Windows-Version aufholt.

Das Retpoline-Update, KB4470788wird über den regulären Windows Update-Prozess auf Ihrem System eintreffen. Sie können jedoch das Update KB4470788 herunterladen über den Microsoft Update-Katalog. Laden Sie die richtige Version für Ihre Betriebssystemarchitektur herunter (z. B. x64 für 64-Bit, x86 für 32-Bit) und installieren Sie sie.

Werden Spectre und Meltdown jemals endgültig behoben?

Die erste Generation von Spectre- und Meltdown-Patches war eine vorübergehende Lösung. Die Verantwortung sollte nicht bei den Verbrauchern liegen, um die Patches zum Blockieren von Sicherheitslücken zu aktivieren, geschweige denn um den Kompromiss zwischen Sicherheitsproblemen auf Kernel-Ebene und CPU-Leistungseinbußen zu entscheiden. Es ist einfach unfair, geschweige denn völlig unethisch.

Die langsame Einführung von Retpoline-Korrekturen ist für Verbraucher besser, da die Systemschwachstellen behoben und die Systemgeschwindigkeit auf die vorherigen Ebenen zurückgesetzt werden. Einige Benutzer haben jedoch nicht den Vorteil einer Retpoline-Korrektur, sodass es sich nicht um ein magisches Pflaster handelt.

Bereits Anfang 2018 enthielt der Intel-Finanzbericht Informationen von CEO Brian Krzanich, der versprach, dass Chips mit echten Hardware-Korrekturen in diesem Jahr ausgeliefert werden. Leider hat Krzanich nicht näher darauf eingegangen, was diese kühne Aussage bedeutete.

Da Krzanich jedoch bestätigt hat, dass Intel plant, seine 14-nm-Produkte (Intel-CPUs ab 2014 - Kaby Lake, Coffee Lake, Skylake usw.) im Laufe des Jahres 2018 weiterzuentwickeln. Dies schafft Möglichkeiten: In-Silizium-Fixes für die aktuelle Generation von CPUs und Fixes für die kommenden Cannon Lake-Prozessoren oder den einen oder anderen.

Später im Jahr 2018 kündigte Intel an, dass Hardware-Fixes - das ist ein prozessorbasierter Fix in Silizium - mit der kommenden Intel-CPU-Generation verfügbar sein werden. Einige Korrekturen werden mit der Low-Power-Prozessorserie Whiskey Lake eingeführt, während weitere mit den De-facto-Prozessoren der 10. Generation, Ice Lake, verfügbar sein werden. Die neue Generation von Intel-CPUs sollte Schützen Sie auch vor der Sicherheitslücke in Foreshadow, auch.

Denken Sie, dass Sie von Spectre und Meltdown nicht betroffen sind? Besuche die Liste der Computerhardware, die von den Sicherheitsanfälligkeiten nicht betroffen ist Sind Computer nicht von den Meltdown- und Spectre-Fehlern betroffen?Die Schwachstellen Meltdown und Spectre haben die Hardware auf der ganzen Welt betroffen. Es scheint, als sei alles unsicher. Das ist aber nicht der Fall. Schauen Sie sich diese Liste sicherer Hardware und unsere Tipps für die Zukunft an. Weiterlesen und denke noch einmal nach.