Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Drie nieuwe ernstige 'L1TF'-kwetsbaarheden in Intel-processors ontdekt

Intel heeft bekendgemaakt dat er drie nieuwe ernstige kwetsbaarheden zijn ontdekt in zijn processors, waarmee ongeautoriseerd toegang is te verkrijgen tot data in de L1-cache. De kwetsbaarheden krijgen de naam L1 Terminal Fault, ofwel L1TF.

Intel maakt het bestaan van de L1TF-kwetsbaarheden bekend in een aankondiging en heeft een pagina online gezet met informatie over de maatregelen die zijn genomen. Alle technische details over de nieuwe side channel-aanvallen heeft Intel gepubliceerd in een whitepaper over L1TF. De kwetsbaarheden zitten zowel in consumentenprocessors als in Xeon-serverprocessors.

De eerste twee varianten hebben betrekking op de Intel Software Guard Extensions en de System Management Mode. Volgens Intel zijn beide op te lossen met microcode en software-updates en zijn die al uitgebracht. De aanpassingen in de microcode zijn al eerder dit jaar gedaan en de updates voor besturingssystemen zijn dinsdag uitgebracht.

CVE Naam Ernst Score
CVE-2018-3615 L1 Terminal Fault-SGX Hoog 7.9
CVE-2018-3620 L1 Terminal Fault-OS/ SMM Hoog 7.1
CVE-2018-3646 L1 Terminal Fault-VMM Hoog 7.1

De derde L1TF-variant heeft betrekking op virtuele machines en hoewel ook daar mitigations voor zijn uitgebracht, stelt Intel dat hier afhankelijk van de situatie 'verdere maatregelen' nodig zijn. Dat geldt voor omgevingen waarbij niet gegarandeerd kan worden dat alle virtuele machines voorzien zijn van besturingssystemen met gepatchte kernels. Een mogelijke maatregel is het gebruik van Core Scheduler in Windows Server 2016, of het in zijn geheel uitschakelen van Hyper-Threading.

Intel claimt dat de genomen beveiligingsmaatregelen weinig invloed hebben op de prestaties en toont benchmarks van verschillende scenario's voor en na het doorvoeren van de patches. Ook Red Hat heeft cijfers gepresenteerd en toont dat het uitschakelen van Hyper-Threading een grote negatieve invloed kan hebben op de prestaties. Bij consumenten-pc's is die maatregel niet aan de orde.

De eerste kwetsbaarheid, CVE-2018-3615, is ontdekt door onderzoekers van universiteiten, waaronder de KU Leuven. Zij presenteren de aanval onder de noemer Foreshadow en hebben een website ingericht met een paper en demonstratievideo's. De onderzoekers van KU Leuven hebben hun bevindingen op 3 januari 2018 gedeeld met Intel. Beveiligingsonderzoekers van Intel vonden daarna zelf de twee andere, gerelateerde kwetsbaarheden.

De publicatie van de nieuwe kwetsbaarheden is door de beveiligingsonderzoekers, Intel en softwarebedrijven gecoördineerd. Dinsdagavond hebben verschillende partijen hun analyses online gezet. Microsoft beschrijft L1TF op zijn Technet-blog en Oracle heeft informatie online gezet over welke van zijn producten getroffen zijn. Ook Red Hat beschrijft de kwetsbaarheden. Volgens Intel zijn er geen gevallen bekend van misbruik van de lekken.

Video van Intel met eenvoudige uitleg over L1 Terminal Fault


Uitgebreidere L1TF-uitleg van Red Hat

Door Julian Huijbregts

Nieuwsredacteur

14-08-2018 • 21:10

160 Linkedin Google+

Submitter: Muncher

Reacties (160)

Wijzig sortering
Voor Windows is dit in de nieuwe cumulatieve update van Windows 10 opgelost, die vandaag is aangekondigd:

[Reactie gewijzigd door AnonymousWP op 14 augustus 2018 21:16]

Je hebt daarnaast ook nog een microcode patch nodig voor Windows 10: https://support.microsoft...f-intel-microcode-updates

Of natuurlijk een BIOS update met een recente microcode.
De L1 patch kwam vannacht (15-8) binnen via handmatig updaten in Windows 10 en daarin wordt een microcode update niet genoemd.
Onderaan hun pagina voor Speculative Execution staan inmiddels 3 nieuwe links:Daarin staat dat microcode patches nodig zijn om SGX en de 'Hyper-V' hypervisor te beschermen. Die microcode update zijn dus ook nodig als je de nieuwe Virtualization Based Security (VBS) beveiliging-methoden gebruikt. Zoals de optie 'Kernisolatie' / 'Geheugenintegriteit' ('Core isolation' / 'Memory integrity') in Windows Defender. Dat staat meestal automatisch aan onder Windows 10 1803 op systemen van de laatste 3 jaar, maar kan ook werken op alle systemen met hardware gebaseerde virtualisatie, als de drivers correct met hun geheugen omgaan.

En SGX schijnt bijvoorbeeld (mits aanwezig) gebruikt te worden door Netflix om hun DRM code in te laden.

[Reactie gewijzigd door Henk Poley op 15 augustus 2018 08:43]

In Windows... De wereld is groter dan Windows!
Windows draait op 88% van de PCs. Hebben we nog een paar "dwarselingen" die draaien op OSX 9%. Blijft over voor Linux 2% en overig 1% (chrome OS ed)

Probleem is dat je zoveel distrbuties hebt dat het wat lastig wordt ze individueel te noemen maar omdat jij het bent..Canonical heeft al een patch voor Ubuntu:

https://blog.ubuntu.com/2...nal-fault-vulnerabilities

Redhat heeft een filmpje die uitlegt hoe het zit. Patch volgt asap

https://www.youtube.com/w...continue=16&v=kqg8_KH2OIQ

Kernel "freaks" zagen deze commit misschien voorbijkomen:

https://git.kernel.org/pu...6d6adf9c1e17aa2d&anz=show

Kernel Developer Thomas Gleixner noemt het "yet another speculative hardware engineering trainwreck" Sounds about right. Intel is goed bezig de laatste tijd,

We hebben natuurlijk ook Linux (Kernel) nieuws site phoronixdie bij elke Linux gebruiker in de favorieten zou moeten staan: https://www.phoronix.com/...item&px=L1-Terminal-Fault

Met de linux gebruikers komt het wel goed. Die zijn vaak niet zo dom als ze er uitzien ;)
Blijft over voor Linux 2%
Pc's ja, thuisgebruik. Maar Linux draait op tientallen procenten van de (web)servers.Bron Daarnaast draait Linux op alle supercomputers in de Top 500 waarvan een flink deel gebruik maakt van de getroffen processoren.Bron

[Reactie gewijzigd door Wodanford op 14 augustus 2018 22:22]

Ik neem aan dat die supercomputers niet achter een consumentenroutertje direct aan het internet verbonden zijn en dat jan en alleman die geen verstand van zaken hebben niet zomaar toegang tot die systemen heeft als ook dat er niet niet iemand is die een beetje oplet wat er allemaal gebeurt op zo'n systeem/cluster :+

Je punt is uiteraard valide.. maar het is nou eenmaal zo dat het gewoon het meest relevant is om dit nieuws te richten aan Windows gebruikers.
- mac gebruikers boeit het niks, die gaan er van uit dat hun machtige Apple overlords het wel fixen (en zo niet, tja "dan had je maar voor extended apple care moeten betalen" :+ ...)
- linux gebruikers weten het waarschijnlijk al van andere bronnen dan tweakers
- server/supercomputer systeem beheerders worden betaald om dit te weten, en die zullen dus de nieuwsblogs/patches van hun server OS's bij hebben gehouden en ook al op de hoogte zijn
Mijn punt is dat ik vaker hoor dat Linux maar door een paar procent van de consumenten gebruikt wordt en daarmee irrelevant is. Dat is pertinente onzin om meerdere redenen. Dat Windows veel meer gebruikt wordt door gebruikers die minder nieuws op dit gebied volgen of begrijpen, laat staan op tijd maatregelen nemen, staat buiten kijf.

Overigens gebeurt het vaker dat misbruik gemaakt kan worden van kwetsbaarheden doordat systeembeheerders hun werk niet doen. :+ Op de hoogte zijn en daar actie op ondernemen, zijn twee dingen. Voorbeeld
Ben het met je eens op allebei je punten, dat zeer zeker.

Linux is uiteraard zeer relevant, net zo zeer als BSD of andere OS vormen die zich beter lenen tot server/'power'usage als ook het feit dat je Linux prima kunt gebruiken als daily driver en zelfs om mee te gamen (als je een beetje computer savvy bent).. en dat geld in principe ook voor OSX uiteraard (het feit dat ik pertinent anti-Apple ben is irrelevant..).

Dat van die onbekwame systeembeheerders is zeer schadelijk voor de IT community in zijn geheel... ik begrijp dat menig PC-savvy persoon nogal eens de neiging heeft om een beetje laconiek naar non-savvy mensen te zijn omdat ze toch niet weten/begrijpen of je wél of níet goed je werk doet.. en dat is dan ook een beetje het issue natuurlijk.

Als jij een systeembeheerder bent van een klein MKB.. hoe gaat een of andere manager dan weten of jij up to date bent van alles en de juiste veiligheids-, backup- en voorzorgmaatregelen treft en getroffen hebt voor een robuuste en veilige IT infrastructuur? Wie controleert dat, en hoe?.. ja wanneer er een issue is dán komt de kat uit de zak uiteraard en val je door de mand maar kunnen we niet wat meer pro-actief sturen op goed IT beleid? Mijns inziens word daar niet genoeg aan gedaan, en de GDPR is slechts een zeer kleine stap in de juiste richting maar treft maar een klein gedeelte van het overkoepelende orgaan genaamd 'IT'.
"Kat uit de mouw" bedoel je. "Kat in de zak kopen" betekend dat je een nieuwe server aanschaft en de dag er na blijkt er een bug in te zitten die noodzaakt de helft van je capaciteit uit te schakelen. ;)
*aap uit de mouw.

Dat is de grap van de gemaakt contaminatie. Samentrekking van aap uit de mouw en kat in de zak. Dubbel zo "niet jarig" als maar kan zijn. ;)
Touché, heb mijn eigen spreekwoorden dus ook niet op orde. |:(

[Reactie gewijzigd door Valen_76 op 15 augustus 2018 10:08]

Ja dat is natuurlijk de grap.. de baas koopt een kat in de zak (systeemadmin/programmeur(s)) en pas wanneer er wat mis gaat en de hele IT infrastructuur crasht en/of alle klantgegevens op straat liggen ziet die baas pas dat hij een kat in de zak gekocht had. :+

(ahum... jaaa.. dat was opzettelijk hoor dat vernachelen van die spreekwoorden.. O-) )
Oja blaim de sysadmin... 6 weken to production is niet 'ample time'. De patch doorvoeren in dat geval was kinderspel, maar op live production kan je niet zomaar alles pushen. Hoeveel sysadmin krijgen extra taken ? Omdat alles toch automatisch gaat ?
En heb je uiteindelijk alles getest, geraken de patches niet geďnstalleerd door wat vage SCCM problemen en buggy features :)
Ik neem aan dat die supercomputers niet achter een consumentenroutertje direct aan het internet verbonden zijn en dat jan en alleman die geen verstand van zaken hebben niet zomaar toegang tot die systemen heeft als ook dat er niet niet iemand is die een beetje oplet wat er allemaal gebeurt op zo'n systeem/cluster :+
Ik werkte voeg jaar voor een supercomputer manufacturer en we kregen bericht dat er bij een van de klanten een botnet een cryptominer draaide.
Na wat onderzoek bleek dat het achter een standaard router hing met port forwarding en en gedeeld standaard account voor aan *Facepalm*

Dus zelfs bij klanten met een supercomputer kan het fout gaan...

- Ik weet helaas de details er niet van gezien dat buiten mijn team viel, maar we hebben wel gelachen.
- Weet dus ook niet hoeveel er aan verdient is. Lijkt me wel leuk op zo'n machine een cryptominer te draaien.
Om nog maar te zwijgen over de gigantische aantallen tv-decoders of settop boxen, televisies (toch de kernel), air traffic control (eigen ervaring), home routers of zelfs professionele firewalls, ijskasten, auto's, internet radio's... de wereld is zelfs niet alleen groter dan home-pc's en thuis gebruik, de wereld is veel groter dan PC's :-)

Je zou zelfs kunnen stellen dat het heel moeilijk is om een gezin te vinden dat geen Linux heeft draaien thuis (alhoewel men het meestal niet weet), zeker met de huidige digitale televisie.
en hoe veel van die spullen draaien op x86?
De desktop bedoel ik inderdaad. Dat hoeft niet perse thuisgebruik te zijn. Ik ken wel een aantal (kleine) bedrijven die met Linux op de desktop draaien.

Ik draai niet mijn eigen Apache server dat heb ik uitbesteed aan een webhoster. Het is dus hun probleem. Ik begin pas te zeiken als de website down gaat ;)
Toch raar hoe perceptie kan verschillen. Persoonlijk gebruik ik linux al sinds midden jaren 90. Tijd genoeg dus om meermaals in problemen te raken (lees de boel zelf om zeep te helpen).

Een van de dingen waar ik de Linux community enorm voor apprecieer is nu net dat er altijd wel iemand is die je verder op weg helpt. Nuja dit neemt niet weg dat elke community wel een paar rotte appels heeft, maar als totaal plaatje is de linux community toch wel de laatste waarvan ik zou zeggen dat ze niet behulpzaam is.
Linux fanaten?
Wodanford, stel hier m,i een legitieme vraag, cq, correctie t.o.v Fastfreddy666!
Wat het lek in de Intelprocessoren betreft, kunnen die alsnog ontdekt worden bij de AMD tegenhangers, met hu equivalent van Multi threading cores!?
:Y)
Zowel AMD als Intel gebruiken "speculative execution". Mij lijkt het dus toch nog steeds niet volledig uit te sluiten. Echter, ik acht de kans klein, zeker op systemen die gepatcht zijn voor spectre en meltdown.
Ik heb linux geprobeerd, maar het is niet mijn ding en vind windows prettiger. Echter toen ik linux er op zette en wat problemen had. Kon ik alle informatie krijgen van de community om ze op te lossen.
Dat is dus helemaal niet het geval. Het is lekker gemakkelijk om het slachtoffer te gaan lopen spelen, maar het is gewoon een feit dat je bij Linux zelf kunt bijdragen om problemen op te lossen, mits je uiteraard voldoende kennis bezit.

Als dat niet geval is, lost meestal de producent van je distributie de problemen voor je op en hoef je alleen maar de updates te installeren op het moment dat ze vrijgegeven worden.

Het zal de meeste Linuxgebruikers en -ontwikkelaars verder worst zijn wat Intel, Microsoft of welk eender partij doet of naar buiten brengt, zolang de veiligheid en stabiliteit van hun systemen maar gegarandeerd is. In dezen heeft Intel verzaakt, het is nu aan het bedrijf om de door henzelf gecreëerde problemen op te lossen. Niets meer en niets minder.
Ik vraag mij af waarom er nu plots zoveel kwetsbaarheden in Intel-processors worden gevonden. Wordt er niet meer op gefocust dan vroeger omdat er vroeger toevallig een kwetsbaarheid in de cpu's is gevonden?
Klopt, maar die informatie is voor een groot deel van de tweakers (laat staan computer gebruikers) nog het meest relevant

edit: spelfout

[Reactie gewijzigd door DutchMuffin90 op 14 augustus 2018 21:18]

Als je zo wilt azijnpissen :p. Heb het aangepast.
Als je Windows weghaalt wordt deze wereld wel héél klein.
Wel als je Linux weghaalt, gaat ook de stroom water en vrijwel alle infrastructuur weg. Oja en mobiele telefoons.
Geen Google meer, geen Facebook meer, verdomd weinig websites overgebleven, praktisch geen internet meer..... en ga zo maar door. Alles om je heen is Linux, behalve (bij de meerderheid van de mensen) op je computer. ;)
Daarnaast zijn sommige van deze issues erg relevant voor virtualisatie. Lijkt me dat het gros van de desktops die Windows draaien dat niet doen.
Ik zou het niet weten, omdat ik het nooit gebruik. Betekent dat dat we in twee verschillende werelden wonen?
Het is bijna wel zeker dat je het wel gebruikt. Ga je bijvoorbeeld weleens pinnen of kijk je weleens naar een informatie monitor? ;-)
Ik zeg niet dat Linux niet onmisbaar is, maar het marktaandeel van Windows in het algemeen is veruit het grootst van alle OS-en.
Zo gebruik je ook Linux vaak genoeg op je router of je TV, tenzij je het voor elkaar hebt gekregen om Windows IoT erop te laten draaien :)
[...]

Alle pinautomaten over bijna de hele wereld draaien op Windows.

Ja, dat zijn smart tv's ook.
We hebben het over pc alternatieven toch?
GNU/linux is idd blijven steken in 1998 wat gebruiksvriendelijkheid betreft.
De LG TV hier draait op WebOS, wat volgens mij op Linux is gebaseerd. En wat betreft gebruiksvriendelijkheid ligt het er maar net aan waar je aan gewend bent.

Ik heb alleen Windows 9x en 2000 echt gebruikt en kan in nieuwere versies zoals 7, 8 en 10 veel dingen niet vinden en aanpassen. Ik vind Windows gewoon onhandig om te gebruiken en te onderhouden.
Maar snap de link niet met de gui van een tv en een pc met Linux er op.. Dat is appels met peren vergelijken. Aan geen enkel element van de software van een tv merk je dat het evt op Linux of wat dan ook draait. Bij een pc zie/voel/merk en ervaar je duidelijk verschil tussen een Linux distro of een windows of Mac OS of whatever je hebt draaien.

Vroeg mij nog wel af wat je precies bedoeld met "onderhouden"
Draai zelf naast Windows ook een Ubuntu desktop systeem en moet zeggen dat het organiseren van een pc vrijwel het zelfde is. Het gebruik is bijna het zelfde alleen de manier waarop is net iets anders.

[Reactie gewijzigd door Bench op 15 augustus 2018 21:47]

Ik reageer op de zaken die je in een copy-paste reactie schrijft, niet meer en niet minder. Als het niet relevant is, kun je het ook gewoon weglaten. Dat komt de duidelijkheid ten goede en is ook een normale manier om op iemands reactie te reageren.

Windows 10 updates ophalen en installeren duurt een eeuwigheid. Misschien valt daar wel het een en ander aan in te stellen of te verbeteren, maar ik zou niet weten hoe en waar en waarom dat sowieso nodig zou zijn. Debian en Ubuntu updates installeren is meestal een kwestie van seconden en niet langer dan enkele minuten.
Waarom? Denk je echt dat een ander OS zoveel beter is dan Windows? Ik zal je het zeggen: nee totaal niet. Malware wordt geschreven voor het OS dat het grootste marktaandeel heeft, anders vinden hackers het de moeite niet. Dat is de enige reden waarom je minder malware hebt op bijv. Linux en niet omdat het veiliger is. Van Linux kan je zelfs de broncode in kijken want het is open source, hoe veilig kan het dan zijn?
Let op de gebruikte smilie. De wereld zou beter zijn zonder Windows want Windows. Het was een tongue-in-cheek opmerking zogezegd. Maar dat werkt blijkbaar niet.
Wat is dit nu voor drogredenering? Van OpenBSD en Illumos kun je ook de broncode inzien, betekent dat ook dat ze per definitie onveilig zijn?

Misschien zijn wel Tweakersleden die voor je onzin vallen, maar er zijn hier ook genoeg mensen die beter weten en bij hen kom je daar niet mee weg. Een besturingssysteem is net zo veilig als de kwaliteit van de programmeurs en de code die ze bijdragen, of dat nu open source of closed source is.
Jep, want iedereen wil een wereld waar Apple baas is....
Het is iedereen vrij een nieuw OS te lanceren.
Google is daarmee goed bezig met Chrome OS.
Linux had al lang iets kunnen worden mochten ze het wat gebruiksvriendelijker en toegankelijker maken.

Persoonlijk heb ik geen enkel probleem met windows. Ook niet met de telemetrics die zo berucht zijn.
Het is een kwestie van uw persoonlijke voorkeuren in te stellen
ja en zo is het OS van Apple ook Linux, dat bedoeld Jurgen toch niet..

edit: bedoelde UNIX, had nog geen koffie op.

[Reactie gewijzigd door Emin3m op 15 augustus 2018 09:37]

Berkeley Software Distribution, afgeleid van een bepaalde variant van UNIX. UNIX zelf draaide niet op desktops. Die kwamen pas later. Ook is er een enorme patentenoorlog geweest met extreem hoge prijzen waar MS/Windows garen bij kon spinnen. Spreekwoordelijk gezegd. :)
Nee wat Jurgen bedoelt is, "ik heb een Linux Distro eenmaal geprobeerd dat werkte niet dus ga ik maar verkondigen dat het minderwaardig is"

Oh en dat Windows data verzamelt over mij, maakt niet uit. Maar g00gle gaan we wel aan het kruis nagelen. //rant
Dat is UNIX volgend mij
"Linux had al lang iets kunnen worden mochten ze het wat gebruiksvriendelijker en toegankelijker maken."

Even blijven steken onder uw rots in 1998 ? Oja Chrome OS = Linux
Ja, dat zijn smart tv's ook.
We hebben het over pc alternatieven toch?
GNU/linux is idd blijven steken in 1998 wat gebruiksvriendelijkheid betreft.
mint en ubuntu zijn niet in 1998 blijven steken
Klopt. Heb hem zojuist geďnstalleerd en L1TF-fix stond in de notes.
Ik vraag me af of als je al de patches voor de verschillende problemen zoals Spectre, Meltdown en deze nieuwe L1TF bug installeert, de Intel processor nog wel sneller is in single core als de huidige AMD's?
Zou het zo zijn dat Intel enkel nog sneller kan zijn door niet volledig te voldoen aan de juiste data dependency access checks? (Dus eerst toegang checken, voordat er speculatieve executie mag plaatsvinden)
Vraag me zowieso af hoe lang deze stroom van kwetsbaarheden nog voortduurt en tot hoeverre deze de performance van Intel CPU's in de lange termijn uiteindelijk gaat kosten.

Zolang deze kwetsbaarheden niet gepatched zijn dmv. nieuwe hardware revisies iig.

Gelukkig kan je vooralsnog sommige 'patches' in Windows 10 uitzetten dmv. de registry; met tooltjes zoals InSpectre. En gewoon je UEFI niet patchen ;-)

[Reactie gewijzigd door Marctraider op 14 augustus 2018 22:21]

Tja ik ben ook wel benieuwd wat all deze fixes en patches doet voor de prestatie. Maar vergeet niet dat ook voor amd er patches zijn/komen. Ook die hebben last van sommige van de problemen.
Verder heeft intel dit echt niet moedwillig gedaan dit is gewoon een oversight geweest waar ze lang niet bij stilgestaan hebben en nu zijn ze er actief naar op zoek.
Impact op "gaming" (want dat is wat hier bij tweakers steevast met "single core performance" wordt bedoeld) is verwaarloosbaar. De vulnerability en de daarmee samengaande patches hebben invloed op het cache en multitasking gedrag. Games - ook als die multiple threads draaien - draaien in een enkel process en dus in dezelfde memory address space, en daarvoor hoeft de CPU niks anders te doen dan hij altijd al gedaan heeft.

Wel impact heeft dit op multiprocess workloads, denk aan compileren (elke compiler draait in apart process), aan server omgevingen (veel verschillende toepassingen van verschillende users), en natuurlijk VM systemen (verschillende virtuele "machines" met elk eigen adresruimte). Hoe groot de invloed is, is niet te zeggen, want dat hangt helemaal van de workload af.

Wie thuis filmpjes rendert en brute 3D games speelt hoeft niet bang te zijn, de framerate blijft hetzelfde.
Impact op "gaming" (want dat is wat hier bij tweakers steevast met "single core performance" wordt bedoeld) is verwaarloosbaar.
Dit is wellicht met de huidige patches voor mensen die de illusie hebben dat ze op hun PC thuis niet dingen parallel draaien, zoals een game en een browser, of een browser die multiprocess splitsing als beveiliging gebruikt.
Vraag is of het nog steeds zo zal zijn als Intel de correcte dependency checks heeft ingebouwd in de hardware. Ja, je hebt de flushing workarounds niet meer nodig, maar iedere andere operatie mag sommige fases niet meer of niet meer parallel uitvoeren. Dus geen speculatieve loads meer, speculatieve branches, etc...
De dingen die op de PC van je ouders parallel lijken te draaien liggen doorgaans maar een beetje te slapen. Een browser is doorgaans bezig met wachten op netwerkdata, en alleen de pagina die open staat zal misschien actief met javascript bezig zijn, maar dan nog komt het zelden voor dat die een CPU "vol" weet te krijgen, laat staan meerdere cores.
Over welke Processors(serie) gaan deze kwetsbaarheden dan precies?
Uit de Intel-FAQ:
The following IntelŽ-based platforms are impacted by L1TF. Intel may modify this list at a later time.

IntelŽ Core™ i3 processor (45nm and 32nm)
IntelŽ Core™ i5 processor (45nm and 32nm)
IntelŽ Core™ i7 processor (45nm and 32nm)
IntelŽ Core™ m processor family (45nm and 32nm)
2nd generation IntelŽ Core™ processors
3rd generation IntelŽ Core™ processors
4th generation IntelŽ Core™ processors
5th generation IntelŽ Core™ processors
6th generation IntelŽ Core™ processors
7th generation IntelŽ Core™ processors
8th generation IntelŽ Core™ processors
IntelŽ Core™ X-series processor family for IntelŽ X99 platforms
IntelŽ Core™ X-series processor family for IntelŽ X299 platforms
IntelŽ XeonŽ processor 3400 series
IntelŽ XeonŽ processor 3600 series
IntelŽ XeonŽ processor 5500 series
IntelŽ XeonŽ processor 5600 series
IntelŽ XeonŽ processor 6500 series
IntelŽ XeonŽ processor 7500 series
IntelŽ XeonŽ processor E3 family
IntelŽ XeonŽ processor E3 v2 family
IntelŽ XeonŽ processor E3 v3 family
IntelŽ XeonŽ processor E3 v4 family
IntelŽ XeonŽ processor E3 v5 family
IntelŽ XeonŽ processor E3 v6 family
IntelŽ XeonŽ processor E5 family
IntelŽ XeonŽ processor E5 v2 family
IntelŽ XeonŽ processor E5 v3 family
IntelŽ XeonŽ processor E5 v4 family
IntelŽ XeonŽ processor E7 family
IntelŽ XeonŽ processor E7 v2 family
IntelŽ XeonŽ processor E7 v3 family
IntelŽ XeonŽ processor E7 v4 family
IntelŽ XeonŽ processor Scalable family
IntelŽ XeonŽ processor D family (1500, 2100)
IntelŽ microprocessors affected by CVE-2018-3615 - L1 Terminal Fault: SGX
Dus als ik het goed begrijp zijn dat zo'n beetje alle Intel processoren van de afgelopen 10 jaar? Op de Pentium en Celeron series na dan..
De core gebaseerde celerons/pentiums zullen net zo lek zijn ("Xnd generation intel core processors"), enkel de atom gebaseerde chips lijken op het eerste gezicht de dans te ontspringen, hoewel de laatste drie regels van de lijst stiekem nog best eens een addertje onder het gras zouden kunnen zijn
de Core 2 reeks lijkt nog bespaart
Die hebben ook geen hyperthreading.
Rijst bij mij meteen de vraag, is de oude pentium 4 ook lek? :P
dat missen ook redelijk wat i5...

HT en dit L1TF hebben weinig gemeen, behalve Intel :)
Waarom wordt het uitschakelen ervan dan als mogelijke maatregel genoemd?
Die Core 2's zijn prima te doen voor basis taken hoor. 8)7
Mijn vader draait al jaren mijn oude q6600@3ghz met 8gb ddr2 en een ssd. Alles behalve de nieuwste games draait zonder problemen (hij is dan ook geen gamer)
Ik heb een Q6600, niet mijn daily driver maar m'n 2e pc waar ik audiobewerking/opnames enzo op doe. Gebruik hem toch wel een paar uur per week en die draait dan VST instrumenten/effecten, DAW software en m'n 8/8 kanaals audio interface.

Ram een SSD erin, max de RAM capaciteit en met een lichte overclock heb je nog een hele capable machine hoor. Je zal er geen crysis op draaien (want de hardware is inmiddels ruim 12 jaar oud) maar voor de rest boot het ding snel, je kan er prima op photoshoppen of andere semi-zware taken mee doen. Ik moet echt heel veel effecten tegelijk draaien voordat de CPU het niet meer kan bijbenen.

En als je alleen wat documenten tikt of op internet browsed is het ruim voldoende.
Eh ik heb nog een i5 750 (en een gtx 1060). Ik kan misschien niet alles op ultra spelen maar high lukt prima op op 1080p. Videokaart is veel belangrijker en een ssd uiteraard ook :*). Maar ik moet ook mijn cpu een update geven :/
Gaat echt nergens over dit.. Een I7 voor een standaard desktop Computer in een gemiddeld huishouden als standaard nemen vind ik echt de puurste onzin.
Die duo core 2 zie je dagelijks overal nog staan en draaien.. Scholen.. Bibliotheken etc etc.. Een i3 vind ik al overdreven voor een simpele huis computer.
Overal zitten bugs in en je zal er nooit om heen kunnen, daar worden eenmaal fouten gemaakt, denk aan de MMX fout ooit en P60 rekenfout. Het is beter dat ze ontdekken dan laten gaan voor wat het is. De Pentium <120 MHz fout was wel een flinke fout in de FPU maar ja ook daar zijn we overheen gekomen. Ook de MMX bug en geloof ik ook nog de Pentium Pro.
Dan was de Celeron 300/333 MHz zonder L2 cache toch wel een voordeel, kon je geen bug in vinden.
De Covington core had ook bugs. WP bug. Aanwezig en als je er rekening mee houdt, prima, maar wel een bug.
Hij was wel lekker overclockbaar zonder on-die cache!
Vast wel, alle cpu's hebben errata (vaak tientallen) en dat is een eufemisme voor bug.
De aanpassingen in de microcode zijn al eerder dit jaar gedaan
Maar die microcode wordt toch niet automatisch geladen, dat moet de gebruiker toch zelf doen?
Klopt, dat betekend namelijk een Bios update en die gaan niet vanzelf. ( bij Dell in ieder geval )
Ik kreeg laatst via Windows Update een BIOS/UEFI update binnen voor mijn Acer laptop. Dezelfde update stond pas een paar weken later op de site van Acer zelf. Het kán dus wel automatisch.
https://support.microsoft...ndows-10-update-kb4343909
Provides protections against a new speculative execution side-channel vulnerability known as L1 Terminal Fault (L1TF) that affects IntelŽ CoreŽ processors and IntelŽ XeonŽ processors (CVE-2018-3620 and CVE-2018-3646). Make sure previous OS protections against Spectre Variant 2 and Meltdown vulnerabilities are enabled using the registry settings outlined in the Windows Client and Windows Server guidance KB articles. (These registry settings are enabled by default for Windows Client OS editions, but disabled by default for Windows Server OS editions.)

Binnenhalen kan via autoupdate of anders handmatig hier. Wel zelf achterhalen welke versie van Windows je hebt:
http://www.catalog.update...m/Search.aspx?q=KB4343909

[Reactie gewijzigd door Username3457829 op 14 augustus 2018 22:01]

En wie zegt dat de processors uit de AMD stal niet ook lek zijn?
Reactie van AMD
As in the case with Meltdown, we believe our processors are not susceptible to the new speculative execution attack variants called Foreshadow or Foreshadow-NG due to our hardware paging architecture protections. We are advising customers running AMD EPYC™ processors in their datacenters, including in virtualized environments, to not implement Foreshadow-related software mitigations for their AMD platforms.
https://www.amd.com/en/corporate/security-updates

Nog commentaar verder?
Graag zou ik dat nog een klein beetje aanvullen:

1) Foreshadow -> Zoals door @ELD genoemd geen AMD probleem
2) Meltdown (GPZ v3) --> Bij AMD geen probleem
3) Lazy FP State Restore: AMD processors are not affected by this issue. --> Bij AMD geen probleem
4) SGX Spectre --> Bij AMD geen probleem.
5&6) L1 Terminal Fault: Intel CPUs are affected but AMD CPUs, Intel Xeon Phi, and older Intel CPUs are among those not believed to be affected --> Bij AMD waarschijnlijk geen probleem.

7) SpectreRSB:
"AMD is aware of a new research paper on processor speculation and a proposed vulnerability in the return stack buffer. AMD believes its recommended Indirect Branch Prediction Barrier (IBPB) setting mitigates against the described vulnerability.

As stated in this AMD Whitepaper, when IBPB is set in software for context switching, the processor enforces that older indirect branches cannot influence predictions of indirect branches in the future, we believe thereby effectively mitigating against the described vulnerability."
Van de huidige 16 Spectre / Meltdown varianten zijn er dus 7, die Intel wel heeft en AMD waarschijnlijk of zeker niet (als bij #7 de aanbevelingen van AMD zijn opgevolgd).

[Reactie gewijzigd door kidde op 15 augustus 2018 00:18]

Dan zijn er dus 9 die AMD wel heeft?
Bevestigd op AMD: v1, v1.1, v1.2 v2, v3a, v4.
NetSpectre (want is een Spectre v1 netwerk-variant).
--> 7 stuks.

BranchScope: Ik dacht dat AMD's BTB anders in elkaar steekt dan die bij Intel, maar kan de bron helaas niet meer vinden.
Ed: AMD staat niet op de kaart (Ed2 -- Maar bij Spectre v2 CVE-2017-5715 zie ik ook geen AMD staan?)

Kan ik niet vinden (of althans niet of het ook een risico is voor AMD):
ret2spec ('Spectre v5').

AMD: Wss vatbaar voor 7 tot 9,
Intel: Vatbaar voor alle 16!!!

[Reactie gewijzigd door kidde op 15 augustus 2018 00:22]

Dus het glas is halfleeg?
"to not implement Foreshadow-related software mitigations for their AMD platforms."
Ik hoop dat Windows met hun updates (zeker als er eerst even een snelle fix wordt gedaan) AMD niet negatief beďnvloedt.
Lijkt erop dat amd deze bug niet heeft.
Laat ze dan ook maar eens de ballen hebben om hun hele Management Engine open te gooien of ervoor te zorgen dat die compleet uitgeschakeld kan worden. Dit nieuwe verhaal ("kijk eens, we maken het nu zelf bekend!") heeft veel weg van een afleidingsman˝uvre.
Hoe is dit een afleiding manoeuvre? Denk je nou echt dat intel dit een leuke periode vind die ze mooi uitkomt? Geen bedrijf vaart goed bij continu slecht nieuws. Deze lekken hebben alleen een veel grotere prio dan een IME.
Het toont op zn minst dat intel de ernst inziet en actief deze fouten opzoekt en bekendmaakt zoals ze verplicht zijn.
Ik vraag me af of AMD hier ook zo proactief mee bezig is of gewoon wacht tot een ander wat vind en dan eens gaat kijken of ze vatbaar zijn.
Niet dat ik nu een partij voor trek..
Like m'n i5 desktop en I7 laptop doen 't prima... Idem als m'n atom based Nas...
En voorlopig staat er toch geen upgrade op de agenda...

Maar tzt wordt 't wel kijken wat 't meest gunstigste is voor mijn work loads

Als dat nou uit de AMD of Intel stal komt.
Tja je moet bij ieder product kopen wat voor jou het beste is na uitgebreid onderzoek.
Mensen die dat niet doen staan bij de mediamarkt in de rij om het product met de meeste winst maar niet het beste product te kopen.
Ik sta ook open voor beide merken maar gamen is mijn nr 1 prio. Een game pc kan immers prima andere taken doen zij het wat seconden trager maar een 16 core render pc kan niet zo goed gamen. En de kans dat AMD bij mijn volgende systeem bovenaan de lijst van opties is nihil als ze niet fors de ipc verbeteren of veel meer Mhz uit de cores weten te persen.
Zie het filmpje en de extra toelichting op Phoronix:
https://www.phoronix.com/...item&px=L1-Terminal-Fault
Performance sounds like it will take another hit, "There is work in progress to provide other forms of mitigations, which might be less horrible performance wise for a particular kind of workloads, but this is not yet ready for consumption due to their complexity and limitations."

Benchmarks forthcoming with KVM virtualization. Intel CPUs are affected but AMD CPUs, Intel Xeon Phi, and older Intel CPUs are among those not believed to be affected. Intel did post this video to YouTube when trying to dig up more on L1 Terminal Fault
Ik vraag me vooral af wanneer AMD aan ditzelfde onderzoek wordt onderworpen. Sinds de eerste Intel-lekken komen ze bijna met bosjes uit de lucht vallen, dus Intel ofwel een 3rd party is bezig met het hele platform goed door te lichten. Ik vraag me af of dit bij AMD-chips nu ook gebeurd en beveiligingstechnisch beter in elkaar zitten, of dat daar gewoon minder onderzoek naar wordt gedaan?
door grbrek aan onderbouwing is +1 ook niet echt correct maar dit is zeker ontopic

Je spreekt jezelf tegen je zegt namelijk dat dit geen +1 is maar wel ontipic. laat +1 nou net voor ontopic staan en met goede onderbouwing en feiten word iets dus een +2 (informatief)

Verder ben ik het volkomen met je eens dat tweakers deze mod functie beter uit kan schakelen. Mensen worden met regelmaat door een aantal personen op alle onderwerpen die dagen geminned omdat iemand op zijn teentjes getrapt is of het er niet mee eens zijn.
Je kan je afvragen wat er dan nog voor een waarde aan gehecht kan worden.
Ben het helemasl met je eens. Geloof ook gelijk dat er mensen zijn die alleen al minnen omdat ze een naam zien staan uit eerdere topics.
Of stop met die score of laat zien wie die min en plusjes geeft
We moeten overstappen op open source hardware platforms. Door deze lekken te patchen los je het grotere probleem niet op.
We moeten stoppen met doen alsof open source de oplossing is voor alle problemen.
We moeten stoppen met doen alsof er een enkele oplossing is die alle problemen verhelpt
En dan eindigen zoals bij OpenSSL? Waarbij het aan mankracht mist en legacy systemen tot in den treure ondersteund bleven waardoor het onderhoud nog complexer en moeilijker werd? En zelfs dat bedrijven die intern OpenSSL gebruikten patches voor bepaalde lekken voor zichzelf hielden (geheel toegestaan volgens de OpenSSL licentie overigens). Liever niet.

De UltraSPARC van ooit het befaamde Sun Microsystems is open source. Wat daar nog van over gebleven is....
Ik heb niet de illusie dat open source de oplossing biedt voor de meesten. Mischien voor jou alleen? Maar dan denk ik dat jij zelf al open source omarmt hebt?
Wat let je? Ze bestaan gewoon. Je kunt er overigens geen Windows op draaien om je spelletjes te spelen...
https://en.wikipedia.org/wiki/RISC-V
Gaat lekker Intel, ene lek na de andere. Ik denk dat Intel hard zijn best moet gaan doen om het vertrouwen te herstellen bij de klanten.

Persoonlijk heb ik nog een oude i5 4690 en merk dat de prestaties minder zijn geworden na de patches. Vandaar ook mijn sterke twijfels of ik hierna weer een Intel wil (zat te azen op een 8700K, en aangezien ik nog 1080p schermen gebruik is die extra single core snelheid wel handig tijdens het gamen). Maar ik vraag me af of het niet slimmer is om een Ryzen (gen 2) te kopen en dan een dynamic resolution te gebruiken. Dit doe ik op het moment ook, aangezien sommige games gewoon voor mij beter presteren wanneer ik een dynamische resolutie gebruik die hoger ligt dan 1080p.

Een voorbeeld daarvan is Forza, waarbij ik m dynamisch naar een hogere resolutie zet, want op 1080p heb ik stuttering en een cpu op 100% load.

Ik heb overigens een GTX 1070.
Hier een 6700K die nog snel genoeg is. Ik ga pas upgraden naar een nieuwe Intel CPU als al deze lekken hardwarematig opgelost zijn. Mijn systeem is nu wel netjes gepatched, maar ik ga geen Intel CPU kopen die deze lekken heeft. Tegen de tijd dat het nodig is te upgraden moet het voor mij allemaal opgelost zijn, anders wordt het AMD.
Hier een 6700K die nog snel genoeg is. Ik ga pas upgraden naar een nieuwe Intel CPU als al deze lekken hardwarematig opgelost zijn. Mijn systeem is nu wel netjes gepatched, maar ik ga geen Intel CPU kopen die deze lekken heeft. Tegen de tijd dat het nodig is te upgraden moet het voor mij allemaal opgelost zijn, anders wordt het AMD.
Meestal heb je wel current gen, next gen en development. In de praktijg ga je hardware oplossingen pas binnen een jaar of 2 vinden. Het eerstvolgende product dat in de pijplijn zit gaan ze waarschijnlijk niet zo maar on hold zetten. Ondertussen hopen dat er geen andere bugs gevonden worden.
Stel Intel brengt een verbeterde versie van zijn cpu's uit, waarin deze bekende bugs allemaal zijn opgelost.
Maar ook deze zal weer bugs bevatten.

Vandaag een stukje gelezen, hoe een onderzoeker door de CPU beveiling van ring-3 naar ring-0 kon komen. Wel eens waar een DEC CPU, maar toch.
Als je maar creatief genoeg bent, vind je altijd wat.
Stel Intel brengt een verbeterde versie van zijn cpu's uit, waarin deze bekende bugs allemaal zijn opgelost. Maar ook deze zal weer bugs bevatten.
Dat zal ook zeker zo zijn. Ik ga alleen geen nieuwe CPU kopen waar bekende fouten in zitten zonder dat deze opgelost zijn. Dan kies ik voor AMD of wacht ik wat langer. Ik zie gewoon niet waarom ik een CPU zou willen kopen waar bekende fouten in zitten die niet opgelost zijn. Dit staat los van andere onbekende bugs.

[Reactie gewijzigd door PilatuS op 14 augustus 2018 21:35]

Alleen zijn het niet de bekende fouten waar je bang voor moet zijn, daar zijn immers fixes voor, maar de onbekende. Dan wordt het wat lastiger kiezen.
En die fixes kosten je snelheid. Ik wacht gewoon liever tot alles hardwarematig opgelost is dan softwarepatches te moeten draaien. Sowieso wist Intel van deze fouten en hebben ze bijvoorbeeld de 8700 CPU gewoon uitgebracht. Laat ze alles eerst maar eens oplossen voor ik weer Intel koop, anders heb ik liever AMD op dit moment. Je hebt opzich natuurlijk gelijk hoor, maar ik heb liever geen CPU met bekende niet opgeloste kwestbaarheden als ik iets nieuws koop.
Omdat de fouten verhelpen performance kost. Ik heb liever een lekke en snelle CPU in mijn desktop dan een waarvan de prefetcher disabled is om zo veilig te zijn. Dat is de uitdaging de komende paar jaar: snelheid combineren met side channels eruit. Als je geen cloud provider bent en JavaScript in je browser uitzet ben je ongeveer net zo veilig als met een gepatchte CPU, maar dan met behoud van snelheid. Ik weet wel wat ik kies.
[...]


Dat zal ook zeker zo zijn. Ik ga alleen geen nieuwe CPU kopen waar bekende fouten in zitten zonder dat deze opgelost zijn. Dan kies ik voor AMD of wacht ik wat langer. Ik zie gewoon niet waarom ik een CPU zou willen kopen waar bekende fouten in zitten die niet opgelost zijn.
Het vervelende is dat ook de huidige AMD chips bekende lekken hebben, weliswaar minder dan Intel, maar toch zijn er een aantal Spectre varianten waar ook AMD kwetsbaar voor is.

Ik zou persoonlijk ook een AMD chip kopen nu, en doordat er nu zo regelmatig lekker in Intel chips naar boven komen wordt het wel erg verleidelijk om die oude i5 eens te vervangen, maar ook die nieuwe ryzens zijn bewezen niet waterdicht....
Heel goed idee! Jezelf voor de gek houden in de illusie dat een andere CPU veiliger is......

Iedere CPU is lek. Deze lekken zijn gevonden; voordat ze gepatcht zijn, zijn er al weer andere bij gekomen.

Ik zou juist expliciet voor deze CPUs gaan; hiervan weet je tenminste dat een aantal lekken al gedicht zijn. Van een AMD processor of een toekomstige Intel weet je dat er alleen ongedichte lekken in zitten....
Heel goed idee! Jezelf voor de gek houden in de illusie dat een andere CPU veiliger is......
Het feit dat er beveiligingslekken op een lager tempo worden gevonden betekend dat er waarschijnlijk minder of minder makkelijk exploiteerbare beveiligingslekken inzitten. Op de informatie die we nu hebben is AMD minder lek dan intel.
Ik zou juist expliciet voor deze CPUs gaan; hiervan weet je tenminste dat een aantal lekken al gedicht zijn. Van een AMD processor of een toekomstige Intel weet je dat er alleen ongedichte lekken in zitten....
Als er een ongedicht lek in een komende CPU zit zal deze waarschijnlijk ook in de huidige zitten, die kans is vrij groot. En als er een gevonden in zit betekend niet dat er minder ongedichte lekken inzitten die niet gevonden zijn dan in een nieuwe CPU alleen dat ze er minder naar kijken want hij is ouder.
Deze versie van deze software zijn geen lekken gevonden, laat ik 3 jaar oude software gebruiken want dat is veiliger.
[...]

Het feit dat er beveiligingslekken op een lager tempo worden gevonden betekend dat er waarschijnlijk minder of minder makkelijk exploiteerbare beveiligingslekken inzitten. Op de informatie die we nu hebben is AMD minder lek dan intel.
Of het betekent dat Intel de hoofd focus heeft binnen veel onderzoeken of bijv gebruik maakt van een oudere (en dus bekendere) architectuur

De enige conclusie die ik voorlopig voor mezelf kan trekken is dat het aantal Intel bugs best op loopt en deze niet tot minder impact hebben op AMD. Ben ook weer niet verbaasd als er eens een beveiligingsonderzoeker komt die een compleet andere blik heeft op cpu architectuur en ineens een lek vind welke juist meer impact heeft op AMD.

Volgens mij zijn veel van de bugs grotendeels gebaseerd op die ene flaw in de architectuur
Het patroon van de bugs lijkt te zijn dat Intel geen validatie doet: als er in de documentatie staat dat iets niet mag gaan ze er vanuit dat niemand dat ook doet. Zo ook in dit geval: als bit X uitstaat dan is de descriptor invalid. In plaats van dat ze controleren dat het bitje uitstaat gaan ze ervanuit dat dit niet gebeurt en gebruiken de waarde gewoon. Dat even later (als de exploit al gelopen heeft) de CPU alsnog detecteert dat het een probleem was en excepties gaat gooien is niet relevant meer: het leed is al geleden. Het patroon wat ik zie is dat van slechte web-applicaties met matige input validatie maar dan in hardware.
Dit soort lekken zijn vooral in datacenters met cloud oplossingen een probleem. De bulk hiervan is Intel. Dat zal er ook mee te maken hebben.
Heel goed idee! Jezelf voor de gek houden in de illusie dat Intel security op #1 heeft staan.
Zie Meltdown.

AMD komt toch echt heel wat veiliger over nadat ze volledig de dans ontsprongen met Meltdown en een paar Spectre varianten erg moeilijk zijn uit te voeren op AMD.
google eens op Ryzenfall , Fallout , Chimera , Master Key ...
maar zullen we ook kijken naar de rest van chipbakkers?
INTEL AMD Apple ARM IBM VIA hebben allemaal Specter 1+2 en meltdown reported issues (uitgezonderd AMD =geen meltdown)

je zou zeggen dat anno 2017 een bedrijf zoals amd toch wel genoeg kennis en verificaties heeft om zo een bugs te voorkomen?
intel zit al jaren met hetzelfde core design en daarom hebben ze ook zoveel geimpacteerde producten (behalve dat ze ook de het grootste marktaandeel hebben = automatisch meer % geimpacteerd)

het gras is altijd groener bij de buren :-) maar beide hebben ze adders onder t gras zitten
AMD is niet kwetsbaar voor 1.2,3A.
Overigens is variant 4(SSB) zo moeilijk om uit te voeren dat vorige fixes genoeg zijn en dat memory disambiguation geen probleem is. Iets wat bij Intel wel een probleem is en nog niet gefixed is in de volgende CPU's van Intel die hardware fixes heeft.

Overigens moet je voor Masterkey eerst de bios reflashen en heb je voor de andere allemaal priviliged rights nodig.
Met het budget van Intel voor R&D en dat ze marktleider zijn zou er juist zorg voor moeten dragen dat deze bugs juist opgelost waren. Daarnaast is het eigenlijk veel erger. Om deze laatste bedreiging te voorkomen, moet je "CPU pinning" doen of "Hyperthreading uitzetten" in je Virtuele omgeving.

CPU pinning heeft als impact dat je cores vast zet op een ESX/Hyper-v server. Dat wil zeggen dat het aantal Virtuele machines wordt gelimiteerd naar het aantal cores. Ik ken omgevingen waar je dan gewoonweg 3 x zo veel ESX hosts neer moet zetten.

Hyperthreading uitschakelen is een andere oplossing welke Intel aandraagt. Wat gewoon een halvering in CPU capaciteit is. Dus je hebt een 2x zo grote ESX/Hyper-V omgeving nodig.

Kortom, wanneer "gebruikers/klanten" van een bedrijf gaan eisen dat deze bugs opgelost worden, dan moet de eigenaar van de Virtuele omgeving gewoon zwaar opschalen met alle kosten van dien.

En waar nog niet eens rekening mee is gehouden dat de voorgaande "oplossingen" ook al een negatieve impact van 2 tot 20% hadden afhankelijk van de workload.

En nu kan je schermen met "Ryzenfall , Fallout , Chimera , Master Key" maar om die toe te passen heb je hele andere scenario's, en ik vermoed dat de alarmbellen af gaan wanneer er iemand bij een ESX farm staat en een host uit zet om er een andere BIOS in te flashen.

Eigenlijk zou ik het persoonlijk wel weten. Intel spul er uit, claim leggen bij leverancier en AMD Epcy naar binnen rijden.
Elke CPU is lek, maar niet elke CPU is interessant. Professioneel hackers (= geld ermee verdienen) zijn voornamelijk uit op bedrijfssystemen. Daarom vermoed ik dat de aandacht ligt bij Intel systemen.

Ik kan me de laatste keer dat ik een AMD op een kantoor zag niet meer herinneren. (Servers heb ik geen weet van)

Hetzelfde geldt voor MacOS. Waarschijnlijk net zo lek als Windows (of erger) maar het is meer een consumentenproduct. Je kan als hacker misschien de foto’s van Fifi jatten, maar dan houdt het gauw op.
Mee eens.. Heb serieus nog nooit een amd pc in een bedrijf gezien. En zie heel wat bedrijven wereldwijd van binnen.
AMD is ook niet vrij van zulke problemen hoor, wel lijkt het op dit moment minder te hebben dan Intel, maarja, intel is dan ook een grotere target om te testen/controleren dan AMD.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True