Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33669
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von doelf » 12 Jan 2018, 14:12

Mark Papermaster, AMDs Technologiechef, ist in Hinblick auf die Sicherheit von AMDs Prozessoren zurückgerudert. Offenbar stellt die zweite Variante von Spectre (CVE-2017-5715), welche bei der Sprungvorhersage ansetzt, doch eine Bedrohung für AMD-CPUs dar. Noch in dieser Woche sollen erste Microcode-Updates für Ryzen und EPYC ausgeliefert werden.

Optionale Microcode-Updates - auch für ältere CPUs
Hinsichtlich CVE-2017-5715 merkt Papermaster an, dass AMDs CPU-Architektur einen Angriff kompliziert mache. Letztendlich würde aber nur eine Kombination aus Betriebssystem- und Microcode-Updates die Gefahr vollständig bannen - Intel, IBM und ARM sehen das für ihre eigenen Prozessoren ebenso und hatten im Laufe dieser Woche bereits reagiert. AMD bezeichnet seine Microcode-Updates für Ryzen und EPYC als optional, womit Papermaster vermutlich auf Bedenken hinsichtlich möglicher Leistungseinbußen eingehen möchte. Im Netz mehren sich derzeit die Stimmen von Benutzern, die aufgrund der negativen Auswirkungen lieber auf das Einspielen solcher Updates verzichten wollen. Auch für ältere Prozessoren soll es Microcode-Updates geben, welche AMD im Laufe der kommenden Wochen bereitstellen will. Leider nennt Papermaster keine konkreten Produkte.

Bald wieder Windows-Updates für ältere AMD-CPUs
Dass AMD von Spectre Variante 1 (CVE-2017-5753) betroffen ist, stand schon zuvor fest. Der CPU-Hersteller ist nach wie vor überzeugt, dass sich dieser Fehler mit Änderungen am Betriebssystem in den Griff bekommen lässt. Allerdings hatten diesbezügliche Änderungen bei Windows zu Problemen mit älteren AMD-Prozessoren geführt, weshalb die Patches derzeit nicht an solche Systeme ausgeliefert werden. AMD arbeitet mit Microsoft an einer Lösung und geht davon aus, dass ab der kommenden Woche auch Systeme auf Basis der CPU-Familien Opteron, Athlon, Sempron und Turion wieder mit den Windows-Updates beglückt werden können.

Meltdown bleibt Intels Baustelle
Der Fehler, welcher bei Prozessoren von Intel und ARM eine vereinfachte Form der Angriffe namens Meltdown (CVE-2017-5754) ermöglicht, bleibt auch nach neusten Erkenntnissen Intels Baustelle. Papermaster kann bei AMD keine vergleichbaren Probleme erkennen und wo nichts kaputt ist, muss auch nichts repariert werden. Dies gilt übrigens auch für AMDs Grafikprozessoren, die keinerlei Spekulative Ausführung (Speculative Execution) verwenden. Ob AMD seinen Grafiktreiber als möglichen Angriffsvektor betrachtet, ließ Papermaster offen. NVIDIA hatte in seinen Treibern eine solche Gefahr gesehen und ein Update bereitgestellt.

Quelle:
http://www.amd.com/en/corporate/speculative-execution
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 921
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von Mausolos » 12 Jan 2018, 15:07

Von einem echten „Zurückrudern“ würde ich nicht sprechen.
AMD hatte stets gesagt, dass das Angriffsrisiko bei CVE-2017-5715 Variant Two Branch Target Injection nahe Null ist.
AMD hat geschrieben:Vulnerability to Variant 2 has not been demonstrated on AMD processors to date.
Deswegen würde ich jetzt auch nach einem Microcode-Update für AMD Prozessoren mit keinen so gravierenden Leistungseinbußen rechnen, wie es bei Intel CPUs der Fall ist.
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33669
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von doelf » 12 Jan 2018, 15:30

bis heute:
Differences in AMD architecture mean there is a near zero risk of exploitation of this variant. Vulnerability to Variant 2 has not been demonstrated on AMD processors to date.
=> das Risiko liegt nahe Null, bisher wurde dieser Angriff noch nicht erfolgreich auf AMD-Prozessoren demonstriert.

ab heute:
While we believe that AMD’s processor architectures make it difficult to exploit Variant 2, we continue to work closely with the industry on this threat.
=> Obwohl wir glauben, dass diese Variante schwierig anzugreifen ist...

Zwischen einem Risko nahe Null und einem schwierig umzusetzenden Angriff liegen Welten. Zudem fehlt im Nachtrag der Hinweis, dass man bisher noch keinen erfolgreichen Angriff gesehen habe.

Was die Leistung betrifft: Wie schwierig die Umsetzung eines Angriffs ist, hat rein gar nichts mit der Auswirkung des Patches auf die Leistung zu tun! Da müssen wir abwarten.

Gut finde ich indes, dass AMD von optionalen Updates spricht. Schließlich sollte der Benutzer im Falle eines sehr geringen Risikos nicht bevormundet werden. Abgesehen davon müssen wir abwarten, wann die ersten Angriffe anlaufen.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 921
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von Mausolos » 19 Jan 2018, 09:39

doelf hat geschrieben:
12 Jan 2018, 15:30
Was die Leistung betrifft: Wie schwierig die Umsetzung eines Angriffs ist, hat rein gar nichts mit der Auswirkung des Patches auf die Leistung zu tun! Da müssen wir abwarten.
Das c't-Magazin hat mittlerweile meine Vermutung bestätigt, dass für AMD Prozessoren mit keinen so gravierenden Leistungseinbußen rechnen ist, wie es bei Intel CPUs der Fall ist. Allerdings sind die dort abgedruckten Messwerte nicht der aktuelle Patch-Entwicklungsstand.
www.heise.de/ct/ausgabe/2018-3: Sicherheitslücken in den meisten modernen Prozessoren Siehe Absatz: Brems-Patches.
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33669
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von doelf » 19 Jan 2018, 14:23

Das c't-Magazin hat mittlerweile meine Vermutung bestätigt, dass für AMD Prozessoren mit keinen so gravierenden Leistungseinbußen rechnen ist, wie es bei Intel CPUs der Fall ist.
Das ist so nicht richtig, denn die Benchmarks wurden beim Ryzen (AMD) und Haswell (Intel) ohne Firmware-Updates genommen. Und sowohl Ryzen als auch Haswell reagierten kaum. Der Coffee Lake (Intel), bei dem ein Firmware-Update zur Verfügung stand, geht indes spürbar in die Knie. Vergleichbare bzw. noch stärkere Einbrüche kann man vom Haswell nach dem Firmware-Update erwarten.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 921
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von Mausolos » 19 Jan 2018, 15:45

doelf hat geschrieben:
19 Jan 2018, 14:23
die Benchmarks wurden beim Ryzen (AMD) und Haswell (Intel) ohne Firmware-Updates genommen
Oh, da hast du Recht.
Das ist mir beim Lesen gar nicht aufgefallen, weil die Microcode-Updates, für Intel Haswell zumindest, längst verfügbar sind.
Sind die Microcode-Updates für Ryzen und EPYC schon online?
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33669
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von doelf » 19 Jan 2018, 16:16

Debian hatte die Pakete am 12. Januar 2018 von SuSe bekommen:
amd64-microcode (3.20171205.1) unstable; urgency=high

* New microcode updates (closes: #886382):
sig 0x00800f12, patch id 0x08001213, 2017-12-05
Thanks to SuSE for distributing these ahead of AMD's official release!
* Add IBPB support for family 17h AMD processors (CVE-2017-5715)
* README: describe source for faml17h microcode update
* Upload to unstable to match IBPB microcode support on Intel in Debian
unstable.
* WARNING: requires at least kernel 4.15, 4.14.13, 4.9.76, 4.4.111 (or a
backport of commit f4e9b7af0cd58dd039a0fb2cd67d57cea4889abf
"x86/microcode/AMD: Add support for fam17h microcode loading") otherwise
it will not be applied to the processor.
Quelle:
https://launchpad.net/debian/+source/am ... +changelog
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 921
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von Mausolos » 20 Jan 2018, 10:32

doelf hat geschrieben:
12 Jan 2018, 15:30
While we believe that AMD’s processor architectures make it difficult to exploit Variant 2, we continue to work closely with the industry on this threat.
=> Obwohl wir glauben, dass diese Variante schwierig anzugreifen ist...

Zwischen einem Risko nahe Null und einem schwierig umzusetzenden Angriff liegen Welten. Zudem fehlt im Nachtrag der Hinweis, dass man bisher noch keinen erfolgreichen Angriff gesehen habe.
Hier kommt mir ein weiterer Gedanke:

Bei den Spectre(V2)-Gegenmaßnahmen wird niemals von Schließen dieser Sicherheitslücke gesprochen, sondern immer nur von einer Milderung des Angriffsrisikos (Mitigation). Also wird wohl letzten Endes auch bei Intel das Risko nahe Null bleiben ((very) difficult to exploit).
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33669
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von doelf » 22 Jan 2018, 17:20

Ich vermute, dass nur neuer Programmcode + neuer Microcode einen vollständigen Schutz ergeben.
Alte Betriebssysteme und Programme bleiben ebenso angreifbar wie nicht aktualisierte CPUs.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 921
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Kurskorrektur: AMD bereitet nun doch Microcode-Updates vor

Beitrag von Mausolos » 23 Jan 2018, 09:58

doelf hat geschrieben:
22 Jan 2018, 17:20
Ich vermute, dass nur neuer Programmcode + neuer Microcode einen vollständigen Schutz ergeben.
So wie sich die Sache derzeit entwickelt, wird unter Linux neuer Microcode weder von AMD noch von Intel verwendet werden.

Statt dessen haben sich die Linux Kernelentwickler sehr auf Googles Technologie „Return Trampoline“ in Verbindung mit einem geänderten GCC (GNU C Compiler) geeinigt. Dass dazu auch neue Binärdateien sämtlicher kritischen Anwendungsprogramme installiert werden müssen, ist unter Linux kein Thema, denn das ist ein seit Jahrzehnten wöchentlich oder täglich ablaufender Vorgang.

Der Patch „Retpoline“ führt praktisch zu keinen Leistungseinbußen im Gegensatz zum Microcode-Update von Intel mit der Neuerung »IBRS«.

Lesetipp:
pro-linux.de/news/1/25508/Retpoline-Unterstützung für GCC 7
pro-linux.de/news/1/25521/Status der Kernel-Patches gegen Meltdown und Spectre
Linux :)

Antworten