Onderzoekers openbaren details van lekken in moderne cpu's van Intel, AMD en ARM

Beveiligingsonderzoekers hebben de details bekendgemaakt van kwetsbaarheden in moderne processors, waarover in de afgelopen dagen werd gespeculeerd. De zogenaamde Spectre- en Meltdown-aanvallen geven toegang tot gevoelige gegevens in het geheugen van systemen.

De onderzoekers hebben hun bevindingen gepubliceerd in de vorm van een website en papers over Meltdown en Spectre. De eerste aanval heeft gevolgen voor Intel-cpu's vanaf 1995 en maakt gebruik van de optimalisatietechniek speculative execution om kernelgeheugen uit te lezen op x86-systemen. Dat is mogelijk met behulp van processen die in userspace draaien. Dat betekent dat de aanval geheugenisolatie omzeilt. Meltdown is niet afhankelijk van een lek in software en werkt daarom onafhankelijk van het besturingssysteem van de gebruiker.

Een van de ontdekkers van de kwetsbaarheid, Michael Schwartz van de Technische Universiteit Graz, toont een toepassing van Meltdown om wachtwoorden in real time te stelen. Voor cloudproviders betekent de aanval dat isolatie tussen verschillende gastsystemen op dezelfde host omzeild kan worden, aldus de onderzoekers. Dat geldt niet voor volledig gevirtualiseerde systemen, maar voor containers met gedeelde kernel. Een aanval zou moeilijk te detecteren zijn en geen sporen achterlaten.

SpectreMeltdown — Afbeelding via Daniel Miessler

De tweede bug, Spectre, is breder dan Meltdown en treft dan ook een groter aantal cpu-fabrikanten, zoals AMD, Intel en ARM. Deze maakt het mogelijk voor een applicatie in userland om het geheugen van een ander proces uit te lezen. In de bijbehorende paper beschrijven de onderzoekers een Spectre-proof-of-concept-implementatie in JavaScript, die ze hebben getest in de Chrome-browser van Google. De code maakt het mogelijk om het geheugen van het proces waarin deze wordt uitgevoerd, uit te lezen. Spectre maakt eveneens misbruik van speculative execution. Het succes van de aanval is volgens de ontdekkers voornamelijk afhankelijk van het feit of de aanvaller code kan uitvoeren op dezelfde cpu als het doelwit.

Voor Meltdown is het mogelijk om een oplossing te bieden in de vorm van patches voor onder meer Windows, macOS en Linux. Microsoft meldt dat de patches van 3 januari afhankelijk zijn van de aanwezige antivirussoftware van de gebruiker, waardoor systemen met incompatibele software de patches niet ontvangen. Voor Spectre is het moeilijker om een omvattende oplossing te bieden en systemen te beveiligen. De onderzoekers stellen dat een oplossing in veel gevallen gezocht moet worden in aanpassingen van processorontwerpen en updates voor isa's.

Spectre wordt ook wel aangeduid als CVE-2017-5753 en CVE-2017-5715, terwijl Meltdown alleen bekendstaat als CVE-2017-5754. Onderzoekers van Googles beveiligingsproject hebben een blogpost aan de kwetsbaarheden gewijd, waarin ze verschillende proof-of-concepts bespreken van verschillende aanvalsvarianten. AMD heeft een bericht op zijn website gepubliceerd, waarin het ingaat op die varianten en de kwetsbaarheid van zijn processors. Daarin claimt de fabrikant niet of nauwelijks vatbaar te zijn voor de CVE's eindigend op 5754 en 5715, die toebehoren aan Meltdown en een van de Spectre-kwetsbaarheden. Over CVE-2017-5753 zegt AMD alleen dat dit verholpen kan worden met patches. De Project Zero-onderzoekers zeggen dat ze een proof-of-concept van die zogenaamde bounds check bypass met succes op AMD-processors hebben uitgevoerd. In het eerder genoemde Spectre-paper lukte het om de aanval op een Ryzen-cpu uit te voeren. Voor ARM is er ook een advisory gepubliceerd.

Reacties (303)

tubawizard 5 januari 2018 03:00

Microsoft heeft reeds een patch uitgebracht voor Windows 10 systemen. Het betreft de KB4056888 , KB4056890. KB4056891, KB4056892, and KB405689 artikelen. Je kunt deze terugvinden onder het vakje: "Security updates to Internet Explorer, Microsoft Scripting Engine, Microsoft Edge, Windows Graphics, Windows Kernel, Windows Subsystem for Linux, and the Windows SMB Server."
https://www.ghacks.net/20...of-band-security-updates/

Op mijn eigen systeem was het KB4056892 als update.
https://support.microsoft...ndows-10-update-kb4056892

Ik heb gelijk nog getest of de i/o-snelheden van mijn systeem zijn aangetast. Daarvoor heb ik voor en na de update Geekbench 4 gestart. Maar ik kan gelukkig geen verandering/verlaging in snelheid constateren.

Single-Core Score: 3248
Multi-Core Score: 9538
Geekbench 4.2.0 Tryout for Windows x86 (64-bit)
System Information
Operating System Microsoft Windows 10 Pro (64-bit)
Model Generic
Motherboard ASRock B75 Pro3-M
Memory 8192 MB DDR3 SDRAM 666MHz
Northbridge Intel Ivy Bridge 09
Southbridge Intel P75/B75 04
BIOS American Megatrends Inc. P1.60
Processor Information
Name Intel Core i5-3350P
Topology 1 Processor, 4 Cores
Identifier GenuineIntel Family 6 Model 58 Stepping 9
Base Frequency 3.09 GHz
Maximum Frequency 3.29 GHz
Package Socket 1155 LGA
Package Ivy Bridge
L1 Instruction Cache 32.0 KB x 2
L1 Data Cache 32.0 KB x 2
L2 Cache 256 KB x 2
L3 Cache 6.00 MB x 1

Jan-E @tubawizard • 5 januari 2018 11:09

Windows 7 and 2008R2 hebben deze patch ook binnen:
https://support.microsoft...indows-7-update-kb4056894
Vannacht dus even mijn Win 2008R2 servers moeten rebooten

ShellGhost 4 januari 2018 10:38

Niet alleen de CPU's vanaf 2010 zijn flawed, het gaat terug tot 1995.
https://thehackernews.com...pectre-vulnerability.html

Toettoetdaan @ShellGhost • 4 januari 2018 11:23

AMD CPU's zijn alleen vatbaar voor CVE-2017-5753 (Spectre variant 1) als eBPF JIT ingeschakeld is. Dat is niet standaard het geval en het is niet heel waarschijnlijk dat een normale gebruiker dat doet.

Voor Spectre variant 2 en Meltdown zijn de AMD chips niet vatbaar. Kortom, standaard zijn AMD chips niet vatbaar en alleen als eBPF JIT ingeschakeld is zijn ze vatbaar voor Spectre variant 1, wat gefixed wordt met de huidige/komende OS updates. (Geen hardwarematig probleem dus)

ELD @Toettoetdaan • 4 januari 2018 15:52

AMD heeft een firmware patch op Linux schijnbaar al beschikbaar voor zen voor de Spectre 1 variant

De patch geeft aan dat heel branche prediction wordt uitgeschakeld maar het schijnt alleen een hele kleine aanpassingen te zijn.

https://lists.opensuse.or...nce/2018-01/msg00004.html

Meer info
https://www.reddit.com/r/...ate_leap_disables_branch/

Anoniem: 465528 @ELD • 4 januari 2018 19:38

Ik vraag me sterk af wat de gevolgen met betrekking tot branch prediction op AMD zen architecture (ryzen & threadripper) processoren m.b.t. spectre zijn. Dit gezien AMD zen processoren een neural network gebruiken voor branch prediction.

Zie: https://cdn.arstechnica.n...e-Keynote-18-980x324.jpeg

__fred__

@Toettoetdaan • 4 januari 2018 13:56

Als je de paper over Meltdown leest, dan geven de onderzoekers aan dat hun eerste tests gewoon werken op AMD processoren, en dat deze dus ook out of order execution van microinstructies doen, en dat die de cache wijzigen, waarna deze wijzigingen gewoon zijn uit te lezen. Het concept werkt dus ook gewoon op AMD. Dat de specifieke Meltdown exploit niet werkt, betekent natuurlijk niet dat vervolgonderzoek ertoe zou kunnen leiden dat er alsnog exploits komen voor AMD processoren.

Micio Nero @rjmno1 • 4 januari 2018 17:25

Dit is geen virus, dit is meer een soort ontwerpfout in de processor, die kwaadwillende mensen kunnen misbruiken om bij computers binnen te dringen.

solozakdoekje @ShellGhost • 4 januari 2018 11:01

Even nog een ding deze patches van meltdown en spectre maken dus mijn intel processor beduidend langzamer in workloads en resources?
dit heeft dus effect op het gameb als deze patches uitkomen?
Er werd gesproken over verminderde prestaties of heeft dit alleen te maken met servers van grote bedrijven ?

[Reactie gewijzigd door solozakdoekje op 23 juli 2024 05:43]

kgd92 @solozakdoekje • 4 januari 2018 11:40

Performance impact voor de standaard dagelijkse user is verwaarloosbaar tot afwezig voor gamen/office/standaard workloads: https://www.youtube.com/watch?v=_qZksorJAuY

Het lijkt erop dat zware serverapplicaties en virtualisatie wel geimpact wordt, maar hier heb ik nog geen gedetailleerde tests van langs zien komen. Je games hoef je je iig geen zorgen om te maken

Ben wel benieuwd hoe dit af gaat lopen overigens. Is dit human error of (zware) nalatigheid geweest (Het kan namelijk wel goed gaan getuige dat Zen er geen last van heeft). En hoe zit het met de Intel CEO die toevallig net miljoenen aan aandelen gecasht heeft? Het zaakje zit volgens mij niet helemaal lekker in elkaar en ik vermoed dat er nog wel een staartje aan gaat komen. Ben in ieder geval blij dat ik mijn huidige systeem rondom een Ryzen heb gebouwd, ondanks dat de performance niet beïnvloed wordt vind ik intel erg veel negatief in het nieuws komen de laatste tijd...

CH4OS @kgd92 • 4 januari 2018 11:58

Aangezien een van de exploits zelfs op Intel CPU's uit 1995 werkt denk ik niet dat het human error is. Nalatigheid is ook wat kort door de bocht natuurlijk; dat het lek nu boven tafel is, wil niet zeggen dat men eerder al wist van de lekken, anders zou het lek niet op zoveel Intel CPU's werken.

[Reactie gewijzigd door CH4OS op 23 juli 2024 05:43]

Anoniem: 58485 @CH4OS • 4 januari 2018 12:08

Ik denk dat al vanaf 1995 nooit iemand zou kijken of die vanuit het ene proces, het geheugen van een ander proces kon benaderen, omdat er toen nog helemaal zo breeduit gebruik werd gemaakt van applicaties met security als vandaag de dag.

Zelfs daarvoor had men niet Windows welk multithreaded werkte maar gewoon DOS ofzo wat per 1 thread werkte. Dus het is iets wat erin is gezet en verder nooit meer naar omgekeken en nu toevallig bij alle CPU's zowat uit lijkt te komen.

Wat ik wel weet is dat Intel met name de laatste jaren vaker 'skimpt' op Q&L testen op hun CPU's om zo de kosten terug te dringen. De kwaliteit van Intel chips is dan ook niet meer wat het eigenlijk was geweest. En dit is een best ernstige flaw want vooral machines met VM's erop krijgen hier problemen mee (Als dit on the wild gaat).

Zelfs een stukje javascript op een website kan al zorgen dat deze leak actief wordt misbruikt. Ik heb dan ook Chrome Site isolation maar eens aangezet, zie Site isolation google chrome.

Dit is wel een bekend truucje trouwens. Als je op een shared hosting machine staat en toevallig SSH tot je beschikking hebt, kan je ook in de /tmp map gaan speuren en slecht geschreven apps die daar alles dumpen gewoonweg uitlezen. Dus ook gevoelige data en dat soort dingen. Dit is eigenlijk niet anders maar dan op Low level niveau gewoon. AMD doet het een stuk beter door gelijk AES op het geheugen toe te passen.

totaalgeenhard @Anoniem: 58485 • 4 januari 2018 13:18

Ik denk dat al vanaf 1995 nooit iemand zou kijken of die vanuit het ene proces, het geheugen van een ander proces kon benaderen, omdat er toen nog helemaal zo breeduit gebruik werd gemaakt van applicaties met security als vandaag de dag.

gdb --pid [pid]
strace -p [pid]

Dat doen debuggers en security engineers (na incident) dagelijks. (ook in de vorige eeuw)

Verschil is dat dit een onderdeel van CPU / CHIPSET (sort of hardwarematig) is.

Aangezien veel features niet of nauwelijks gedocumenteerd is (zie INTEL IME verhaal) moet men blind een blackbox testen en dat kost veel tijd voordat je resultaat hebt.

Zie ook ROW_HAMMER verhaal https://en.wikipedia.org/wiki/Row_hammer

Wat ik wel ZEER kwalijk vind dat men tot 30% prestatie inlevering geen probleem is.

Intel zou gewoon 30% + compensatie moeten terugbetalen.

Hoe ze met dit verhaal en IME zijn omgegaan siert ze totaal niet. Gewoon totale minachting naar klanten.

[Reactie gewijzigd door totaalgeenhard op 23 juli 2024 05:43]

goarilla @Anoniem: 58485 • 4 januari 2018 13:12

Ik denk dat al vanaf 1995 nooit iemand zou kijken of die vanuit het ene proces, het geheugen van een ander proces kon benaderen, omdat er toen nog helemaal zo breeduit gebruik werd gemaakt van applicaties met security als vandaag de dag.

Waar haal je dat eigenlijk vandaan ? Dit hoeft toch niks met security te maken te hebben om geimplementeerd te worden. De nood aan multi-user besturingssystemen en de vraag naar hulpzame hw faciliteiten ter ondersteuning daarvoor waren er toch wel ?

eborn @goarilla • 4 januari 2018 14:02

We praten over de periode waarin Windows 95 werd uitgebracht. Dat was eigenlijk gewoon een veredelde UI bovenop MS-DOS. Multi-user met duidelijke rechtenscheiding en het hele virtualiseren was toen nog toekomstmuziek.

Dinsdale

@eborn • 4 januari 2018 16:24

"Multi-user met duidelijke rechtenscheiding en het hele virtualiseren was toen nog toekomstmuziek."

Voor Microsoft misschien, maar multi-user en rechtenscheiding gaat terug tot 1968, gok ik. Op Intel chips denk ik eind jaren 80, begin jaren 90.

m3gA @eborn • 4 januari 2018 15:15

Dat is wel erg kort door de bocht. In het geval van Windows 3.11 was het een schil. Windows 95 was een echt 32bit besturingssysteem terwijl MS-Dos nog 16bit was.

--Andre-- @m3gA • 4 januari 2018 19:37

Ok, dat je Windows 95 een 32 bits besturingssysteem noemt... of een schil boven op DOS. Je kon Windows 95 afsluiten en terugkeren naar de MS-DOS prompt. Voor beiden is wat te zeggen, maar linksof of rechtsom, Windows 95 was een single-user omgeving, die ook nog eens directe hardwaretoegang toeliet.

Ge Someone @eborn • 4 januari 2018 16:48

Microsoft bracht in 1993 Windows NT uit, gericht op zakelijke/professionele gebruikers. Dat was al multi-user met duidelijke rechtenscheiding. vanaf Windows XP werd (de opvolgers hiervan) dit ook voor de consumenten versies gebruikt.

Croga

@Anoniem: 58485 • 4 januari 2018 13:09

Zelfs een stukje javascript op een website kan al zorgen dat deze leak actief wordt misbruikt. Ik heb dan ook Chrome Site isolation maar eens aangezet, zie Site isolation google chrome.

Dat zal niet veel helpen tegen een bug die cross-process geheugen uitleest.....

Dat is zoiets als "Laat ik mijn auto op slot doen dan kunnen ze niet meer in mijn huis inbreken"

[Reactie gewijzigd door Croga op 23 juli 2024 05:43]

PulsatingQuasar @Anoniem: 58485 • 4 januari 2018 20:34

Aangezien de meltdown bug eigenlijk gericht is op containers is dat eigenlijk voor hackers ook pas recent interresant.

Ik denk dus ook dat Intel niet nalatig is geweest. Ik denk dat pas nu met het populair worden van containers men door heeft gekregen wat er mogelijk is.

Waarnemer @CH4OS • 4 januari 2018 14:52

Wat is een lek?... als je een stalen roeiboot in het water legt drijft ie... ik kan er van bovenaf water in gooien en uiteindelijk zinkt ie.. maar het is geen lek... eerder een design issue... er moet een dak op... dat maakt alleen wel wat uit in de eerdere omschrijving... dan is het geen open roeiboot meer....

De mensen die de eerste roeiboot hebben ontwikkeld gingen ook uit van roeitochten met mooi weer...

The Zep Man

Netwerk en systeembeheer
Security

@kgd92 • 4 januari 2018 13:48

Het lijkt erop dat zware serverapplicaties en virtualisatie wel geimpact wordt, maar hier heb ik nog geen gedetailleerde tests van langs zien komen. Je games hoef je je iig geen zorgen om te maken

Niet super gedetailleerd, maar hier is een test van PostgreSQL. Let op dat dit een worst case scenario is en dat het in de praktijk minder impact heeft doordat de bottlenecks ergens anders liggen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 05:43]

aequitas

@solozakdoekje • 4 januari 2018 11:08

Voor zover ik heb kunnen ontdekken betreft het alleen software die veel met de kernel moet praten (syscalls). Spellen vallen hier dus buiten omdat die voornamelijk in userland actief zijn.

Moonsurfer_1 @aequitas • 4 januari 2018 12:21

Om eerlijk te zijn denk ik dat spellen juist wel getroffen gaan worden omwille van deze reden: ze moeten -via een omweg- juist heel veel met de kernel praten (meer specifiek de graphics driver die binnen kernel space draait).

Dat daar OpenGL of DirectX tussen zit maakt daarbij niet uit: de context switches om met de driver te babbelen gebeuren hoe dan ook.

Pliskin @Moonsurfer_1 • 4 januari 2018 13:39

Geen verschil.

[Reactie gewijzigd door Pliskin op 23 juli 2024 05:43]

__fred__

@Moonsurfer_1 • 6 januari 2018 21:14

Vroeger wel, maar tegenwoordig is het de sport om zo weinig mogelijk te switchen naar de graphics driver. Geen directe draw calls meer maar dikke buffers samenstellen met geometrie, textures en de opdrachten om ze te renderen. Paar calls voor de transfers en dan nog maar 1 render call per frame.

Kees_frl @aequitas • 4 januari 2018 11:18

Wat voor type software is dat dan bijvoorbeeld? Ik heb er niet zoveel verstand van helaas :-)

Dus bijvoorbeeld in een NAS (Synology) is het weer anders dan in een PC?

Aaargh! @Kees_frl • 4 januari 2018 11:35

O.a. Applicaties die veel I/O doen, b.v. veel schijftoegang of netwerk verkeer. Database servers, webservers, etc.

Kees_frl @Aaargh! • 4 januari 2018 12:03

Aah bedankt, dat betekent dus waarschijnlijk wel een inpact voor een Nas thuis.

Aaargh! @Kees_frl • 4 januari 2018 12:26

Bij een NAS zal je netwerk de bottleneck zijn, tenzij je thuis een 10Gbit netwerk oid hebt liggen.

Anoniem: 669957 @Kees_frl • 4 januari 2018 11:50

synthetische benchmark programma's, vm's, low level hardware acces api's etc

solozakdoekje @aequitas • 4 januari 2018 11:13

Maarja een zwaar windows10-os na de patches is niet goed om te gamen...het betreft ook de instructieset heb im ergens gelezen.

[Reactie gewijzigd door solozakdoekje op 23 juli 2024 05:43]

daanb14 @aequitas • 4 januari 2018 15:21

En daarbij is het zo dat Radeon videokaarten van de laatste GCN generaties schijnbaar veel minder syscalls maken dan NVIDIA videokaarten.

--Andre-- @aequitas • 4 januari 2018 19:40

Uhm... hoe communiceert het spel met.... het beeldscherm? hoe leest het spel de levels van de harde schijf? hoe leest het spel je toetsenbord/controller uit? Hiervoor zijn toch allemaal syscalls nodig?

Wildfire

@solozakdoekje • 4 januari 2018 11:07

Er is een performance impact op zo ongeveer alles, maar afhankelijk van de applicatie kan het nauwelijks merkbaar tot extreem merkbaar zijn. Het wachten is op benchmarks van Windows-systemen waar consumentengebruik getest wordt (browsen, office, gaming)...

TonnyTonny @Wildfire • 4 januari 2018 11:46

Ik heb zelf wat zitten te testen (op Fedora waar je met de allerlaatste kernel je de patch kunt aan/uitzetten dmv een boot-optie).
Newsreaders (SabNZB) en torrent-clients (qTorrent) hebben er in ieder geval wat vertraging door. Hoe meer parallele threads, hoe meer de impact.
B.v qTorrent met 6 high-speed torrents (veel seeds, 200 Mb/s bandbreedte continue 90% bezet) geen verschil met en zonder de patch. Met 15 torrents was de bandbreedte 100% vol zonder patch ,maar kwam hij met patch niet boven de 85% uit en was de CPU load ongeveer 10% hoger dan bij zonder patch.
Bij 40 torrents kreeg de bandbreedte wel weer vol, maar was de CPU load 25% hoger dan zonder patch.
Grotere RAM-cache in qTorrent instellen hielp een paar %. (Verminderd het aantal disk-writes per seconde, wat gunstig is voor dit probleem.)

Hoe veel de vertraging in een specifiek geval is is niet te voorspellen. Hangt af van exact welke software je draait, hoeveel parallelle processen, wat er nog meer draait op de machine en het specifieke type/model CPU.

Wildfire

@TonnyTonny • 4 januari 2018 14:40

Ben nu met Newsbin Pro (Windows dus) een download aan het binnen hengelen. Heb net de update achter de rug die de workaround zou moeten bevatten voor Meltdown. Alles lijkt nog even snel te gaan, volle 400mbit haal ik gewoon.

TonnyTonny @Wildfire • 4 januari 2018 15:05

Ik heb nog niet op Windows kunnen testen.

Naar ik van Microsoft begrijp krijgen Windows PC's alleen de update als de virusscanner compatible is met de update (sommige gaan blijkbaar blue-screen).
Voor zover ik kan nagaan is Sophos Home die ik op die PC heb staan nog niet bijgewerkt en dus krijg ik de update (nog) niet.

Wildfire

@TonnyTonny • 4 januari 2018 15:55

Primaire PC hier draait eSET Internet Security, secundaire PC draait AVG Free. Beide hebben de updates ontvangen. Laptop van m'n vader heeft Norton en die heeft de update ook ontvangen.

TonnyTonny @Wildfire • 4 januari 2018 16:30

Ik zal straks als ik thuis ben nog eens kijken.
Wie weet heeft de machine (hij staat aan) hem al opgepikt.

Phrenesis @TonnyTonny • 5 januari 2018 09:04

Sophos gaat vanaf vandaag een update uitbrengen die de benodigde registry key gaat toevoegen:
https://community.sophos.com/kb/en-us/128053

TonnyTonny @Phrenesis • 5 januari 2018 11:49

Dank voor de headsup. Ik had die nog niet meegekregen.

Tenaya @TonnyTonny • 4 januari 2018 14:41

Welke opstelling gebruik je zelf?

solozakdoekje @Wildfire • 4 januari 2018 11:11

Met name het pc game wordt interessant, misschien is een overstap naar AMD misschien nu wel te verantwoorden... ben benieuwd hoe de prestaties zijn van bijde bedrijven na de patches...misschien profiteert AMD hiet wel van.

[Reactie gewijzigd door solozakdoekje op 23 juli 2024 05:43]

Wildfire

@solozakdoekje • 4 januari 2018 11:15

AMD Is ook getroffen (Spectre, niet door Meltdown). Dus echt een oplossing is een overstap naar AMD ook niet...

solozakdoekje @Wildfire • 4 januari 2018 11:17

We wachten wel op de bench marks van zowel amd als intel als het gaat om de prestaties verschillen na de patches...

Anoniem: 200498 @Wildfire • 4 januari 2018 11:19

De performance-impact is aldus AMD "negligible", dus wel een betere optie dan Intel.
"Variant One / Bounds Check Bypass / Resolved by software / OS updates to be made available by system vendors and manufacturers. Negligible performance impact expected."

Pinkys Brain @Wildfire • 4 januari 2018 11:25

Als AMD zoals gezegd word alleen maar binnen een proces lekt is dat toch echt wel veel minder serieus.

Auteur

duqu @ShellGhost • 4 januari 2018 10:50

Klopt, ik heb de tekst enigszins aangepast.

Anoniem: 498327 @duqu • 4 januari 2018 10:57

Hoe zit het met PowerPC?

SSDtje

@Anoniem: 498327 • 4 januari 2018 14:07

Ja IBM PowerPC Chips/CPU's zijn vatbaar voor Spectre, Spectre beïnvloedt:
-AMD
-Intel
-ARMA
-IBM PowerPC
-IBM Z-series
-SPARC
-Qualcomm
Bron = reddit.com
Al vraag ik me nu wel plots af of VIA CPU's hier geen last van ondervinden, maar als ik de reactie van @Squee dan zo lees, dan ga er maar dik vanuit dat dit ook op VIA cpu's van toepassing gaat zijn.
Aangezien ook de chips van VIA van de micro proccessor architecturen gebruik maken waar @Squee over spreekt.

Kon er nog wat meer interessante info over vinden overigens:
Klik = Intel Investor Call Regardingg Security Reearch Findings
klik = Goolge Project Zero: Reading privileged memory with a side-channel (vandaag nieuw geplaatst)
Meltdown & Spectre leesvoer (voor de mensen die echt het fijne er vanaf willen komen te weten, waaronder ikzelf)

En deze 2 inmiddels ook nog kunnen vinden op Wikipedia:
- Meltdown
- Spectre

Edit: reactie later vandaag nog eens weer aangevuld.

[Reactie gewijzigd door SSDtje op 23 juli 2024 05:43]

ddt15 @SSDtje • 4 januari 2018 14:37

Euh doe me dan maar een SPARC?

nelizmastr @monojack • 4 januari 2018 11:24

De Power architectuur is toch echt van IBM en een stuk breder dan die pakweg 10 jaar dat Apple eraan heeft meegedaan. Er draaien nog hele parken op de Power chips. Grapjas.

EXX @ShellGhost • 5 januari 2018 10:24

Dus ook het oudje wat ik nog thuis heb staan, voorzien van een Tualatin Celeron? Single core CPU zonder HT. Het moet niet gekker worden....

ShellGhost @EXX • 5 januari 2018 10:49

https://www.intel.com/pressroom/kits/quickrefyr.htm#1995
Alles daarvoor is goed. Niet vooruit te branden in tegenwoordige termen, maar wel safe.

ger jansen @ShellGhost • 4 januari 2018 11:01

Nix nieuws dus onder de zon, en zo blijf ik herhalen, alles wat zich op het internet bevind, is niet te beveiligen.

Anoniem: 172803 @ShellGhost • 5 januari 2018 00:08

Kan ik nu Apple aanklagen omdat mijn Mac Mini uit 2006 niet veilig is?

Wildfire

4 januari 2018 11:17

Ik zie dat voor Windows de patch ondertussen live is... https://support.microsoft...ndows-10-update-kb4056892

Dat wil zeggen, de patch voor de Meltdown bug. Voor Spectre nog niets maar dat schijnt ook lastiger te patchen zijn...

---

Komt zojuist op mijn systeem binnen en ik zie niet in de Fast Ring ofzo.

[Reactie gewijzigd door Wildfire op 23 juli 2024 05:43]

XRayXI @Wildfire • 4 januari 2018 13:05

"Due to the severity, KB4056892 (OS Build 16299.192) will be downloaded and installed automatically by Windows Update on Windows 10 machines (standalone package here). Windows 8 and 7 users should also be getting the fix today, but the auto patching via Windows Update is happening next Patch Tuesday. (Note: Windows Insiders on the fast ring already got the patches in November.)"

Ook zo "grappig".

satya @Wildfire • 4 januari 2018 14:26

Volgens mij bevat dit niet een patch tegen #meltdown of #spectre.

Wildfire

@satya • 4 januari 2018 14:38

Dat is dus wel wat ik op veel plekken lees. De update omschrijving bij Microsoft zelf geeft ook aan dat het security updates voor de kernel bevat.

ShellGhost 4 januari 2018 13:29

Stukje interessant leesvoer: https://cyber.wtf/2017/07...el-memory-from-user-mode/
Dit is de aanleiding van dit alles. Gaat zeer diep in op de materie, dus wees gewaarschuwd.

magicsam 4 januari 2018 13:32

Interessant artikel hierover op TechCrunch

De laatste alinea beschrijft goed hoe deze situatie is ontstaan: Jaren lang focus op performance, waarbij complexe optimalisaties beveiligingsrisico's geïntroduceerd hebben.

-ION- 4 januari 2018 16:12

Voor de mensen die benieuwd zijn of hun CPU PCID (een technologie die er mogelijk voor zorgt dat de performance impact van de patch kleiner is) ondersteunt heeft Microsoft een checker gemaakt die werkt via PowerShell
https://support.microsoft...t-against-speculative-exe

Open PowerShell als admin

Install-Module SpeculationControl

powershell -ExecutionPolicy ByPass; Import-Module SpeculationControl _{(deze moest ik zelf uitvoeren om hem aan de praat te krijgen}

Get-SpeculationControlSettings

[Reactie gewijzigd door -ION- op 23 juli 2024 05:43]

randomnumber @-ION- • 4 januari 2018 17:00

Het werkt op windows 10, echter op server OS'n heb ik het nog niet aan de gang gekregen helaas.

Jan121 4 januari 2018 16:56

De Raspberry Pi lijkt niet getroffen door de bugs.

Anoniem: 84213 4 januari 2018 11:02

Nee, nee Tweakers; de variant Spectre treft niet cpu-fabrikanten maar processorarchitecturen.

Vervolgens laten jullie na te vermelden dat volgens het statement van AMD hun architectuur niet of nauwelijks vatbaar is. Alleen maar een link plaatsen vind ik gezien de nieuwswaarde veel te mager.

Het statement van AMD moet uiteraard met de nodige zoutvaatjes gelezen worden maar de exploits zijn zover mij bekend niet werkend te krijgen op Zen. Volgens de publicatie van de onderzoekers bij Google zijn de A10 en FX processors wel vatbaar.

Admin-edit:Spelfouten en/of ander commentaar m.b.t. nieuwsposts horen thuis in
Geachte Redactie.

[Reactie gewijzigd door Dirk op 23 juli 2024 05:43]

Toettoetdaan @Anoniem: 84213 • 4 januari 2018 11:26

De A10 en FX processors zijn dus alleen vatbaar als de eBPF JIT compiler ingeschakeld is, wat standaard niet het geval is. Dat is iets wat je niet voor de grap of perongeluk aanzet.

Dat terwijl Intel processoren ook vatbaar zin als de eBPF JIT compiler uitgeschakeld is, wat wel standaard is.

NL_Windhoos @Anoniem: 84213 • 4 januari 2018 11:37

Het artikel van spectreattack.com stelt het volgende:

"We have empirically verified the vulnerability
of several Intel processors to Spectre attacks, including
Ivy Bridge, Haswell and Skylake based processors.
We have also verified the attack’s applicability
to AMD Ryzen CPUs. Finally, we have also successfully
mounted Spectre attacks on several Samsung and
Qualcomm processors (which use an ARM architecture)
found in popular mobile phones."

Squee

Arm
Security

@Anoniem: 84213 • 4 januari 2018 13:54

Nee, nee Tweakers; de variant Spectre treft niet cpu-fabrikanten maar processorarchitecturen.

Je maakt opzich wel een goed punt (ondanks de mod-break), want er zijn hier drie dingen die belangrijk zijn om goed uit elkaar te houden. Ik merk dat daar nog wel eens verwarring over bestaat bij de reacties hier op Tweakers. Ik zal het nog eens uitleggen, en ook proberen te duiden hoe het van toepassing is op de gevonden problemen.

Er zijn drie dingen hier belangrijk om uit elkaar te houden:

CPU Fabrikanten: Intel, AMD, ARM, Qualcomm, IBM, etc
Processor architecturen (of ISA's*): IA32, x86-64, IA64, ARMv8 Aarch64, ARMv8 Aarch32, POWER, SPARC v9, etc**
Processor micro-architecturen: Haswell, Skylake, Kaby Lake, Ryzen, Bulldozer, Cortex-A75, Cortex-A53, POWER8, SPARC M8, etc

* Instruction Set Architecture
**: Dit zijn zelfs strict genomen Architectuur/ISA "families", aangezien je verschillende versies/generaties hebt met architecturele uitbreidingen die wel backwards compatible zijn. Een goed voorbeeld is de toevoeging van de verschillende SSE extensies in IA32 en x86-64.

De ISA of processor architectuur specificeert de hardware/software interface die een processor moet ondersteunen; met andere woorden, welke instructies een processor kan uitvoeren, wat deze precies doen, welke gewone registers er zijn, wat voor speciale state registers er zijn, wat de interface is om de MMU in te stellen en dergelijke. Dit is de informatie die je compiler nodig heeft om een programma te kunnen compileren naar een specifieke versie van een instructie set, om een programma op een processor te kunnen draaien.

De processor micro-architectuur is de specifieke implementatie van een ISA. Dit is inclusief de mechanismen in een processor die de instructies uitvoeren, en is ook de grootst bepalende factor in de uiteindelijk performance van een systeem. Micro-architecturen evolueren ook over tijd, zo was Haswell een vrij grote verandering, maar is er tussen Skylake en Kaby Lake maar weinig op micro-architectuur niveau veranderd. Zo is er ook een groot verschil tussen de micro-architectuur van de Pentium MMX ("P55C", in order, 2-way superscalar), en de Pentium Pro ("P6", out of order, 3-way superscalar). AMD's Ryzen en Intel's Kaby Lake processoren implementeren allebei een variant van de x86-64 processor architectuur, maar hebben een verschillende micro-architectuur, en een verschillende CPU fabrikant.

Ten eerste de Meltdown bug. Een deel daarvan is afhankelijk van de IA32/x86-64 processor architectuur definitie, aangezien die specificatie er toe heeft geleid dat er in de meeste OS implementaties tegelijkertijd een kernel space en user space adres mapping in de MMU aanwezig is. Maar vanwege backwards compatibility kan je dat niet zomaar wijzigen; dat zijn tevens de voor en nadelen van een processor architectuur. Dat is alleen niet het gehele verhaal; het feit dat bepaalde generaties van Intel's micro-architecturen die out-of-order executie implementeren ook informatie blijken te kunnen lekken tijdens speculatieve instructies is nodig om tot een succesvolle exploit te komen. Ook Spectre is compleet gebaseerd op micro-architectureel gedrag.

Kort samengevat; er kan gesteld worden dat "processors van fabrikant <X>" kwetsbaar zijn voor Meltdown of Spectre, maar het is veel nuttiger om te praten welke micro-architecturen er *specifiek* kwetsbaar zijn. Uitlatingen dat een specifieke processor architectuur/ISA wel/niet kwetsbaar is zijn riskant; al zou een ISA met een beter MMU model wel waarschijnlijk Meltdown kunnen voorkomen, maar Spectre vermoed ik niet.

Auteur

duqu @Anoniem: 84213 • 4 januari 2018 11:29

Dank, ik zal het stuk over AMD nog enigszins uitbreiden. Wilde dat eigenlijk in een uitgebreider stuk doen. Processorarchitecturen is inderdaad treffender, al is zo ook duidelijk wat er wordt bedoeld.

Sniffels 4 januari 2018 10:45

Nog een hoop onduidelijk.. Patch van MS op 3 jan alleen met sommige antivirus partners, welke zijn dat? Welke modellen processoren zijn betrokken? Lees iets over alleen de 32bits processoren? Moet ik mij zorgen maken?

riesm @Sniffels • 4 januari 2018 11:31

Voor Windows moeten de antivirusmakers deze key hebben gezet in de registry, om de fix mogelijk te maken:

Key=Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD”
Data="0x00000000”

Meer info op https://support.microsoft...ndows-10-update-kb4056892

[Reactie gewijzigd door riesm op 23 juli 2024 05:43]

Lordfox73 @riesm • 4 januari 2018 16:30

Maar wees voorzichtig als deze key niet gezet is, en je gaat het zelf doen omdat je de update wilt: je riskeert dan STOP errors :-)

Kees BOFH

Netwerk en systeembeheer

@Sniffels • 4 januari 2018 10:57

Welke modellen processoren zijn betrokken? Lees iets over alleen de 32bits processoren?

Voor het gemakt; Alles sinds ~95 Dus ook de 64 bits cpu's

Moet ik mij zorgen maken?

Zorg dat je uptodate blijft met je OS en AV. Veel meer kun je als gewone gebruiker niet doen.

Ja, je bent nu hoogstwaarschijnlijk nog kwetsbaar zoals ze zo eloquent op de bug pagina in de faq zeggen:

Am I affected by the bug?
Most certainly, yes.

En natuurlijk zo snel mogelijk het advies van CERT opvolgen: https://www.kb.cert.org/vuls/id/584653

Solution
Replace CPU hardware

enver63

@Kees • 4 januari 2018 11:15

En natuurlijk zo snel mogelijk het advies van CERT opvolgen: https://www.kb.cert.org/vuls/id/584653

Solution
Replace CPU hardware

Dan moet je er snel bij zijn op ebay.

Dutch2007 @enver63 • 4 januari 2018 11:57

meh

serie: Ryzen Ryzen is immers niet kwetsbaar (A)

ShellGhost @Dutch2007 • 4 januari 2018 13:24

Voor Meltdown is die veilig, maar niet voor Spectre.

Wailing_Banshee

@ShellGhost • 4 januari 2018 14:18

Ik kan nergens de Zen vinden, alle sites hebben het alleen over AMD PRO en FX processoren.

mzziol @ShellGhost • 4 januari 2018 14:22

Al een paar keer eerder gezegd in deze draad, maar AMD is alleen vatbaar als eBPF JIT aan staat. Dit is standaard niet het geval, en zal ook niet door de gemiddelde gebruiker aangezet worden. Overstappen naar Ryzen helpt dus wel degelijk

Jerie

@enver63 • 4 januari 2018 17:53

Sorry hoor, en ik ben erg voor tweedehands gebruik, maar wat een idiote prijzen voor dergelijke oude meuk. Zonde van je geld.

Sniffels @Kees • 4 januari 2018 11:30

Replace CPU hardware.. Was een mooie geweest bij VAG Dieselschandaal

Jerie

@Kees • 4 januari 2018 17:49

Zorg dat je uptodate blijft met je OS en AV. Veel meer kun je als gewone gebruiker niet doen.

Sommige AV zorgt er juist voor dat je de patch voor Windows 10 nog niet binnenkrijgt omdat hij niet zou werken met [die] AV.

Je hebt enkele keuzes:

1) Wachten
2) AV uitzetten
3) (Tijdelijk) switchen naar een AV die wel werkt zoals Windows Defender

Erik1971 @Kees • 4 januari 2018 11:58

Eens kijken of ik nog een Commodore Amiga op de kop kan tikken, als vervanging van CPU

(Of elke andere PC die nog op een Motarola 68000 draait)

SuperKneus @Sniffels • 4 januari 2018 11:41

Voor symantec ben ik dit tegengekomen

https://www.symantec.com/...ist_context_type=sc_forum

Als ik de issue goed begrijp zal de antivirus partner eerst met een update moeten komen voordat de MS Patch geinstalleerd kan worden.

verdroidnogaan2 @SuperKneus • 4 januari 2018 13:26

Is al gebeurd. (op mijn pc tenminste.) Kan je checken door te checken of deze key aanwezig is:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000".

Had inmiddels ook de MS-update voor mijn Win7 geïnstalleerd maar daarna werkte Sandboxie niet meer, dus die heb ik er maar weer af gegooid.

Lordfox73 @Sniffels • 4 januari 2018 10:55

Begin maar gewoon met je zorgen te maken, dan kan het alleen maar meevallen :-)

Het vervelende is dat ze inderdaad die lijst met AV vendors niet (willen/kunnen/mogen) geven. Het feit dat je de patches niet meteen krijgt kan ook een logistiek probleem zijn.

In ieder geval lijkt het me in dit geval bijzonder verstandig om de patches z.s.m. te installeren op je syste(e)men. Er zijn zoveel systemen bij betrokken dat het voor ongure lieden wel heel erg aantrekkelijk is om hier misbruik voor te bouwen...

Tadream @Sniffels • 4 januari 2018 15:37

Voor Trendmicro (o.a. Officescan):
https://success.trendmicro.com/solution/1119183

We zitten op Officescan XG dus we zouden de registry key al kunnen doorvoeren bij onze gebruikers, maar ik lees dat ze ook met patches aan het kijken zijn, dus mogelijk met een patch update van Officescan zelf komt die registry key er ook in.
Voor je antivirus leverancier dus even het laatste nieuws goed in de gaten houden.

Sniffels @Tadream • 4 januari 2018 16:19

tnx !

thomaz120 4 januari 2018 13:02

Ik ben wel benieuwd hoe groot het gevaar is voor een gewone consument, want moeten hackers het bijvoorbeeld echt op jou gemunt hebben of kunnen ze gegevens van hele groepen tegelijk inzien?

Hopelijk komt daar nog meer informatie over, en komt er sws snel een oplossing.

NaliXL @thomaz120 • 4 januari 2018 13:24

Er zijn werkende implementaties in javascript, volgens bovenstaand artikel. Dat houdt in dat er niet veel meer dan een bezoek aan een website voor nodig is om een systeem aan te vallen. Met name malafide advertenties/banners lenen zich perfect om dit soort scripts snel te verspreiden.
M.a.w. een hele groep kan binnen no-time doelwit zijn.

thomaz120 @NaliXL • 4 januari 2018 13:42

Dus in ieder geval ad-blocker gebruiken

Tennie @thomaz120 • 4 januari 2018 16:42

- Adblocker downloaden en installeren
- Windows update KB4056892 downloaden https://www.catalog.updat...m/Search.aspx?q=KB4056892
(of insider preview versie 17063.1000 en de laatste updates)
- In Chrome aanzetten: chrome://flags/#enable-site-per-process (of wachten tot Chrome 64)
- Afwachten tot Intel de laatste Chipset drivers uitbrengt.
Of een wat rigoureuzere voorzorgsmaatregel:
- AMD Ryzen Processor kopen (zie pricewatch, nee ik probeer geen reclame te maken

)

[Reactie gewijzigd door Tennie op 23 juli 2024 05:43]

NaliXL @Tennie • 4 januari 2018 22:09

- AMD Ryzen Processor kopen

Gaat niet helpen. De spectre bug (die o.a. via javascript kan werken) is multiplatform, waaronder AMD.

Anoniem: 172803 @NaliXL • 5 januari 2018 00:12

Dan ga ik maar weer een Commodore C 16 gebruiken

Op dit item kan niet meer gereageerd worden.

Onderzoekers openbaren details van lekken in moderne cpu's van Intel, AMD en ARM

Lees meer

Reacties (303)

Sorteer op:

Weergave: