MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick

Möchtet ihr unsere Testberichte ergänzen oder kritisieren?
[contribute information to our reviews]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34653
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick

Beitrag von doelf » 16 Mai 2019, 16:16

Unter den kryptischen Kürzeln MFBDS, MSBDS, MLPDS und MDSUM hat Intel vier neue Sicherheitslücken in seiner Prozessorarchitektur dokumentiert, welche überarbeitete Microcode-Updates sowie Anpassungen der Betriebssysteme erfordern. Zudem wird geraten, auf Hyper-Threading zu verzichten. Zeitgleich geistern neue Begriffe wie ZombieLoad, RIDL, Fallout und YAM (Yet Another Meltdown) durchs Netz, die weitere Schwachstellen vermuten lassen. Wir erklären, worum es geht und was jetzt zu tun ist.

Bild

Soviel vorweg: Nach bisherigen Erkenntnissen ähneln die vier neuen MDS-Angriffe dem ursprünglichen Meltdown. Sie können dem Gastsystem einer virtuellen Maschine Zugriff auf Daten des Hosts geben sowie Intels "Software Guard eXtensions" (SGX) und die Adresswürfelung (ASLR) aushebeln. Zuweilen funktionieren die Angriffe auf neuen CPUs, welche Intel bereits mit ersten Schutzmaßnahmen versehen hat, besser als auf älteren Prozessoren. Die gute Nachricht: AMD, ARM und IBM sind diesmal nicht betroffen.

Zum Artikel: MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1019
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick

Beitrag von Mausolos » 16 Mai 2019, 21:03

Danke. Ein sehr interessanter Artikel.
Da bin ich mal gespannt, wann das nächste Update für Kernel und Intel Microcode von den Linux-Distributionen verteilt wird und wie dann die neue Ausgabe der „CPU Vulnerabilities“ aussieht.

Code: Alles auswählen

grep . /sys/devices/system/cpu/vulnerabilities/*
Wahrscheinlich sind das noch längst nicht die letzten CPU-Sicherheitslücken, die veröffentlicht werden (müssen).
Linux :)

Plutoman

Re: MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick

Beitrag von Plutoman » 18 Mai 2019, 22:47

Hallo,

wenn keine Updates für Windows 7 kommen. Dann geht die ganze Geschichte, ehrlich gesagt "INTEL" am A... vorbei.

Siehe WoW. Druck gemacht, schon kam die DirectX 12 Unterstützung für Win 7.

Gruß
Waldemar

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34653
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick

Beitrag von doelf » 20 Mai 2019, 12:26

Für Intel ist das doch ein tolles Geschäft. Man muss gar nicht mehr schneller werden, sondern einfach nur etwas sicherer.
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1019
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick

Beitrag von Mausolos » 21 Mai 2019, 08:47

So schaut das jetzt unter Linux auf einer Intel Core i5 4xxx CPU aus:

Code: Alles auswählen

$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: SMT disabled, L1D conditional cache flushes
/sys/devices/system/cpu/vulnerabilities/mds:Mitigation:Clear CPU buffers; SMT disabled
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB, RSB filling
Interessant ist, dass das Paket für den neuen Intel-Microcode das Datum 14. Mai 2019 trägt. — Das war noch vor der offiziellen Veröffentlichung.
ucode-intel-20190514

Neu ist der Kernel-Bootparameter «mitigations=off», falls jemand ohnehin in einer sicheren Umgebung arbeitet und daher die gesamten Fixes der CPU-Sicherheitslücken auf einmal abschalten will. Allerdings funktioniert das beim Linux LTS-Kernel 4.4.179 anscheinend doch nicht vollständig:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: SMT disabled, L1D vulnerable
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable; SMT disabled
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: IBRS+IBPB
Linux :)

Antworten