Drie nieuwe ernstige 'L1TF'-kwetsbaarheden in Intel-processors ontdekt

Intel heeft bekendgemaakt dat er drie nieuwe ernstige kwetsbaarheden zijn ontdekt in zijn processors, waarmee ongeautoriseerd toegang is te verkrijgen tot data in de L1-cache. De kwetsbaarheden krijgen de naam L1 Terminal Fault, ofwel L1TF.

Intel maakt het bestaan van de L1TF-kwetsbaarheden bekend in een aankondiging en heeft een pagina online gezet met informatie over de maatregelen die zijn genomen. Alle technische details over de nieuwe side channel-aanvallen heeft Intel gepubliceerd in een whitepaper over L1TF. De kwetsbaarheden zitten zowel in consumentenprocessors als in Xeon-serverprocessors.

De eerste twee varianten hebben betrekking op de Intel Software Guard Extensions en de System Management Mode. Volgens Intel zijn beide op te lossen met microcode en software-updates en zijn die al uitgebracht. De aanpassingen in de microcode zijn al eerder dit jaar gedaan en de updates voor besturingssystemen zijn dinsdag uitgebracht.

CVE Naam Ernst Score
CVE-2018-3615 L1 Terminal Fault-SGX Hoog 7.9
CVE-2018-3620 L1 Terminal Fault-OS/ SMM Hoog 7.1
CVE-2018-3646 L1 Terminal Fault-VMM Hoog 7.1

De derde L1TF-variant heeft betrekking op virtuele machines en hoewel ook daar mitigations voor zijn uitgebracht, stelt Intel dat hier afhankelijk van de situatie 'verdere maatregelen' nodig zijn. Dat geldt voor omgevingen waarbij niet gegarandeerd kan worden dat alle virtuele machines voorzien zijn van besturingssystemen met gepatchte kernels. Een mogelijke maatregel is het gebruik van Core Scheduler in Windows Server 2016, of het in zijn geheel uitschakelen van Hyper-Threading.

Intel claimt dat de genomen beveiligingsmaatregelen weinig invloed hebben op de prestaties en toont benchmarks van verschillende scenario's voor en na het doorvoeren van de patches. Ook Red Hat heeft cijfers gepresenteerd en toont dat het uitschakelen van Hyper-Threading een grote negatieve invloed kan hebben op de prestaties. Bij consumenten-pc's is die maatregel niet aan de orde.

De eerste kwetsbaarheid, CVE-2018-3615, is ontdekt door onderzoekers van universiteiten, waaronder de KU Leuven. Zij presenteren de aanval onder de noemer Foreshadow en hebben een website ingericht met een paper en demonstratievideo's. De onderzoekers van KU Leuven hebben hun bevindingen op 3 januari 2018 gedeeld met Intel. Beveiligingsonderzoekers van Intel vonden daarna zelf de twee andere, gerelateerde kwetsbaarheden.

De publicatie van de nieuwe kwetsbaarheden is door de beveiligingsonderzoekers, Intel en softwarebedrijven gecoördineerd. Dinsdagavond hebben verschillende partijen hun analyses online gezet. Microsoft beschrijft L1TF op zijn Technet-blog en Oracle heeft informatie online gezet over welke van zijn producten getroffen zijn. Ook Red Hat beschrijft de kwetsbaarheden. Volgens Intel zijn er geen gevallen bekend van misbruik van de lekken.

Video van Intel met eenvoudige uitleg over L1 Terminal Fault


Uitgebreidere L1TF-uitleg van Red Hat

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 14-08-2018 21:10
160 • submitter: Muncher

14-08-2018 • 21:10

160 Linkedin

Submitter: Muncher

Lees meer

Whiskey Lake-cpu's hebben hardwarematige bescherming tegen Meltdown en L1TF Nieuws van 30 augustus 2018
Intel haalt verbod op benchmarks uit voorwaarden Linux-microcode Nieuws van 24 augustus 2018
Intel-voorwaarden verbieden benchmarks bij nieuwe Linux-microcode voor cpu's Nieuws van 23 augustus 2018
Intel licht hardwarematige Spectre- en Meltdown-bescherming in Cascade Lake toe Nieuws van 20 augustus 2018
Onderzoekers beschrijven Spectre-aanval die informatie via netwerk buitmaakt Nieuws van 27 juli 2018
Intel spreekt tegen dat nieuwe SpectreRSB-aanvallen huidige bescherming omzeilen Nieuws van 24 juli 2018
Onderzoekers ontvangen Intel-beloning voor nieuwe Spectre-kwetsbaarheid Nieuws van 11 juli 2018
OpenBSD schakelt HyperThreading standaard uit bij Intel-processors Nieuws van 20 juni 2018
Intel waarschuwt voor nieuw lek in Core-processors dat gegevens prijsgeeft Nieuws van 14 juni 2018
Onderzoekers onthullen vierde variant van Spectre- en Meltdown-lekken Nieuws van 22 mei 2018
Meer producten en artikelen
Beveiliging en antivirus Intel

Reacties (160)

-Moderatie-faq
160
150
63
7
0
52
Wijzig sortering
AnonymousWP
14 augustus 2018 21:13
Voor Windows is dit in de nieuwe cumulatieve update van Windows 10 opgelost, die vandaag is aangekondigd:

[Reactie gewijzigd door AnonymousWP op 14 augustus 2018 21:16]

Henk Poley
@AnonymousWP14 augustus 2018 22:50
Je hebt daarnaast ook nog een microcode patch nodig voor Windows 10: https://support.microsoft...f-intel-microcode-updates

Of natuurlijk een BIOS update met een recente microcode.
RAAF12
@Henk Poley15 augustus 2018 03:32
De L1 patch kwam vannacht (15-8) binnen via handmatig updaten in Windows 10 en daarin wordt een microcode update niet genoemd.
Henk Poley
@RAAF1215 augustus 2018 08:25
Onderaan hun pagina voor Speculative Execution staan inmiddels 3 nieuwe links:Daarin staat dat microcode patches nodig zijn om SGX en de 'Hyper-V' hypervisor te beschermen. Die microcode update zijn dus ook nodig als je de nieuwe Virtualization Based Security (VBS) beveiliging-methoden gebruikt. Zoals de optie 'Kernisolatie' / 'Geheugenintegriteit' ('Core isolation' / 'Memory integrity') in Windows Defender. Dat staat meestal automatisch aan onder Windows 10 1803 op systemen van de laatste 3 jaar, maar kan ook werken op alle systemen met hardware gebaseerde virtualisatie, als de drivers correct met hun geheugen omgaan.

En SGX schijnt bijvoorbeeld (mits aanwezig) gebruikt te worden door Netflix om hun DRM code in te laden.

[Reactie gewijzigd door Henk Poley op 15 augustus 2018 08:43]

Macron
@AnonymousWP14 augustus 2018 22:22
En voor Windows 7
quantumleapje
@AnonymousWP14 augustus 2018 21:15
In Windows... De wereld is groter dan Windows!
Fastfreddy666
@quantumleapje14 augustus 2018 22:06
Windows draait op 88% van de PCs. Hebben we nog een paar "dwarselingen" die draaien op OSX 9%. Blijft over voor Linux 2% en overig 1% (chrome OS ed)

Probleem is dat je zoveel distrbuties hebt dat het wat lastig wordt ze individueel te noemen maar omdat jij het bent..Canonical heeft al een patch voor Ubuntu:

https://blog.ubuntu.com/2...nal-fault-vulnerabilities

Redhat heeft een filmpje die uitlegt hoe het zit. Patch volgt asap

https://www.youtube.com/w...continue=16&v=kqg8_KH2OIQ

Kernel "freaks" zagen deze commit misschien voorbijkomen:

https://git.kernel.org/pu...6d6adf9c1e17aa2d&anz=show

Kernel Developer Thomas Gleixner noemt het "yet another speculative hardware engineering trainwreck" Sounds about right. Intel is goed bezig de laatste tijd,

We hebben natuurlijk ook Linux (Kernel) nieuws site phoronixdie bij elke Linux gebruiker in de favorieten zou moeten staan: https://www.phoronix.com/...item&px=L1-Terminal-Fault

Met de linux gebruikers komt het wel goed. Die zijn vaak niet zo dom als ze er uitzien ;)
Wodanford
@Fastfreddy66614 augustus 2018 22:20
Blijft over voor Linux 2%
Pc's ja, thuisgebruik. Maar Linux draait op tientallen procenten van de (web)servers.Bron Daarnaast draait Linux op alle supercomputers in de Top 500 waarvan een flink deel gebruik maakt van de getroffen processoren.Bron

[Reactie gewijzigd door Wodanford op 14 augustus 2018 22:22]

Ayporos
@Wodanford15 augustus 2018 01:01
Ik neem aan dat die supercomputers niet achter een consumentenroutertje direct aan het internet verbonden zijn en dat jan en alleman die geen verstand van zaken hebben niet zomaar toegang tot die systemen heeft als ook dat er niet niet iemand is die een beetje oplet wat er allemaal gebeurt op zo'n systeem/cluster :+

Je punt is uiteraard valide.. maar het is nou eenmaal zo dat het gewoon het meest relevant is om dit nieuws te richten aan Windows gebruikers.
- mac gebruikers boeit het niks, die gaan er van uit dat hun machtige Apple overlords het wel fixen (en zo niet, tja "dan had je maar voor extended apple care moeten betalen" :+ ...)
- linux gebruikers weten het waarschijnlijk al van andere bronnen dan tweakers
- server/supercomputer systeem beheerders worden betaald om dit te weten, en die zullen dus de nieuwsblogs/patches van hun server OS's bij hebben gehouden en ook al op de hoogte zijn
Wodanford
@Ayporos15 augustus 2018 01:49
Mijn punt is dat ik vaker hoor dat Linux maar door een paar procent van de consumenten gebruikt wordt en daarmee irrelevant is. Dat is pertinente onzin om meerdere redenen. Dat Windows veel meer gebruikt wordt door gebruikers die minder nieuws op dit gebied volgen of begrijpen, laat staan op tijd maatregelen nemen, staat buiten kijf.

Overigens gebeurt het vaker dat misbruik gemaakt kan worden van kwetsbaarheden doordat systeembeheerders hun werk niet doen. :+ Op de hoogte zijn en daar actie op ondernemen, zijn twee dingen. Voorbeeld
Ayporos
@Wodanford15 augustus 2018 04:26
Ben het met je eens op allebei je punten, dat zeer zeker.

Linux is uiteraard zeer relevant, net zo zeer als BSD of andere OS vormen die zich beter lenen tot server/'power'usage als ook het feit dat je Linux prima kunt gebruiken als daily driver en zelfs om mee te gamen (als je een beetje computer savvy bent).. en dat geld in principe ook voor OSX uiteraard (het feit dat ik pertinent anti-Apple ben is irrelevant..).

Dat van die onbekwame systeembeheerders is zeer schadelijk voor de IT community in zijn geheel... ik begrijp dat menig PC-savvy persoon nogal eens de neiging heeft om een beetje laconiek naar non-savvy mensen te zijn omdat ze toch niet weten/begrijpen of je wél of níet goed je werk doet.. en dat is dan ook een beetje het issue natuurlijk.

Als jij een systeembeheerder bent van een klein MKB.. hoe gaat een of andere manager dan weten of jij up to date bent van alles en de juiste veiligheids-, backup- en voorzorgmaatregelen treft en getroffen hebt voor een robuuste en veilige IT infrastructuur? Wie controleert dat, en hoe?.. ja wanneer er een issue is dán komt de kat uit de zak uiteraard en val je door de mand maar kunnen we niet wat meer pro-actief sturen op goed IT beleid? Mijns inziens word daar niet genoeg aan gedaan, en de GDPR is slechts een zeer kleine stap in de juiste richting maar treft maar een klein gedeelte van het overkoepelende orgaan genaamd 'IT'.
Valen_76
@Ayporos15 augustus 2018 09:00
"Kat uit de mouw" bedoel je. "Kat in de zak kopen" betekend dat je een nieuwe server aanschaft en de dag er na blijkt er een bug in te zitten die noodzaakt de helft van je capaciteit uit te schakelen. ;)
supersnathan94
@Valen_7615 augustus 2018 09:24
*aap uit de mouw.

Dat is de grap van de gemaakt contaminatie. Samentrekking van aap uit de mouw en kat in de zak. Dubbel zo "niet jarig" als maar kan zijn. ;)
Valen_76
@supersnathan9415 augustus 2018 09:51
Touché, heb mijn eigen spreekwoorden dus ook niet op orde. |:(

[Reactie gewijzigd door Valen_76 op 15 augustus 2018 10:08]

Ayporos
@Valen_7615 augustus 2018 14:21
Ja dat is natuurlijk de grap.. de baas koopt een kat in de zak (systeemadmin/programmeur(s)) en pas wanneer er wat mis gaat en de hele IT infrastructuur crasht en/of alle klantgegevens op straat liggen ziet die baas pas dat hij een kat in de zak gekocht had. :+

(ahum... jaaa.. dat was opzettelijk hoor dat vernachelen van die spreekwoorden.. O-) )
svennd
@Wodanford15 augustus 2018 06:51
Oja blaim de sysadmin... 6 weken to production is niet 'ample time'. De patch doorvoeren in dat geval was kinderspel, maar op live production kan je niet zomaar alles pushen. Hoeveel sysadmin krijgen extra taken ? Omdat alles toch automatisch gaat ?
WhiteDog
@svennd15 augustus 2018 11:15
En heb je uiteindelijk alles getest, geraken de patches niet geïnstalleerd door wat vage SCCM problemen en buggy features :)
Dunky13
@Ayporos15 augustus 2018 08:34
Ik neem aan dat die supercomputers niet achter een consumentenroutertje direct aan het internet verbonden zijn en dat jan en alleman die geen verstand van zaken hebben niet zomaar toegang tot die systemen heeft als ook dat er niet niet iemand is die een beetje oplet wat er allemaal gebeurt op zo'n systeem/cluster :+
Ik werkte voeg jaar voor een supercomputer manufacturer en we kregen bericht dat er bij een van de klanten een botnet een cryptominer draaide.
Na wat onderzoek bleek dat het achter een standaard router hing met port forwarding en en gedeeld standaard account voor aan *Facepalm*

Dus zelfs bij klanten met een supercomputer kan het fout gaan...

- Ik weet helaas de details er niet van gezien dat buiten mijn team viel, maar we hebben wel gelachen.
- Weet dus ook niet hoeveel er aan verdient is. Lijkt me wel leuk op zo'n machine een cryptominer te draaien.
blinchik
@Wodanford15 augustus 2018 10:59
Om nog maar te zwijgen over de gigantische aantallen tv-decoders of settop boxen, televisies (toch de kernel), air traffic control (eigen ervaring), home routers of zelfs professionele firewalls, ijskasten, auto's, internet radio's... de wereld is zelfs niet alleen groter dan home-pc's en thuis gebruik, de wereld is veel groter dan PC's :-)

Je zou zelfs kunnen stellen dat het heel moeilijk is om een gezin te vinden dat geen Linux heeft draaien thuis (alhoewel men het meestal niet weet), zeker met de huidige digitale televisie.
lodew
@blinchik16 augustus 2018 10:36
en hoe veel van die spullen draaien op x86?
Fastfreddy666
@Wodanford14 augustus 2018 22:37
De desktop bedoel ik inderdaad. Dat hoeft niet perse thuisgebruik te zijn. Ik ken wel een aantal (kleine) bedrijven die met Linux op de desktop draaien.

Ik draai niet mijn eigen Apache server dat heb ik uitbesteed aan een webhoster. Het is dus hun probleem. Ik begin pas te zeiken als de website down gaat ;)
kamisama
@Neko Koneko15 augustus 2018 04:03
Toch raar hoe perceptie kan verschillen. Persoonlijk gebruik ik linux al sinds midden jaren 90. Tijd genoeg dus om meermaals in problemen te raken (lees de boel zelf om zeep te helpen).

Een van de dingen waar ik de Linux community enorm voor apprecieer is nu net dat er altijd wel iemand is die je verder op weg helpt. Nuja dit neemt niet weg dat elke community wel een paar rotte appels heeft, maar als totaal plaatje is de linux community toch wel de laatste waarvan ik zou zeggen dat ze niet behulpzaam is.
Rev-anche
@Neko Koneko15 augustus 2018 02:02
Linux fanaten?
Wodanford, stel hier m,i een legitieme vraag, cq, correctie t.o.v Fastfreddy666!
Wat het lek in de Intelprocessoren betreft, kunnen die alsnog ontdekt worden bij de AMD tegenhangers, met hu equivalent van Multi threading cores!?
:Y)
kamisama
@Rev-anche15 augustus 2018 04:18
Zowel AMD als Intel gebruiken "speculative execution". Mij lijkt het dus toch nog steeds niet volledig uit te sluiten. Echter, ik acht de kans klein, zeker op systemen die gepatcht zijn voor spectre en meltdown.
lonewolf2nd
@Neko Koneko15 augustus 2018 09:52
Ik heb linux geprobeerd, maar het is niet mijn ding en vind windows prettiger. Echter toen ik linux er op zette en wat problemen had. Kon ik alle informatie krijgen van de community om ze op te lossen.
psychicist
@Neko Koneko15 augustus 2018 13:49
Dat is dus helemaal niet het geval. Het is lekker gemakkelijk om het slachtoffer te gaan lopen spelen, maar het is gewoon een feit dat je bij Linux zelf kunt bijdragen om problemen op te lossen, mits je uiteraard voldoende kennis bezit.

Als dat niet geval is, lost meestal de producent van je distributie de problemen voor je op en hoef je alleen maar de updates te installeren op het moment dat ze vrijgegeven worden.

Het zal de meeste Linuxgebruikers en -ontwikkelaars verder worst zijn wat Intel, Microsoft of welk eender partij doet of naar buiten brengt, zolang de veiligheid en stabiliteit van hun systemen maar gegarandeerd is. In dezen heeft Intel verzaakt, het is nu aan het bedrijf om de door henzelf gecreëerde problemen op te lossen. Niets meer en niets minder.
Fredi
@Fastfreddy66615 augustus 2018 09:53
Ik vraag mij af waarom er nu plots zoveel kwetsbaarheden in Intel-processors worden gevonden. Wordt er niet meer op gefocust dan vroeger omdat er vroeger toevallig een kwetsbaarheid in de cpu's is gevonden?
DutchMuffin90
@quantumleapje14 augustus 2018 21:17
Klopt, maar die informatie is voor een groot deel van de tweakers (laat staan computer gebruikers) nog het meest relevant

edit: spelfout

[Reactie gewijzigd door DutchMuffin90 op 14 augustus 2018 21:18]

AnonymousWP
@quantumleapje14 augustus 2018 21:17
Als je zo wilt azijnpissen :p. Heb het aangepast.
Bench
@quantumleapje15 augustus 2018 16:05
Zoals? Mac OS :O
My-life
@quantumleapje14 augustus 2018 21:23
Als je Windows weghaalt wordt deze wereld wel héél klein.
svennd
@My-life15 augustus 2018 06:54
Wel als je Linux weghaalt, gaat ook de stroom water en vrijwel alle infrastructuur weg. Oja en mobiele telefoons.
Qalo
@svennd15 augustus 2018 14:18
Geen Google meer, geen Facebook meer, verdomd weinig websites overgebleven, praktisch geen internet meer..... en ga zo maar door. Alles om je heen is Linux, behalve (bij de meerderheid van de mensen) op je computer. ;)
tedades
@svennd15 augustus 2018 22:49
Daarnaast zijn sommige van deze issues erg relevant voor virtualisatie. Lijkt me dat het gros van de desktops die Windows draaien dat niet doen.
psychicist
@My-life15 augustus 2018 13:51
Ik zou het niet weten, omdat ik het nooit gebruik. Betekent dat dat we in twee verschillende werelden wonen?
My-life
@psychicist15 augustus 2018 13:57
Het is bijna wel zeker dat je het wel gebruikt. Ga je bijvoorbeeld weleens pinnen of kijk je weleens naar een informatie monitor? ;-)
Ik zeg niet dat Linux niet onmisbaar is, maar het marktaandeel van Windows in het algemeen is veruit het grootst van alle OS-en.
psychicist
@My-life15 augustus 2018 14:03
Zo gebruik je ook Linux vaak genoeg op je router of je TV, tenzij je het voor elkaar hebt gekregen om Windows IoT erop te laten draaien :)
Bench
@psychicist15 augustus 2018 16:11
[...]

Alle pinautomaten over bijna de hele wereld draaien op Windows.

Ja, dat zijn smart tv's ook.
We hebben het over pc alternatieven toch?
GNU/linux is idd blijven steken in 1998 wat gebruiksvriendelijkheid betreft.
psychicist
@Bench15 augustus 2018 19:54
De LG TV hier draait op WebOS, wat volgens mij op Linux is gebaseerd. En wat betreft gebruiksvriendelijkheid ligt het er maar net aan waar je aan gewend bent.

Ik heb alleen Windows 9x en 2000 echt gebruikt en kan in nieuwere versies zoals 7, 8 en 10 veel dingen niet vinden en aanpassen. Ik vind Windows gewoon onhandig om te gebruiken en te onderhouden.
Bench
@psychicist15 augustus 2018 21:44
Maar snap de link niet met de gui van een tv en een pc met Linux er op.. Dat is appels met peren vergelijken. Aan geen enkel element van de software van een tv merk je dat het evt op Linux of wat dan ook draait. Bij een pc zie/voel/merk en ervaar je duidelijk verschil tussen een Linux distro of een windows of Mac OS of whatever je hebt draaien.

Vroeg mij nog wel af wat je precies bedoeld met "onderhouden"
Draai zelf naast Windows ook een Ubuntu desktop systeem en moet zeggen dat het organiseren van een pc vrijwel het zelfde is. Het gebruik is bijna het zelfde alleen de manier waarop is net iets anders.

[Reactie gewijzigd door Bench op 15 augustus 2018 21:47]

psychicist
@Bench15 augustus 2018 23:49
Ik reageer op de zaken die je in een copy-paste reactie schrijft, niet meer en niet minder. Als het niet relevant is, kun je het ook gewoon weglaten. Dat komt de duidelijkheid ten goede en is ook een normale manier om op iemands reactie te reageren.

Windows 10 updates ophalen en installeren duurt een eeuwigheid. Misschien valt daar wel het een en ander aan in te stellen of te verbeteren, maar ik zou niet weten hoe en waar en waarom dat sowieso nodig zou zijn. Debian en Ubuntu updates installeren is meestal een kwestie van seconden en niet langer dan enkele minuten.
Fredi
@latka15 augustus 2018 09:49
Waarom? Denk je echt dat een ander OS zoveel beter is dan Windows? Ik zal je het zeggen: nee totaal niet. Malware wordt geschreven voor het OS dat het grootste marktaandeel heeft, anders vinden hackers het de moeite niet. Dat is de enige reden waarom je minder malware hebt op bijv. Linux en niet omdat het veiliger is. Van Linux kan je zelfs de broncode in kijken want het is open source, hoe veilig kan het dan zijn?
latka
@Fredi15 augustus 2018 11:37
Let op de gebruikte smilie. De wereld zou beter zijn zonder Windows want Windows. Het was een tongue-in-cheek opmerking zogezegd. Maar dat werkt blijkbaar niet.
psychicist
@Fredi15 augustus 2018 13:56
Wat is dit nu voor drogredenering? Van OpenBSD en Illumos kun je ook de broncode inzien, betekent dat ook dat ze per definitie onveilig zijn?

Misschien zijn wel Tweakersleden die voor je onzin vallen, maar er zijn hier ook genoeg mensen die beter weten en bij hen kom je daar niet mee weg. Een besturingssysteem is net zo veilig als de kwaliteit van de programmeurs en de code die ze bijdragen, of dat nu open source of closed source is.
System
@latka14 augustus 2018 22:18
Jep, want iedereen wil een wereld waar Apple baas is....
Het is iedereen vrij een nieuw OS te lanceren.
Google is daarmee goed bezig met Chrome OS.
Linux had al lang iets kunnen worden mochten ze het wat gebruiksvriendelijker en toegankelijker maken.

Persoonlijk heb ik geen enkel probleem met windows. Ook niet met de telemetrics die zo berucht zijn.
Het is een kwestie van uw persoonlijke voorkeuren in te stellen
Emin3m
@svennd15 augustus 2018 07:46
ja en zo is het OS van Apple ook Linux, dat bedoeld Jurgen toch niet..

edit: bedoelde UNIX, had nog geen koffie op.

[Reactie gewijzigd door Emin3m op 15 augustus 2018 09:37]

GromuhlDjun
@Emin3m15 augustus 2018 08:21
Nee, dat is Unix ;)
lennybrit
@GromuhlDjun16 augustus 2018 08:12
Berkeley Software Distribution, afgeleid van een bepaalde variant van UNIX. UNIX zelf draaide niet op desktops. Die kwamen pas later. Ook is er een enorme patentenoorlog geweest met extreem hoge prijzen waar MS/Windows garen bij kon spinnen. Spreekwoordelijk gezegd. :)
svennd
@Emin3m15 augustus 2018 12:32
Nee wat Jurgen bedoelt is, "ik heb een Linux Distro eenmaal geprobeerd dat werkte niet dus ga ik maar verkondigen dat het minderwaardig is"

Oh en dat Windows data verzamelt over mij, maakt niet uit. Maar g00gle gaan we wel aan het kruis nagelen. //rant
harmvzon
@Emin3m15 augustus 2018 08:29
Dat is UNIX volgend mij
System
@svennd15 augustus 2018 13:22
"Linux had al lang iets kunnen worden mochten ze het wat gebruiksvriendelijker en toegankelijker maken."

Even blijven steken onder uw rots in 1998 ? Oja Chrome OS = Linux
Ja, dat zijn smart tv's ook.
We hebben het over pc alternatieven toch?
GNU/linux is idd blijven steken in 1998 wat gebruiksvriendelijkheid betreft.
Ludwig005
@System15 augustus 2018 19:41
mint en ubuntu zijn niet in 1998 blijven steken
Fredi
@AnonymousWP15 augustus 2018 09:44
Klopt. Heb hem zojuist geïnstalleerd en L1TF-fix stond in de notes.
PPie
14 augustus 2018 21:33
Ik vraag me af of als je al de patches voor de verschillende problemen zoals Spectre, Meltdown en deze nieuwe L1TF bug installeert, de Intel processor nog wel sneller is in single core als de huidige AMD's?
Zou het zo zijn dat Intel enkel nog sneller kan zijn door niet volledig te voldoen aan de juiste data dependency access checks? (Dus eerst toegang checken, voordat er speculatieve executie mag plaatsvinden)
Marctraider
@PPie14 augustus 2018 22:20
Vraag me zowieso af hoe lang deze stroom van kwetsbaarheden nog voortduurt en tot hoeverre deze de performance van Intel CPU's in de lange termijn uiteindelijk gaat kosten.

Zolang deze kwetsbaarheden niet gepatched zijn dmv. nieuwe hardware revisies iig.

Gelukkig kan je vooralsnog sommige 'patches' in Windows 10 uitzetten dmv. de registry; met tooltjes zoals InSpectre. En gewoon je UEFI niet patchen ;-)

[Reactie gewijzigd door Marctraider op 14 augustus 2018 22:21]

computerjunky
@PPie14 augustus 2018 22:42
Tja ik ben ook wel benieuwd wat all deze fixes en patches doet voor de prestatie. Maar vergeet niet dat ook voor amd er patches zijn/komen. Ook die hebben last van sommige van de problemen.
Verder heeft intel dit echt niet moedwillig gedaan dit is gewoon een oversight geweest waar ze lang niet bij stilgestaan hebben en nu zijn ze er actief naar op zoek.
cdwave
@PPie15 augustus 2018 11:48
Impact op "gaming" (want dat is wat hier bij tweakers steevast met "single core performance" wordt bedoeld) is verwaarloosbaar. De vulnerability en de daarmee samengaande patches hebben invloed op het cache en multitasking gedrag. Games - ook als die multiple threads draaien - draaien in een enkel process en dus in dezelfde memory address space, en daarvoor hoeft de CPU niks anders te doen dan hij altijd al gedaan heeft.

Wel impact heeft dit op multiprocess workloads, denk aan compileren (elke compiler draait in apart process), aan server omgevingen (veel verschillende toepassingen van verschillende users), en natuurlijk VM systemen (verschillende virtuele "machines" met elk eigen adresruimte). Hoe groot de invloed is, is niet te zeggen, want dat hangt helemaal van de workload af.

Wie thuis filmpjes rendert en brute 3D games speelt hoeft niet bang te zijn, de framerate blijft hetzelfde.
PPie
@cdwave15 augustus 2018 13:08
Impact op "gaming" (want dat is wat hier bij tweakers steevast met "single core performance" wordt bedoeld) is verwaarloosbaar.
Dit is wellicht met de huidige patches voor mensen die de illusie hebben dat ze op hun PC thuis niet dingen parallel draaien, zoals een game en een browser, of een browser die multiprocess splitsing als beveiliging gebruikt.
Vraag is of het nog steeds zo zal zijn als Intel de correcte dependency checks heeft ingebouwd in de hardware. Ja, je hebt de flushing workarounds niet meer nodig, maar iedere andere operatie mag sommige fases niet meer of niet meer parallel uitvoeren. Dus geen speculatieve loads meer, speculatieve branches, etc...
cdwave
@PPie16 augustus 2018 10:56
De dingen die op de PC van je ouders parallel lijken te draaien liggen doorgaans maar een beetje te slapen. Een browser is doorgaans bezig met wachten op netwerkdata, en alleen de pagina die open staat zal misschien actief met javascript bezig zijn, maar dan nog komt het zelden voor dat die een CPU "vol" weet te krijgen, laat staan meerdere cores.
tomas_leijten
14 augustus 2018 21:27
Over welke Processors(serie) gaan deze kwetsbaarheden dan precies?
AuteurXtuv
@tomas_leijten14 augustus 2018 21:34
Uit de Intel-FAQ:
The following Intel®-based platforms are impacted by L1TF. Intel may modify this list at a later time.

Intel® Core™ i3 processor (45nm and 32nm)
Intel® Core™ i5 processor (45nm and 32nm)
Intel® Core™ i7 processor (45nm and 32nm)
Intel® Core™ m processor family (45nm and 32nm)
2nd generation Intel® Core™ processors
3rd generation Intel® Core™ processors
4th generation Intel® Core™ processors
5th generation Intel® Core™ processors
6th generation Intel® Core™ processors
7th generation Intel® Core™ processors
8th generation Intel® Core™ processors
Intel® Core™ X-series processor family for Intel® X99 platforms
Intel® Core™ X-series processor family for Intel® X299 platforms
Intel® Xeon® processor 3400 series
Intel® Xeon® processor 3600 series
Intel® Xeon® processor 5500 series
Intel® Xeon® processor 5600 series
Intel® Xeon® processor 6500 series
Intel® Xeon® processor 7500 series
Intel® Xeon® processor E3 family
Intel® Xeon® processor E3 v2 family
Intel® Xeon® processor E3 v3 family
Intel® Xeon® processor E3 v4 family
Intel® Xeon® processor E3 v5 family
Intel® Xeon® processor E3 v6 family
Intel® Xeon® processor E5 family
Intel® Xeon® processor E5 v2 family
Intel® Xeon® processor E5 v3 family
Intel® Xeon® processor E5 v4 family
Intel® Xeon® processor E7 family
Intel® Xeon® processor E7 v2 family
Intel® Xeon® processor E7 v3 family
Intel® Xeon® processor E7 v4 family
Intel® Xeon® processor Scalable family
Intel® Xeon® processor D family (1500, 2100)
Intel® microprocessors affected by CVE-2018-3615 - L1 Terminal Fault: SGX
DnJealt
@Xtuv14 augustus 2018 22:23
Dus als ik het goed begrijp zijn dat zo'n beetje alle Intel processoren van de afgelopen 10 jaar? Op de Pentium en Celeron series na dan..
vectormatic
@DnJealt14 augustus 2018 22:32
De core gebaseerde celerons/pentiums zullen net zo lek zijn ("Xnd generation intel core processors"), enkel de atom gebaseerde chips lijken op het eerste gezicht de dans te ontspringen, hoewel de laatste drie regels van de lijst stiekem nog best eens een addertje onder het gras zouden kunnen zijn
bjp
@DnJealt14 augustus 2018 23:19
de Core 2 reeks lijkt nog bespaart
The Third Man
@bjp14 augustus 2018 23:54
Die hebben ook geen hyperthreading.
vectormatic
@The Third Man15 augustus 2018 09:20
Rijst bij mij meteen de vraag, is de oude pentium 4 ook lek? :P
bjp
@The Third Man15 augustus 2018 10:33
dat missen ook redelijk wat i5...

HT en dit L1TF hebben weinig gemeen, behalve Intel :)
The Third Man
@bjp15 augustus 2018 20:09
Waarom wordt het uitschakelen ervan dan als mogelijke maatregel genoemd?
PvtMadnage
@Ayporos15 augustus 2018 02:32
Die Core 2's zijn prima te doen voor basis taken hoor. 8)7
GromuhlDjun
@Ayporos15 augustus 2018 08:28
Mijn vader draait al jaren mijn oude q6600@3ghz met 8gb ddr2 en een ssd. Alles behalve de nieuwste games draait zonder problemen (hij is dan ook geen gamer)
Bahmi
@Ayporos15 augustus 2018 09:14
Ik heb een Q6600, niet mijn daily driver maar m'n 2e pc waar ik audiobewerking/opnames enzo op doe. Gebruik hem toch wel een paar uur per week en die draait dan VST instrumenten/effecten, DAW software en m'n 8/8 kanaals audio interface.

Ram een SSD erin, max de RAM capaciteit en met een lichte overclock heb je nog een hele capable machine hoor. Je zal er geen crysis op draaien (want de hardware is inmiddels ruim 12 jaar oud) maar voor de rest boot het ding snel, je kan er prima op photoshoppen of andere semi-zware taken mee doen. Ik moet echt heel veel effecten tegelijk draaien voordat de CPU het niet meer kan bijbenen.

En als je alleen wat documenten tikt of op internet browsed is het ruim voldoende.
lonewolf2nd
@Ayporos15 augustus 2018 10:31
Eh ik heb nog een i5 750 (en een gtx 1060). Ik kan misschien niet alles op ultra spelen maar high lukt prima op op 1080p. Videokaart is veel belangrijker en een ssd uiteraard ook :*). Maar ik moet ook mijn cpu een update geven :/
Bench
@Ayporos15 augustus 2018 16:14
Gaat echt nergens over dit.. Een I7 voor een standaard desktop Computer in een gemiddeld huishouden als standaard nemen vind ik echt de puurste onzin.
Die duo core 2 zie je dagelijks overal nog staan en draaien.. Scholen.. Bibliotheken etc etc.. Een i3 vind ik al overdreven voor een simpele huis computer.
itsalex
14 augustus 2018 21:31
Overal zitten bugs in en je zal er nooit om heen kunnen, daar worden eenmaal fouten gemaakt, denk aan de MMX fout ooit en P60 rekenfout. Het is beter dat ze ontdekken dan laten gaan voor wat het is. De Pentium <120 MHz fout was wel een flinke fout in de FPU maar ja ook daar zijn we overheen gekomen. Ook de MMX bug en geloof ik ook nog de Pentium Pro.
Dan was de Celeron 300/333 MHz zonder L2 cache toch wel een voordeel, kon je geen bug in vinden.
mg794613
@itsalex14 augustus 2018 21:51
De Covington core had ook bugs. WP bug. Aanwezig en als je er rekening mee houdt, prima, maar wel een bug.
Hij was wel lekker overclockbaar zonder on-die cache!
latka
@itsalex14 augustus 2018 22:11
Vast wel, alle cpu's hebben errata (vaak tientallen) en dat is een eufemisme voor bug.
SuperDre
14 augustus 2018 21:35
De aanpassingen in de microcode zijn al eerder dit jaar gedaan
Maar die microcode wordt toch niet automatisch geladen, dat moet de gebruiker toch zelf doen?
dehardstyler
@SuperDre14 augustus 2018 22:37
Klopt, dat betekend namelijk een Bios update en die gaan niet vanzelf. ( bij Dell in ieder geval )
rodie83
@SuperDre14 augustus 2018 22:47
Ik kreeg laatst via Windows Update een BIOS/UEFI update binnen voor mijn Acer laptop. Dezelfde update stond pas een paar weken later op de site van Acer zelf. Het kán dus wel automatisch.
Username3457829
14 augustus 2018 21:54
https://support.microsoft...ndows-10-update-kb4343909
Provides protections against a new speculative execution side-channel vulnerability known as L1 Terminal Fault (L1TF) that affects Intel® Core® processors and Intel® Xeon® processors (CVE-2018-3620 and CVE-2018-3646). Make sure previous OS protections against Spectre Variant 2 and Meltdown vulnerabilities are enabled using the registry settings outlined in the Windows Client and Windows Server guidance KB articles. (These registry settings are enabled by default for Windows Client OS editions, but disabled by default for Windows Server OS editions.)

Binnenhalen kan via autoupdate of anders handmatig hier. Wel zelf achterhalen welke versie van Windows je hebt:
http://www.catalog.update...m/Search.aspx?q=KB4343909

[Reactie gewijzigd door Username3457829 op 14 augustus 2018 22:01]

Magyku30
15 augustus 2018 09:28
De HP Support pagina rondom dit topic: https://support.hp.com/us-en/document/c06114399
SMSfreakie
14 augustus 2018 21:27
En wie zegt dat de processors uit de AMD stal niet ook lek zijn?
ELD
@computerjunky14 augustus 2018 23:00
Reactie van AMD
As in the case with Meltdown, we believe our processors are not susceptible to the new speculative execution attack variants called Foreshadow or Foreshadow-NG due to our hardware paging architecture protections. We are advising customers running AMD EPYC™ processors in their datacenters, including in virtualized environments, to not implement Foreshadow-related software mitigations for their AMD platforms.
https://www.amd.com/en/corporate/security-updates

Nog commentaar verder?
kidde
@ELD14 augustus 2018 23:46
Graag zou ik dat nog een klein beetje aanvullen:

1) Foreshadow -> Zoals door @ELD genoemd geen AMD probleem
2) Meltdown (GPZ v3) --> Bij AMD geen probleem
3) Lazy FP State Restore: AMD processors are not affected by this issue. --> Bij AMD geen probleem
4) SGX Spectre --> Bij AMD geen probleem.
5&6) L1 Terminal Fault: Intel CPUs are affected but AMD CPUs, Intel Xeon Phi, and older Intel CPUs are among those not believed to be affected --> Bij AMD waarschijnlijk geen probleem.

7) SpectreRSB:
"AMD is aware of a new research paper on processor speculation and a proposed vulnerability in the return stack buffer. AMD believes its recommended Indirect Branch Prediction Barrier (IBPB) setting mitigates against the described vulnerability.

As stated in this AMD Whitepaper, when IBPB is set in software for context switching, the processor enforces that older indirect branches cannot influence predictions of indirect branches in the future, we believe thereby effectively mitigating against the described vulnerability."
Van de huidige 16 Spectre / Meltdown varianten zijn er dus 7, die Intel wel heeft en AMD waarschijnlijk of zeker niet (als bij #7 de aanbevelingen van AMD zijn opgevolgd).

[Reactie gewijzigd door kidde op 15 augustus 2018 00:18]

Zer0
@kidde14 augustus 2018 23:56
Dan zijn er dus 9 die AMD wel heeft?
kidde
@Zer015 augustus 2018 00:11
Bevestigd op AMD: v1, v1.1, v1.2 v2, v3a, v4.
NetSpectre (want is een Spectre v1 netwerk-variant).
--> 7 stuks.

BranchScope: Ik dacht dat AMD's BTB anders in elkaar steekt dan die bij Intel, maar kan de bron helaas niet meer vinden.
Ed: AMD staat niet op de kaart (Ed2 -- Maar bij Spectre v2 CVE-2017-5715 zie ik ook geen AMD staan?)

Kan ik niet vinden (of althans niet of het ook een risico is voor AMD):
ret2spec ('Spectre v5').

AMD: Wss vatbaar voor 7 tot 9,
Intel: Vatbaar voor alle 16!!!

[Reactie gewijzigd door kidde op 15 augustus 2018 00:22]

Sandor_Clegane
@Zer015 augustus 2018 00:19
Dus het glas is halfleeg?
ArmEagle
@ELD15 augustus 2018 07:15
"to not implement Foreshadow-related software mitigations for their AMD platforms."
Ik hoop dat Windows met hun updates (zeker als er eerst even een snelle fix wordt gedaan) AMD niet negatief beïnvloedt.
latka
@computerjunky14 augustus 2018 22:18
Lijkt erop dat amd deze bug niet heeft.
Mr777
@computerjunky15 augustus 2018 08:03
Laat ze dan ook maar eens de ballen hebben om hun hele Management Engine open te gooien of ervoor te zorgen dat die compleet uitgeschakeld kan worden. Dit nieuwe verhaal ("kijk eens, we maken het nu zelf bekend!") heeft veel weg van een afleidingsmanœuvre.
computerjunky
@Mr77715 augustus 2018 13:27
Hoe is dit een afleiding manoeuvre? Denk je nou echt dat intel dit een leuke periode vind die ze mooi uitkomt? Geen bedrijf vaart goed bij continu slecht nieuws. Deze lekken hebben alleen een veel grotere prio dan een IME.
Het toont op zn minst dat intel de ernst inziet en actief deze fouten opzoekt en bekendmaakt zoals ze verplicht zijn.
Ik vraag me af of AMD hier ook zo proactief mee bezig is of gewoon wacht tot een ander wat vind en dan eens gaat kijken of ze vatbaar zijn.
SMSfreakie
@computerjunky15 augustus 2018 12:35
Niet dat ik nu een partij voor trek..
Like m'n i5 desktop en I7 laptop doen 't prima... Idem als m'n atom based Nas...
En voorlopig staat er toch geen upgrade op de agenda...

Maar tzt wordt 't wel kijken wat 't meest gunstigste is voor mijn work loads

Als dat nou uit de AMD of Intel stal komt.
computerjunky
@SMSfreakie15 augustus 2018 13:24
Tja je moet bij ieder product kopen wat voor jou het beste is na uitgebreid onderzoek.
Mensen die dat niet doen staan bij de mediamarkt in de rij om het product met de meeste winst maar niet het beste product te kopen.
Ik sta ook open voor beide merken maar gamen is mijn nr 1 prio. Een game pc kan immers prima andere taken doen zij het wat seconden trager maar een 16 core render pc kan niet zo goed gamen. En de kans dat AMD bij mijn volgende systeem bovenaan de lijst van opties is nihil als ze niet fors de ipc verbeteren of veel meer Mhz uit de cores weten te persen.
Sp3ci3s8472
@SMSfreakie14 augustus 2018 21:32
Zie het filmpje en de extra toelichting op Phoronix:
https://www.phoronix.com/...item&px=L1-Terminal-Fault
Performance sounds like it will take another hit, "There is work in progress to provide other forms of mitigations, which might be less horrible performance wise for a particular kind of workloads, but this is not yet ready for consumption due to their complexity and limitations."

Benchmarks forthcoming with KVM virtualization. Intel CPUs are affected but AMD CPUs, Intel Xeon Phi, and older Intel CPUs are among those not believed to be affected. Intel did post this video to YouTube when trying to dig up more on L1 Terminal Fault
Stoelpoot
@SMSfreakie15 augustus 2018 10:22
Ik vraag me vooral af wanneer AMD aan ditzelfde onderzoek wordt onderworpen. Sinds de eerste Intel-lekken komen ze bijna met bosjes uit de lucht vallen, dus Intel ofwel een 3rd party is bezig met het hele platform goed door te lichten. Ik vraag me af of dit bij AMD-chips nu ook gebeurd en beveiligingstechnisch beter in elkaar zitten, of dat daar gewoon minder onderzoek naar wordt gedaan?
computerjunky
@i-chat15 augustus 2018 13:31
door grbrek aan onderbouwing is +1 ook niet echt correct maar dit is zeker ontopic

Je spreekt jezelf tegen je zegt namelijk dat dit geen +1 is maar wel ontipic. laat +1 nou net voor ontopic staan en met goede onderbouwing en feiten word iets dus een +2 (informatief)

Verder ben ik het volkomen met je eens dat tweakers deze mod functie beter uit kan schakelen. Mensen worden met regelmaat door een aantal personen op alle onderwerpen die dagen geminned omdat iemand op zijn teentjes getrapt is of het er niet mee eens zijn.
Je kan je afvragen wat er dan nog voor een waarde aan gehecht kan worden.
Bench
@computerjunky15 augustus 2018 16:19
Ben het helemasl met je eens. Geloof ook gelijk dat er mensen zijn die alleen al minnen omdat ze een naam zien staan uit eerdere topics.
Of stop met die score of laat zien wie die min en plusjes geeft
Electric Vibes
14 augustus 2018 22:25
We moeten overstappen op open source hardware platforms. Door deze lekken te patchen los je het grotere probleem niet op.
BlackOwl
@Electric Vibes15 augustus 2018 01:25
We moeten stoppen met doen alsof open source de oplossing is voor alle problemen.
cdwave
@BlackOwl15 augustus 2018 11:56
We moeten stoppen met doen alsof er een enkele oplossing is die alle problemen verhelpt
RoestVrijStaal
@Electric Vibes15 augustus 2018 00:51
En dan eindigen zoals bij OpenSSL? Waarbij het aan mankracht mist en legacy systemen tot in den treure ondersteund bleven waardoor het onderhoud nog complexer en moeilijker werd? En zelfs dat bedrijven die intern OpenSSL gebruikten patches voor bepaalde lekken voor zichzelf hielden (geheel toegestaan volgens de OpenSSL licentie overigens). Liever niet.

De UltraSPARC van ooit het befaamde Sun Microsystems is open source. Wat daar nog van over gebleven is....
fastbikkel
@Electric Vibes14 augustus 2018 22:36
Ik heb niet de illusie dat open source de oplossing biedt voor de meesten. Mischien voor jou alleen? Maar dan denk ik dat jij zelf al open source omarmt hebt?
cdwave
@Electric Vibes15 augustus 2018 11:54
Wat let je? Ze bestaan gewoon. Je kunt er overigens geen Windows op draaien om je spelletjes te spelen...
https://en.wikipedia.org/wiki/RISC-V
jimzz
14 augustus 2018 21:18
Gaat lekker Intel, ene lek na de andere. Ik denk dat Intel hard zijn best moet gaan doen om het vertrouwen te herstellen bij de klanten.

Persoonlijk heb ik nog een oude i5 4690 en merk dat de prestaties minder zijn geworden na de patches. Vandaar ook mijn sterke twijfels of ik hierna weer een Intel wil (zat te azen op een 8700K, en aangezien ik nog 1080p schermen gebruik is die extra single core snelheid wel handig tijdens het gamen). Maar ik vraag me af of het niet slimmer is om een Ryzen (gen 2) te kopen en dan een dynamic resolution te gebruiken. Dit doe ik op het moment ook, aangezien sommige games gewoon voor mij beter presteren wanneer ik een dynamische resolutie gebruik die hoger ligt dan 1080p.

Een voorbeeld daarvan is Forza, waarbij ik m dynamisch naar een hogere resolutie zet, want op 1080p heb ik stuttering en een cpu op 100% load.

Ik heb overigens een GTX 1070.
PilatuS
@jimzz14 augustus 2018 21:21
Hier een 6700K die nog snel genoeg is. Ik ga pas upgraden naar een nieuwe Intel CPU als al deze lekken hardwarematig opgelost zijn. Mijn systeem is nu wel netjes gepatched, maar ik ga geen Intel CPU kopen die deze lekken heeft. Tegen de tijd dat het nodig is te upgraden moet het voor mij allemaal opgelost zijn, anders wordt het AMD.
bbc
@PilatuS14 augustus 2018 22:09
Hier een 6700K die nog snel genoeg is. Ik ga pas upgraden naar een nieuwe Intel CPU als al deze lekken hardwarematig opgelost zijn. Mijn systeem is nu wel netjes gepatched, maar ik ga geen Intel CPU kopen die deze lekken heeft. Tegen de tijd dat het nodig is te upgraden moet het voor mij allemaal opgelost zijn, anders wordt het AMD.
Meestal heb je wel current gen, next gen en development. In de praktijg ga je hardware oplossingen pas binnen een jaar of 2 vinden. Het eerstvolgende product dat in de pijplijn zit gaan ze waarschijnlijk niet zo maar on hold zetten. Ondertussen hopen dat er geen andere bugs gevonden worden.
wica
@PilatuS14 augustus 2018 21:30
Stel Intel brengt een verbeterde versie van zijn cpu's uit, waarin deze bekende bugs allemaal zijn opgelost.
Maar ook deze zal weer bugs bevatten.

Vandaag een stukje gelezen, hoe een onderzoeker door de CPU beveiling van ring-3 naar ring-0 kon komen. Wel eens waar een DEC CPU, maar toch.
Als je maar creatief genoeg bent, vind je altijd wat.
PilatuS
@wica14 augustus 2018 21:33
Stel Intel brengt een verbeterde versie van zijn cpu's uit, waarin deze bekende bugs allemaal zijn opgelost. Maar ook deze zal weer bugs bevatten.
Dat zal ook zeker zo zijn. Ik ga alleen geen nieuwe CPU kopen waar bekende fouten in zitten zonder dat deze opgelost zijn. Dan kies ik voor AMD of wacht ik wat langer. Ik zie gewoon niet waarom ik een CPU zou willen kopen waar bekende fouten in zitten die niet opgelost zijn. Dit staat los van andere onbekende bugs.

[Reactie gewijzigd door PilatuS op 14 augustus 2018 21:35]

TheekAzzaBreek
@PilatuS14 augustus 2018 22:00
Alleen zijn het niet de bekende fouten waar je bang voor moet zijn, daar zijn immers fixes voor, maar de onbekende. Dan wordt het wat lastiger kiezen.
PilatuS
@TheekAzzaBreek14 augustus 2018 22:02
En die fixes kosten je snelheid. Ik wacht gewoon liever tot alles hardwarematig opgelost is dan softwarepatches te moeten draaien. Sowieso wist Intel van deze fouten en hebben ze bijvoorbeeld de 8700 CPU gewoon uitgebracht. Laat ze alles eerst maar eens oplossen voor ik weer Intel koop, anders heb ik liever AMD op dit moment. Je hebt opzich natuurlijk gelijk hoor, maar ik heb liever geen CPU met bekende niet opgeloste kwestbaarheden als ik iets nieuws koop.
latka
@PilatuS14 augustus 2018 22:10
Omdat de fouten verhelpen performance kost. Ik heb liever een lekke en snelle CPU in mijn desktop dan een waarvan de prefetcher disabled is om zo veilig te zijn. Dat is de uitdaging de komende paar jaar: snelheid combineren met side channels eruit. Als je geen cloud provider bent en JavaScript in je browser uitzet ben je ongeveer net zo veilig als met een gepatchte CPU, maar dan met behoud van snelheid. Ik weet wel wat ik kies.
vectormatic
@PilatuS15 augustus 2018 09:42
[...]


Dat zal ook zeker zo zijn. Ik ga alleen geen nieuwe CPU kopen waar bekende fouten in zitten zonder dat deze opgelost zijn. Dan kies ik voor AMD of wacht ik wat langer. Ik zie gewoon niet waarom ik een CPU zou willen kopen waar bekende fouten in zitten die niet opgelost zijn.
Het vervelende is dat ook de huidige AMD chips bekende lekken hebben, weliswaar minder dan Intel, maar toch zijn er een aantal Spectre varianten waar ook AMD kwetsbaar voor is.

Ik zou persoonlijk ook een AMD chip kopen nu, en doordat er nu zo regelmatig lekker in Intel chips naar boven komen wordt het wel erg verleidelijk om die oude i5 eens te vervangen, maar ook die nieuwe ryzens zijn bewezen niet waterdicht....
Croga
@PilatuS14 augustus 2018 21:26
Heel goed idee! Jezelf voor de gek houden in de illusie dat een andere CPU veiliger is......

Iedere CPU is lek. Deze lekken zijn gevonden; voordat ze gepatcht zijn, zijn er al weer andere bij gekomen.

Ik zou juist expliciet voor deze CPUs gaan; hiervan weet je tenminste dat een aantal lekken al gedicht zijn. Van een AMD processor of een toekomstige Intel weet je dat er alleen ongedichte lekken in zitten....
Randomguy369
@Croga14 augustus 2018 21:37
Heel goed idee! Jezelf voor de gek houden in de illusie dat een andere CPU veiliger is......
Het feit dat er beveiligingslekken op een lager tempo worden gevonden betekend dat er waarschijnlijk minder of minder makkelijk exploiteerbare beveiligingslekken inzitten. Op de informatie die we nu hebben is AMD minder lek dan intel.
Ik zou juist expliciet voor deze CPUs gaan; hiervan weet je tenminste dat een aantal lekken al gedicht zijn. Van een AMD processor of een toekomstige Intel weet je dat er alleen ongedichte lekken in zitten....
Als er een ongedicht lek in een komende CPU zit zal deze waarschijnlijk ook in de huidige zitten, die kans is vrij groot. En als er een gevonden in zit betekend niet dat er minder ongedichte lekken inzitten die niet gevonden zijn dan in een nieuwe CPU alleen dat ze er minder naar kijken want hij is ouder.
Deze versie van deze software zijn geen lekken gevonden, laat ik 3 jaar oude software gebruiken want dat is veiliger.
Mellow Jack
@Randomguy36914 augustus 2018 22:03
[...]

Het feit dat er beveiligingslekken op een lager tempo worden gevonden betekend dat er waarschijnlijk minder of minder makkelijk exploiteerbare beveiligingslekken inzitten. Op de informatie die we nu hebben is AMD minder lek dan intel.
Of het betekent dat Intel de hoofd focus heeft binnen veel onderzoeken of bijv gebruik maakt van een oudere (en dus bekendere) architectuur

De enige conclusie die ik voorlopig voor mezelf kan trekken is dat het aantal Intel bugs best op loopt en deze niet tot minder impact hebben op AMD. Ben ook weer niet verbaasd als er eens een beveiligingsonderzoeker komt die een compleet andere blik heeft op cpu architectuur en ineens een lek vind welke juist meer impact heeft op AMD.

Volgens mij zijn veel van de bugs grotendeels gebaseerd op die ene flaw in de architectuur
latka
@Mellow Jack15 augustus 2018 00:56
Het patroon van de bugs lijkt te zijn dat Intel geen validatie doet: als er in de documentatie staat dat iets niet mag gaan ze er vanuit dat niemand dat ook doet. Zo ook in dit geval: als bit X uitstaat dan is de descriptor invalid. In plaats van dat ze controleren dat het bitje uitstaat gaan ze ervanuit dat dit niet gebeurt en gebruiken de waarde gewoon. Dat even later (als de exploit al gelopen heeft) de CPU alsnog detecteert dat het een probleem was en excepties gaat gooien is niet relevant meer: het leed is al geleden. Het patroon wat ik zie is dat van slechte web-applicaties met matige input validatie maar dan in hardware.
latka
@Randomguy36914 augustus 2018 22:06
Dit soort lekken zijn vooral in datacenters met cloud oplossingen een probleem. De bulk hiervan is Intel. Dat zal er ook mee te maken hebben.
Loggedinasroot
@Croga14 augustus 2018 21:39
Heel goed idee! Jezelf voor de gek houden in de illusie dat Intel security op #1 heeft staan.
Zie Meltdown.

AMD komt toch echt heel wat veiliger over nadat ze volledig de dans ontsprongen met Meltdown en een paar Spectre varianten erg moeilijk zijn uit te voeren op AMD.
Black_Diamond768
@Loggedinasroot15 augustus 2018 09:02
google eens op Ryzenfall , Fallout , Chimera , Master Key ...
maar zullen we ook kijken naar de rest van chipbakkers?
INTEL AMD Apple ARM IBM VIA hebben allemaal Specter 1+2 en meltdown reported issues (uitgezonderd AMD =geen meltdown)

je zou zeggen dat anno 2017 een bedrijf zoals amd toch wel genoeg kennis en verificaties heeft om zo een bugs te voorkomen?
intel zit al jaren met hetzelfde core design en daarom hebben ze ook zoveel geimpacteerde producten (behalve dat ze ook de het grootste marktaandeel hebben = automatisch meer % geimpacteerd)

het gras is altijd groener bij de buren :-) maar beide hebben ze adders onder t gras zitten
Loggedinasroot
@Black_Diamond76815 augustus 2018 12:38
AMD is niet kwetsbaar voor 1.2,3A.
Overigens is variant 4(SSB) zo moeilijk om uit te voeren dat vorige fixes genoeg zijn en dat memory disambiguation geen probleem is. Iets wat bij Intel wel een probleem is en nog niet gefixed is in de volgende CPU's van Intel die hardware fixes heeft.

Overigens moet je voor Masterkey eerst de bios reflashen en heb je voor de andere allemaal priviliged rights nodig.
Wim-Bart
@Black_Diamond76815 augustus 2018 19:02
Met het budget van Intel voor R&D en dat ze marktleider zijn zou er juist zorg voor moeten dragen dat deze bugs juist opgelost waren. Daarnaast is het eigenlijk veel erger. Om deze laatste bedreiging te voorkomen, moet je "CPU pinning" doen of "Hyperthreading uitzetten" in je Virtuele omgeving.

CPU pinning heeft als impact dat je cores vast zet op een ESX/Hyper-v server. Dat wil zeggen dat het aantal Virtuele machines wordt gelimiteerd naar het aantal cores. Ik ken omgevingen waar je dan gewoonweg 3 x zo veel ESX hosts neer moet zetten.

Hyperthreading uitschakelen is een andere oplossing welke Intel aandraagt. Wat gewoon een halvering in CPU capaciteit is. Dus je hebt een 2x zo grote ESX/Hyper-V omgeving nodig.

Kortom, wanneer "gebruikers/klanten" van een bedrijf gaan eisen dat deze bugs opgelost worden, dan moet de eigenaar van de Virtuele omgeving gewoon zwaar opschalen met alle kosten van dien.

En waar nog niet eens rekening mee is gehouden dat de voorgaande "oplossingen" ook al een negatieve impact van 2 tot 20% hadden afhankelijk van de workload.

En nu kan je schermen met "Ryzenfall , Fallout , Chimera , Master Key" maar om die toe te passen heb je hele andere scenario's, en ik vermoed dat de alarmbellen af gaan wanneer er iemand bij een ESX farm staat en een host uit zet om er een andere BIOS in te flashen.

Eigenlijk zou ik het persoonlijk wel weten. Intel spul er uit, claim leggen bij leverancier en AMD Epcy naar binnen rijden.
kaasboer09
@Croga14 augustus 2018 21:40
Elke CPU is lek, maar niet elke CPU is interessant. Professioneel hackers (= geld ermee verdienen) zijn voornamelijk uit op bedrijfssystemen. Daarom vermoed ik dat de aandacht ligt bij Intel systemen.

Ik kan me de laatste keer dat ik een AMD op een kantoor zag niet meer herinneren. (Servers heb ik geen weet van)

Hetzelfde geldt voor MacOS. Waarschijnlijk net zo lek als Windows (of erger) maar het is meer een consumentenproduct. Je kan als hacker misschien de foto’s van Fifi jatten, maar dan houdt het gauw op.
Bench
@kaasboer0915 augustus 2018 16:21
Mee eens.. Heb serieus nog nooit een amd pc in een bedrijf gezien. En zie heel wat bedrijven wereldwijd van binnen.
SuperDre
@jimzz14 augustus 2018 21:36
AMD is ook niet vrij van zulke problemen hoor, wel lijkt het op dit moment minder te hebben dan Intel, maarja, intel is dan ook een grotere target om te testen/controleren dan AMD.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee