Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Intel Gen7-gpu presteert op Linux aanzienlijk slechter na beveiligingspatch

Intel-gpu's van de zevende generatie, die in Ivy Bridge- en Haswell-processors zitten, presteren veel slechter dan voorheen na het doorvoeren van een beveiligingspatch voor de Linux-kernel. Bij de Core i7-4790K daalden de prestaties van de gpu gemiddeld met 42 procent.

Eerder deze week bleek dat er patches voor de grafische drivers van Intel voor Linux waren verschenen, vanwege een kwetsbaarheid met aanduiding CVE-2019-14615. Phoronix schreef erover. Het beveiligingsprobleem speelde volgens die site bij de Gen9- en Gen7/7.5-gpu's van Intel. Gen8 was niet getroffen, door de implementatie van eerdere code die het probleem bij die generatie verhielp. Het beveiligingsprobleem maakt het mogelijk informatie van een systeem te achterhalen, maar voor het uitbuiten van het lek is lokale toegang tot het systeem nodig, wat de impact relatief beperkt maakt.

De impact op de prestaties is wel aanzienlijk, toont Phoronix aan. De invloed op de Gen9-gpu bleek minimaal, maar de site publiceert uitgebreide benchmarks van een Core i7-3770K en een Core i7-4790K . Daaruit blijkt dat de gpu van de 3770K gemiddeld 18 procent slechter en die van de 4790K 42 procent slechter scoort. Verbetering door nieuwe drivers acht Phoronix niet waarschijnlijk omdat Intel er al maanden aan gewerkt heeft en terugdraaien door de "mitigations=off"-kernelparameter is niet mogelijk.

Veel details over kwetsbaarheid CVE-2019-14615 zijn er op het moment van schrijven nog niet bekend. Intel zelf beschouwt de impact als 'medium' en het bedrijf meldt dat meerdere Core-, Xeon-, Pentium-, Celeron- en Atom-generaties zijn getroffen. Intel adviseert ook Windows-gebruikers om de grafische Intel-drivers te updaten. Niet bekend is of en zo ja in hoeverre die ook een prestatievermindering tot gevolg hebben.

De patch was een van meerdere die Intel dinsdag uitbracht, waaronder voor een lek in de VTune Profiler. Threatpost zet de patches op een rij.

Bron: Phoronix

Door Olaf van Miltenburg

Nieuwscoördinator

16-01-2020 • 17:37

63 Linkedin Google+

Submitter: Umbrah

Reacties (63)

Wijzig sortering
Misschien off-topic, maar ik krijg het idee dat er aan de lopende band nieuwe security issues van Intel opduiken. Hoe kan het dat Intel zo vaak lijkt te zijn getroffen t.o.v. AMD?

Edit: disclaimer ik heb uitsluitend Intel cpu's in huis en probeer geen fanboy rants te starten. Ik ben gewoon benieuwd waarom het voor Intel zo vaak naar boven lijkt te komen.

[Reactie gewijzigd door sfstar op 16 januari 2020 17:45]

Omdat de huidige Core architectuur van Intel nog steeds grotendeels is gebaseerd op Pentium III...
Zo oud is het eigenlijk. Veel van deze beveiligingsproblemen bestonden simpelweg niet toen Pentium III werd ontwikkeld. Een van de grootste problemen is virtualisation. Het bestond niet en nu is het wijdverspreid voor servers. Telkens weer vallen daar de klappen omdat de Intel CPU's simpelweg geen adequate beveiliging hebben voor een scenario waar een CPU met meerdere cores, verschillende programma's draait. Immers was Pentium III een single core architectuur. Er is geen adequate scheiding voor het geheugen binnen een "moderne" Intel CPU voor dit soort taken.

Daarom is Intel zo gevoelig voor beveiligingsproblemen zoals Spectre, MDS, Zombieload etc. Ze maken allen gebruik van de gebrekkige beveiliging tussen de verschillende CPU cores hun geheugen. Allen vissen data uit cache die niet goed afschermt is en dat is geen incidenteel probleem dat met een paar patches opgelost kan worden. Zoveel zou nu toch wel duidelijk moeten zijn. Nee, dit zijn architecturale defecten en dit kunnen ze alleen gaan oplossen met een geheel nieuwe architectuur. Dat ontwikkelen duurt jaren.

Intel liegt ook gewoon over hun fixes. Ze fixen alleen wat ze echt moeten fixen omdat het ze direct is gemeld door onderzoekers. Dat doen ze halfhartig omdat elke fix gepaard gaat met prestatieverlies. Onderhand zijn de onderzoekers van de Vrije Universiteit in Amsterdam, die nu al zoveel fouten hebben ontdekt en netjes gemeld, het ook zat en zijn ze naar de NYT gestapt.
Intel’s security response team worked for the next eight months to verify the findings and develop a patch, scheduled to be released on May 14. Four days before the release, however, when the company provided the researchers with details of the fix, the researchers quickly realized that the patch didn’t address all of the vulnerabilities.

Intel’s engineers had overlooked some of the proof-of-concept exploits the researchers had provided. But the researchers said that even without seeing the exploits, Intel should have been able to uncover the additional vulnerabilities on their own.

The researchers said Intel had chosen an ineffective way to address its chip vulnerabilities. Rather than fix the core issue, which would possibly require redesigning the processor, it has patched each variant as it is discovered.

“There are tons of vulnerabilities still left, we are sure,” Mr. Bos said. “And they don’t intend to do proper security engineering until their reputation is at stake.”

Whenever a new class of vulnerability is discovered, it is standard practice for engineers fixing the code to search for additional instances of the problem beyond what is known and reported.

None of the attack variants the Dutch researchers gave Intel were fundamentally different from the ones Intel did patch, so Intel should have been able to extrapolate and find the others on their own, the researchers argued.

“Many of the attacks they missed were a few lines of code different from the others. Sometimes a single line of code,” Mr. Giuffrida said. “The implication of this is of course worrisome. It means until we give them all possible variations of the problem, they won’t actually fix the problem.”

The company has addressed the core problem through hardware fixes in some of its chips and will do similar fixes to other chips, Intel’s Ms. Rosenwald said.
https://www.nytimes.com/2...ology/intel-chip-fix.html

Ondertussen vindt er nu al een tijdje een op het eerste gezicht een vreemd fenomeen plaats. Elke keer als er weer een beveiligingsfout word gevonden, worden er paradoxaal meer Xeon's gekocht. Dat gebeurd omdat elke keer er reële capaciteit verdwijnt met elke beveiligingsupdate omdat ze allemaal prestatie impacts hebben. Een server is een complex systeem met veel verificatievereisten, softwareontwikkeling en nog meer verificatie. Het is niet zo simpel als een hoop Epyc chips kopen omdat je Intel helemaal zat bent na de zoveelste beveiligingsfout. Daarom worden er maar Xeon's gekocht om het verlies op korte termijn te compenseren. Omdat Intel veel meer verdient aan Xeon's, zijn ze nu al twee jaar lang bezig om de andere markten af te knijpen. Daar komen de tekorten aan desktop en laptop Core I chips vandaan.

Dit is natuurlijk niet houdbaar op lange termijn. Het is dan ook de vraag wanneer het omslagpunt zal plaatsvinden waar Epyc echt gaat doorbreken omdat het verificatieproces en de migratie naar Epyc, goedkoper is geworden dan doorgaan met Xeon. Ik heb geen idee hoe lang het zal duren, maar op deze manier gaat het een keer gebeuren.


In groot contrast staat dan ook AMD haar Zen architectuur. Die is vanaf de grond af ontworpen als een nieuwe architectuur die zeer doelbewust is ontwikkeld voor schaalbaarheid en beveiliging voor toepassing in moderne, grote datacentra. Het doel vanaf het begin was een serverarchitectuur ontwikkelen die klaar was voor de wereld van big data. Daarom komt AMD met zaken zoals 64c chips, betere SMT en hebben die chips wel een fatsoenlijke beveiliging. Niks is schadelijker voor een datacentrisch bedrijf dan een verlies aan vertrouwen dat je die data wel veilig kan opslaan. Denk hierbij aan medische gegevens, financiële gegevens, big data, bedrijfsgevoelige informatie etc. Dat wil je niet uitgelekt hebben omdat de financiële en imagoschade gigantisch kan zijn, zie bijvoorbeeld Equifax in de VS. AMD heeft dat heel goed begrepen. Epyc zal echt niet perfect zijn als platform, maar het is op het moment veel beter dan Xeon.

edit: Paar zinnen iets beter leesbaar gemaakt. :P

[Reactie gewijzigd door DaniëlWW2 op 16 januari 2020 20:19]

Dit is natuurlijk niet houdbaar op lange termijn. Het is dan ook de vraag wanneer het omslagpunt zal plaatsvinden waar Epyc echt gaat doorbreken omdat het verificatieproces en de migratie naar Epyc, goedkoper is geworden dan doorgaan met Xeon. Ik heb geen idee hoe lang het zal duren, maar op deze manier gaat het een keer gebeuren.
Intel pompt nog altijd miljaren in R&D. Het is dus eerder de vraag of AMD snel genoeg marktaandeel kan winnen vóórdat Intel met een fundamenteel andere architectuur komt.

Ondertussen heeft AMD het makkelijker dan ooit:
-ze mogen extern 7nm inkopen (wurgcontract met glofo opgelost)
-consument is positief over ryzen dus mindshare
-markt groeit zo hard dat het succes van AMD niet ten koste van de omzet van Intel gaat (die draaien nog altijd op maximale productie met als verschil dat nu de voorraden op zijn) waardoor een echt hevivge hevige reactie uit is gebleven

Intel heeft ondertussen al toegegeven dat toekomstige verbeteringen vast zitten aan de generatie ná 10nm en doordat 10nm niet lekker van de grond komt daarmee de boel is gestagneerd. Op basis hiervan hebben ze aangegeven in de toekomst anders te gaan werken en die verbeteringen modulair te houden. Hier kwam Intel in 2019 mee dus ik zou het 3 tot 5 jaar geven voor we dit in de praktijk gaan zien.

Vergeet overigens ook niet dat er ook in de 9xxx serie weer diverse fixes zitten. Dus helemaal gestagneerd is het niet.

[Reactie gewijzigd door sdk1985 op 16 januari 2020 21:24]

Niks is schadelijker voor een datacentrisch bedrijf dan een verlies aan vertrouwen dat je die data wel veilig kan opslaan. Denk hierbij aan medische gegevens, financiële gegevens, big data, bedrijfsgevoelige informatie etc. Dat wil je niet uitgelekt hebben omdat de financiële en imagoschade gigantisch kan zijn, zie bijvoorbeeld Equifax in de VS. AMD heeft dat heel goed begrepen. Epyc zal echt niet perfect zijn als platform, maar het is op het moment veel beter dan Xeon.
Hoewel ik het eens ben met je stelling dat bedrijven hun data veilig willen opslaan en ook met je eens ben dat het lijkt alsof de nieuwe architectuur van AMD dit beter doet vind ik wel dat je in zo'n lang verhaal de andere kan niet moet vergeten.

Waarom lees je hier veel over maar zie je weinig paniek bij bedrijven? Alle bugs in deze categorie gaan ervan uit dat je niet alle threads op een processor kan vertrouwen. Nu is dat natuurlijk in veel situaties een probleem. Denk hierbij aan consument die een website hosting afneemt waarbij de website samen met tientallen andere websites op 1 fysieke server of cluster draait.

Zakelijk gezien is het natuurlijk een compleet ander verhaal. Intel chips zijn in zulke grote getallen aanwezig dat je enorm veel alternatieven hebt. Zo bieden hosters, private clouds en publieke clouds nu al veel de optie om tegen betaling een dedicated machine te krijgen speciaal voor jou alleen.

In interne datacenters is vaak zelfs nog zo ingeregeld dat de opslag van bestanden ergens op een diep verstopte backend draait terwijl publieke servers (zoals de websites) ergens op geïsoleerde machines/switches/firewalls draaien. Als hackers vanuit zo'n DMZ je interne netwerk binnen komen en daarna doorbreken in de backend dan heb je echt veel grotere problemen

Hoewel een ernstig probleem denk ik niet dat het voldoende zal zijn om de datacenter markt maar AMD te laten bewegen. Nee, bedrijven hebben 10 tot 20 jaar ervaring met Intel en ik verwacht dat de meeste partijen pas echt naar AMD gaan kijken als ze hetgeen wat ze nu doen nog iets van 3 tot 4 jaar volhouden... Ik hoop persoonlijk dat het ze lukt want je moet je niet onderschatten dat Intel nu deals met partijen als DELL kan sluiten voor zowel consumenten chips en zakelijke chips terwijl de onderhandelingspositie van AMD relatief zwak is omdat ze super mooie server chips leveren maar de klanten van DELL die stap nog niet durven te nemen. Ze bieden nu dus nog geen portofolio aan maar puur en alleen stukje van een portfolio (gezien vanuit bedrijven die naast consumenten producten nog veel meer doen)

[Reactie gewijzigd door Mellow Jack op 16 januari 2020 23:27]

De echte grote datacenters worden vaak gebouwd door kleinere spelers (niet direct via een fabrikant als DELL) via de aanbestedingsmarkt. Deze serverboeren willen (en kunnen) flexibel bouwen om zo voor de laagste inkoop aan de aanbestedingseisen voldoen. Die 'kleinere spelers' kopen echter wel groot in en zijn in staat om het prijsbeleid te beinvloeden, hierdoor kopen ze zelfs soms in om de concurrent te bewegen de prijs omlaag te brengen.

D.w.z dat ze bij veel platforms en processors rondshoppen om de beste bulkdeals te kopen. Als AMD goedkoper is (en dat lijkt incl het platform eromheen vaak goed te kunnen), dan is er niks dat ze tegenhoud om AMD's in te zetten.

Verder denk ik niet dat de high end servermarkt echt zo conservatief is. In de tijd dat de Opteron kostenefficienter was dan de Xeons werden ook massaal de Opterons ingezet. Het zijn immers niet die bedrijven die met 'AMD' moeten werken, dat doet alleen de bouwer. De eindgebruikende datacenter werkt vnl met software en deert het niet of daar een AMD of een Intel onder zit.
Hopelijk dat de grote software boeren hun enterprise pakketten dan ook gaan certificeren voor AMD hardware. Ik denk dat dat ook een probleem vormt om te switchen.
Eindelijk iemand die het echt snapt!
Hier valt wat meer te lezen, aan het eind de verhouding tussen Intel and AMD.
https://www.tomshardware....md-most-secure-processors

1) Intel currently has 242 publicly disclosed vulnerabilities, while AMD has only 16. That’s a 15:1 difference in AMD’s favor.

[Reactie gewijzigd door Erka56 op 16 januari 2020 17:52]

Die vergelijking is niet heel veel zeggend, immers Intel heeft veel meer producten dan AMD. Daarnaast heeft Intel ook nog eens een flinke software tak.

Zo'n 15:1 verhouding zegt dus vrij weinig in dit geval aangezien dat aantal betrekking heeft op alle producten, waaronder ook alle software oplossing.

Wel kun je makkelijk stellen dat op basis van de nu bekende informatie AMD cpu's veiliger zijn dan Intel cpu's.
Gaat over processoren. Dat is vaak op architectuur gebied. Wat betekend dat een hele reeks slecht is. Nu is de vraag hoe ze dat tellen.

Ik verwacht maar kan even lastig het artikel lezen dat een lek per reeks geteld wordt
En dat is niet zo, hier de lijst van alle Intel CVE's. https://www.cvedetails.co.../vendor_id-238/Intel.html

Die lijst is niet exclusief voor CVE's gerelateerd aan Cpu's. Vandaar dat het ook zo krom is dat het artikel van Toms dat Schijnbaar niet duidelijk aangeeft.
Die ratio zegt eigenlijk helemaal niks. Als er 15 fouten in zitten die eigenlijk niet veel zouden doen bij Intel en een gigantische bij AMD die de hele processor nutteloos maakt, nou geef mij maar die 15.

Als je ze gaat ranken op prioriteit en daarna zo een ratio opstelt kan dat maar op deze manier ziet het eruit als iets dat marketing heeft opgetoverd.
Verschil in architecturen misschien. Misschien dat AMD gewoon hun architecturen veel beter in elkaar heeft zitten dan Intel.

En ik denk ook dat Intel hun CPUs ontworpen heeft maar dit net van die security issues zijn waar gewoon nooit over nagedacht is dus ook geen issues waren tot ze gevonden zijn.

En wat betreft Ryzen CPUs ik denk vooral sinds dat schijnwerpers op Intel staan met security issues dat AMD gewoon veel beter naar hun Architecturen kijkt dus dat we daarom niks horen over Ryzen CPU's/
Dit hele verhaal gaat over een GPU. Graphcs. Daar is Intel niet de beste in (al verkopen ze er mega veel).
Een videochip kan net als een CPU het geheugen doorrazen. Geen ide eof een MMU dat nog tegenhoudt, maar een GPU die stiekum screenshots maakt (videogeheugen kan ie uit de aard der zaak bij) is natuurlijk ook ongewenst.
Wellicht is dat dan ook een oorzaak: het feit dat ze altijd achterliepen op de concurrentie heeft ze misschien doen besluiten om wat shortcuts te bewandelen in het chip-design.
Ze liepen toch niet achter? Sterker nog, Intel is nog altijd de grootste en heeft weinig concurrentie gehad voor een hele tijd. Dit had echter wel een aantal redenen:
- Intel's marketing budget.
- Intel's wegkapen van personeel bij concurrenten.
- ARM is nog geen x86, er is nog altijd veel vraag en de doelgroepen zijn deels anders.
- AMD socks waren goed, maar waren op prestatie gebied minder.
- AMD heeft geen groot marketing budget en heeft veel moeten afschrijven op ATI waar het een tijd niet lekker liep.

Als je bedoelt op GPU gebied, dan klopt dit ook niet. De meest verkochte notebooks waren toch echt Intel GPU's of gecombineerd met een NV/AMD. Ik heb geen bron, maar zag het vooral terug in de PW en computerzaken.

De markt is nu omgekeerd en AMD lijkt nu de beste kaarten in handen te hebben. Echter heeft Intel heel veel geld en zitten ze bij veel partijen er diep in. Nu AMD komt, gaat Intel de prijzen verlagen en beloven dat ze alles gaan oplossen, dat dit echt ten koste gaat van prestaties vertellen ze er niet bij (3-6% heb als officeel cijfer voorbij zien komen).

AMD zou echt niet wegkomen met al die security issues die lijden tot forse prestatie verliezen. Intel komt dat wel door hun buffers en goede contacten in de IT.

[Reactie gewijzigd door foxgamer2019 op 16 januari 2020 22:26]

Ik bedoelde specifiek de GPU aangezien @sympa het erover had. Qua CPU heb je zeker gelijk.
Ik heb mijn reactie aangepast. :)

Maar ook daar zet ik mijn vraagtekens. Erg veel notebooks zijn uitgerust met een Intel GPU, met hun Larabee project hebben ze daar ook veel uitgehaald. Het is nog altijd niet top, maar voor veel toepassingen prima (video, multimedia, simpele spellen). Ook hebben ze recent hun eerste 'echte' GPU aangekondigd, wederom niet top, maar concurreren met AMD en NV is gewoon erg moeilijk en dan kan je beter eronder zitten dan helemaal niet.

Intel HD's/GPU's is ook een goede keuze voor Linux gebruikers aangezien AMD en NV een lange tijd achterliepen met hun drivers. Inmiddels is AMD goed op weg beide flink in te halen, maar dat is wellicht meer een persoonlijke mening. ;)

[Reactie gewijzigd door foxgamer2019 op 16 januari 2020 22:33]

Dat is het punt wat ik probeerde te maken: ik vroeg me af of ze misschien niet iets te kort door de bocht zijn gegaan om de concurrentie te kunnen bijhouden? Ik weet te weinig van de architectuur etc af om dat zelf te kunnen beoordelen, maar ik kan me voorstellen dat er onder druk van de marketeers nog wel eens wat gebeurt.
Intel GPUs gebruiken altijd shared memory (dus CPU en GPU delen het geheugen). NV en AMD oplossingen zijn (meestal) dedicated GPUs met eigen geheugen. En Intel werkt aan GPU sharing (GVT-d). Wellicht moet je het in die hoek(en) zoeken als verklaring dat NV en AMD niet in het nieuws komen met dit soort zaken (en natuurlijk de marktomvang: Intel GPUs zitten overal in, sommige mensen gebruiken het niet maar zit het nog steeds wel op je CPU).
De reden dat het in vrijwel elke Intel CPU zit is omdat zij zo de wet van Moore hebben kunnen blijven pushen. De iGPU performance is voornamelijk het enige wat echt gegroeid is de laatste 6 jaar met flinke stappen. Vanaf Haswell is het erg kraig gebleven qua performance improvements in Intel CPU's het meeste is voortgekomen uit core increases na Skylake.
De wet van Moore zegt dat het aantal transistoren verdubbeld iedere 18 maanden. Dat speelt al langer niet meer. Het wordt vaak verward met de CPU performance die iedere 18 maanden verdubbelt. Dat is al veel langer niet meer zo en de meeste CPU benchmarks doen niets met de GPU. De reden dat Intel een GPU op de CPU doet is vrij simpel: marktaandeel. De overgrote meerderheid van systemen worden zakelijk gebruikt en daar is een beetje 2D video kijken het zwaarste wat er gebeurt. Vroegah toen er geen GPU op de CPU/chipset zat, zat er dus altijd een aparte videokaart in het systeem en later geintegreerd op het moederbord. Dan was de situatie dat je dus een CPU van intel had, met een intel chipset of NVidia of Sis of UMC of VIA. En Intel had geen GPU en SiS wel. Dus als klant die zijn geld maar 1 keer uit kon geven kocht je dus een SiS moederbord (eigenlijk: je kocht het goedkoopste systeem en dat was SiS oid). Intel kwam toen eerst met een dGPU (de i740, hard geflopt) en integreerde deze vervolgens in de chipset (intel GMA) en later op de CPU (intel HD). Dus dat er een GPU op je CPU zit heb je te danken aan handige Taiwanezen die marktaandeel van Intel afsnoepten.
De transistors zijn qua iGPU wel verdubbeld voor een langere tijd dus zo hebben zij de wet van Moore toch in stand gehouden. Geintegreerde grafische chips (want we spreken nu in het 2D tijdperk) waren nauwelijks een factor binnen de CPU markt. Helemaal omdat SIS, Ali chipsets etc flink minder presteerden.

Nforce chipsets hadden geen GPU aan boord en de i740 was ver ver ver voordat de Intel GMA gemeengoed werd.
Ik denk niet dat de wet van Moore een doel op zich is voor Intel ;-) Maar over de Intel GMA: in i810 zat een i740 derivaat, alleen noemde men het pas vanaf de i915 GMA. Die i810 komt uit '99 (1 jaar na de i740). En dat Sis/Ali etc. minder presteerde was, toen ik nog PCs verkocht, geen reden voor mensen om het niet te kiezen. Stabiliteit overigens wel. Zeker met de komst van de Pentium 1 en de 430/440 chipset serie: die vielen niet om als je er naar keek.
In mijn geheugen was SiS destijds echt rotzooi, vooral met zaken als correcte MMX support etc bij processoren die dit hadden. Dat hele SUper Socket 7 gebeuren was een rotzooi met alleen de ALI5 dat nog wel okay was als je een degelijk board had.

Zw hebben recentelijk pas te statements gemaakt dat het hun niets meer zou boeien.
https://www.technologyrev...the-brakes-on-moores-law/
Of dat het geval is weet ik niet, deze issues kwamen pas groot in het beeld ruim nadat Ryzen gelanceerd was.

Het is echter wel zo dat Ryzen een relatief nieuw ontwerp waardoor er bij het ontwerp voortschrijdende kennis is meegenomen aangaande security. Doordat Intel problemen heeft met het productie proces zitten ze vrijwel vast op hun aloude core ontwerp waarvan de oorsprong begin tot halverwege de jaren 2000. Dat zal ook een groot verschil zijn in het voordeel van AMD momenteel.
Maak er maar halverwege jaren '90 van. Het hele verhaal gaat terug tot Pentium Pro uit die tijd. Pentium II en III zijn daarop gebaseerd, net als Pentium M. Pentium 4 heeft een compleet andere architectuur. Daarna is Intel terug gegaan naar Pentium M als basis voor alle Core cpu's.
Vergeet natuurlijk niet dat deze zwakke beveiliging ervoor heeft gezorgd dat men beter presteerde dan AMD.

Dat kalf is nu wel verdronken, Intel heeft er heel wat baat bij gehad in het verleden en zat op hun lauweren te rusten. Doordat AMD het eerlijk speelde hebben ze 10 jaar gewacht, maar ondertussen een enorme voorsprong opgebouwd.
Ik denk dat het ook komt door de feature creep en uitgebreide CPU management features in Intel CPU's / netwerk kaarten etc. Als je al een compleet OS op de CPU zet (een aangepaste Minix) dan kan je natuurlijk verwachten dat er meer issues zullen zijn. Hoe groter de "attack surface", hoe meer problemen je kan verwachten.
Misschien off-topic, maar ik krijg het idee dat er aan de lopende band nieuwe security issues van Intel opduiken. Hoe kan het dat Intel zo vaak lijkt te zijn getroffen t.o.v. AMD?

Edit: disclaimer ik heb uitsluitend Intel cpu's in huis en probeer geen fanboy rants te starten. Ik ben gewoon benieuwd waarom het voor Intel zo vaak naar boven lijkt te komen.
Misschien wel om de reden die je zelf aangeeft: iedereen heeft Intel CPU's. AMD is recent sterk in opkomst maar Intel is nog steeds erg groot.
Daar komt bij dat de focus op security in de laatste 4 à 5 jaar, terecht, enorm is toegenomen. Deze cpu's zijn ver voor die tijd bedacht en geproduceerd in grove getale. (Het artikel bevat fouten, Ivy Bridge is 3e generatie en Haswell is 4e generatie).

In die tijd werd hier veel minder rekening mee gehouden en was performance het belangrijkst. Nu zitten we met de erfenis van die beslissingen.
In die tijd werd hier veel minder rekening mee gehouden en was performance het belangrijkst. Nu zitten we met de erfenis van die beslissingen.
Het hielp ook niet dat AMD het Opteron platform in de tijden van Bulldozer compleet links liet liggen, en hun engineering skills liever stak in APU's, en ARM servers dan in een serieuze refresh van hun server lijn. Ze hebben toen heel veel goodwill bij de servermakers verloren.
Het artikel bevat fouten, Ivy Bridge is 3e generatie en Haswell is 4e generatie
Dat zijn idd de CPU generaties, maar het artikel heeft het (vzikz correct) over de GPU generaties.
Wat ook rol kan spelen is door groter marktaandeel, dat er meer gezocht wordt door cybercriminelen naar fouten.
Misschien wordt vooral Intel onderzocht omdat hun marktaandeel veel groter is en de uitkomsten daardoor ook voor veel meer mensen interessant.
Dat suggereert Intel ook wel eens. Maar dat is gewoon niet waar. Vrijwel alle Intel bugs worden in Nederland gevonden, door researchers die ook naar AMD chips kijken.
Intel heeft een paar jaar geleden een paar design keuzes gemaakt en complexe drivers gemaakt die nu beter begrepen worden door security onderzoekers, vooral in management IMT, AMT, IME en ook in hyperthreading. Intel bagatelliseert de problemen ook snel en voor mij werkt dat als een rode lap.

AMD heeft ook problemen, maar ze reageren daar sneller en beter op en hun marktaandeel is ook kleiner. Misschien hebben ze netzoveel problemen als Intel, maar zijn ze nog niet ontdekt en gepubliceerd.
Van wat ik heb gezien is dat al die bugs te herleiden zijn naar 1 grote security flaw in de processor en vervolgens worden meerdere manieren ontdekt om die security flaw te exploiten. Iedere exploit krijgt vervolgens een eigen naam.

Hierdoor lijkt het alsof er heel veel security flaws zitten in de intel processoren terwijl ze in feite allemaal dezelfde security flaw exploiten op een andere manier.

Hopelijk geeft dit meer duidelijkheid!
Jarenlang voorlopen op AMD en daarom gewoon lui worden en de consument uitbuiten zou ik zeggen.

Daadwerkelijke reden: Geen idee.
Jarenlang voorlopen op AMD en daarom gewoon lui worden en de consument uitbuiten zou ik zeggen.
Dat is veel te kort door de bocht!

Denk meer aan waarom je vroeger op Mac relatief weing virussen aantrof, het marktaandeel was gewoon te klein. Intel wordt primair in de zakelijke en server omgevingen gebruikt in het bedrijfsleven en in overheidsinstellingen. Het is dan niet zo vreemd dat security experts zich daar primair op richten. Als er genoeg mensen zoeken wordt vanzelf wel wat gevonden, de kans is zeer aanwezig dat bij AMD opeens een hoop meer issues zouden worden ontdekt als er net zoveel mensen naar op zoek zijn.

En natuurlijk gaan mensen roepen "Maar AMD heeft deze issues niet!", maar de realiteit is dat AMD deze specifieke issues niet heeft in deze specifieke implementatie... Ik ga Intel niet goedpraten, maar er is een keerzijde aan populariteit.
Wat CPUs betreft: Intel voert speculatieve instructies uit ook bij het passeren van een security-domein. AMD niet. Ik vraag me al tijden af of AMD dit niet doet omdat ze weten dat het riskant is, of misschien omdat Intel een patent heeft, of misschien om een andere reden.
Jammer dat David Kanter zo weinig schrijft op realworldtech.com, het was een perfect onderwerp voor zijn site.
Misschien heb je hier een punt. Het is zeker zo dat de kans dat een Intel lek gebruikt gaat worden sowieso groter vanwege jouw redeneringen. Met zo min mogelijk effort zo veel mogelijk winnen.

Mac linux Chrome os. Allemaal Windows alternatieven. En zodra die 51% marktaandeel halen komen daar ook veel meer virussen voor.
zoals elders al aangegeven heeft AMD deze issues niet omdat ze domweg een betere architectuur hebben met minder kort door de bocht genomen keuzes.

Branch prediction en caching geven allerlei ellende als je dat niet 100 procent goed doet. Intel plukt daar nu de vruchten van enkele foute keuzes uit het verleden.
Er is dus geen "betere" architectuur; ga je de AMD CPU's uitpluizen, dan vind je ook écht wel dingen. Dit soort lekken zijn vrijwel altijd specifiek, waardoor ze vaak alleen binnen 1 architectuur werken. Het is te kort door de bocht om te zeggen dat AMD geen lekken in hun architectuur heeft als er niet eens naar gezocht wordt, dan heb je oogkleppen op, als je dat wel denkt.

[Reactie gewijzigd door CH4OS op 18 januari 2020 12:18]

Ja, maar niet alleen Intel natuurlijk. We hebben het Windows crypto probleem, Java security patches, Citrix security probleem, SHA1 die nu helemaal stuk is. En dat is slechts de afgelopen week...

Of het nou gewoon slechte engineers zijn of dat er nu meer pentesting wordt gedaan, I dunno. Denk een combinatie van beide. Maar het is niet alleen Intel waar het misgaat :)
SHA1 past niet echt in dat rijtje. Crypto hash algoritmes sneuvelen van tijd tot tijd, vandaar dat er regelmatig updates zijn. MD5 is al heel lang geleden afgevoerd, maar ook SHA1 stond al heel lang op de lijst van verouderde standaarden. In 2001 hadden we al SHA2, dus 19 jaar voordat z'n voorganger het loodje legde. Als je in 19 jaar nog niet kunt overstappen heb je grotere problemen dan een kwetsbare hash functie, dan is je ICT organisatie kompleet disfunctioneel.
Mogelijk omdat ze ook gewoon veel meer CPU's verkopen waardoor de kans groter is dat er lekken gevonden worden.
Omdat onderzoekers vooral bezig zijn met Intel CPU's en de (Core) architectuur een bewezen gatenkaas is (geworden), waardoor er ook veel te verdienen valt met bugbounties e.d. Wanneer AMD onderzocht gaat worden, zal men ook genoeg vinden.
/licht off topic

Even afgezien van de video drivers voelt mijn laptop met een i7 4xxxHQ na al die security patches onder linux zowiezo steeds trager.

Ik vraag me al een tijdje af of de ooit zo grote voorsprong van Intel juist kwam door het relatief onveilige ontwerp. En dat juist hierdoor de core i zoveel sneller was dan de Bulldozer van AMD.
Nee, zelfs met alle hedendaagse patches slopen de core ontwerpen alles gebaseerd op Bulldozer. Dat was gewoon een intens slechte architectuur, die aanvankelijk zelfs onder deed voor de Phenom processoren van de generatie ervoor.
Bulldozer had ook een ongelukkig ontwerp - één FPU voor twee processorkernen. Los daarvan lijkt de cultuur bij Intel er inderdaad één van 'prestaties boven veiligheid' als je ziet hoe veel tot nu toe ontdekte lekken werken.
Je kan de spectre en meltdown patches normaal uitzetten in de kernel. Als je dat wil is een andere, maar de performance gaat verbeteren. Ik heb geen idee hoe moeilijk het is om deze exploits te gebruiken en als ze actief gebruikt worden.
Ik vind het wel heel apart dat het gen 7/7.5 en 9 betreft, maar dat gen 8 er niet in valt. Ze hebben het dus ergens opgelost, om later in de nieuwe generatie weer de fix eruit te halen. Mijn oude MBP en nieuwe BTO zijn dus wel getroffen, maar mijn Acer die er qua bouwjaar tussenin valt dus niet...
Wat ik uit de 2ephoronix link begrijp is dat Gen8 een probleem had waar een SW fix voor is gekomen die dit probleem ook verhelpt.
Noem me maar gek, ik zet al die beveiligings mitigations zo veel mogelijk uit, maar het is ook situatie bepalend. Je moet hier toch echt afwegingen gaan maken over risk versus reward. Een remote kvm virtual machine behandel ik ook anders dan bv. mijn eigen clients, en kijk ik welke attack vectors reeel zijn (of niet).

Ik maak het op andere vlakken vaak weer goed, waar zich geen performance hit betreft ;-)

40% is wel echt significant. Nou ga je toch niet serieus gamen op zo'n iGPU natuurlijk, dus ik weet niet in hoeverre dit echt een issue is.

[Reactie gewijzigd door Marctraider op 16 januari 2020 18:44]

Genoeg games natuurlijk die op die iGPU nog fatsoenlijk genoeg draaide voor die patch, maar die nu dus misschien wel onspeelbaar zijn geworden.
Intel adviseert ook Windows-gebruikers om de grafische Intel-drivers te updaten. Niet bekend is of en zo ja in hoeverre die ook een prestatievermindering tot gevolg hebben.
@Ch3cker morgen een benchmarkje en @willemdemoor maandag een artikel? O-)
Zou toch wel eens benieuwd zijn van benchmarks bij lancering vs nu. Hoeveel prestatieverlies hebben we opgelopen per CPU.
[evil alu hoedje modus]het is een marketing truc om iedereen aan een gen9 te krijgen. Ok laten we eerlijk zijn, puur voor gebruik zijn er weinig redenen om per sé over te moeten stappen van gen7 naar gen9.[/evil alu hoedje modus]

Ik ga er van uit dat dat niet zo is en Intel niet anders kan dan performance inleveren
Ik heb na het debacle omdat Intel beloofd had cpu's te patchen, en dat nooit gedaan heeft tegen meltdown en dat andere lek - besloten dat alle intels in mijn huis uitgeroeid dienen te worden. Nu beklaag ik me die staalharde beslissing zeker niet! Integendeel.
Voor Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake zijn toch microcode updates gekomen? Zie https://www.guru3d.com/ne...-windows-10-builds,2.html
Oké, en nu? Hasswell Ubuntu laptop niet meer updaten? Ik doe geen zware dingen, maar dit is niet niks.
Uhh, dan doet de patch dus meer schade dan goed... Als de impact van het veiligheidslek al zo minimaal is, dan heb ik toch echt liever gewoon dat het lek blijft zitten en ik dus die 18/42% extra perfomance behoudt dan dat mijn pc ietsiepietsie veiliger is..
Mij lijkt dan ook dat ze dit gewoon OF optioneel moeten maken OF echt gewoon terug moeten draaien.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True