Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Cpu-lekken Spectre en Meltdown

Wat weten we drie weken later?

26-01-2018 • 06:00

93 Linkedin Google+

Overzicht

Het is inmiddels alweer drie weken geleden dat we door Google en consorten op de hoogte werden gesteld van drie kwetsbaarheden, beter bekend als Meltdown en Spectre, waarvan de laatste twee varianten kent. In de aanloop was al een en ander naar buiten gekomen, waardoor een vroege publicatie niet meer te vermijden was. Bij de bekendmaking was het al wel duidelijk dat de cpu-lekken niet allemaal even eenvoudig uit de wereld te helpen zouden zijn. Daarnaast toonde het onderzoek van verschillende partijen aan dat er naast lekken in software ook de nodige fundamentele tekortkomingen op hardwarevlak bestaan, zoals al doorschemerde bij de publicatie van Rowhammer in 2015. Gezien de ernst en complexiteit van Meltdown en Spectre is het verbazingwekkend dat de kwetsbaarheden sinds halverwege vorig jaar tot aan hun onthulling stil zijn gehouden.

Wat na de onthulling volgde, was geen toonbeeld van een goed gecoŲrdineerde campagne om het brede publiek te informeren, wat wellicht deels kan worden verklaard door het naar voren schuiven van het publicatietijdstip. Kijken we naar de partij die door alle lekken getroffen is en die het grootste marktaandeel voor desktopchips heeft, Intel, dan is er een en ander aan te merken op de communicatie van de chipgigant. Het bedrijf communiceert sinds de bekendmaking over het algemeen in vrij beknopte berichten die niet uitblinken in helderheid. Daarnaast is ook de informatie van andere fabrikanten gefragmenteerd en zijn in de loop van het in gang gezette patchproces de nodige fouten opgetreden. Reden dus om een poging te doen de tot nu toe verschenen informatie op een rij te zetten en zo goed mogelijk te ordenen. Het is niet zozeer de bedoeling om een vloeiend verhaal neer te zetten, maar juist om een nuttig overzicht te bieden.

Het mag alvast duidelijk zijn dat er tot nu toe geen berichten naar buiten zijn gekomen dat aanvallers de lekken actief gebruiken. Dat wil niet zeggen dat er in de toekomst geen exploits voor de kwetsbaarheden beschikbaar zullen komen die betrouwbare resultaten leveren. Daarom is het geen verkeerd idee om de patches die beschikbaar zijn, ook uit te voeren.

In het kort 

Op dit moment zijn er al veel patches naar buiten gekomen voor de lekken die via een software-update, in tegenstelling tot een bios-update, aangepakt kunnen worden. Dat geldt voor alle grote besturingssystemen, zoals Windows, macOS, Linux-distributies, Android en iOS. Updaten naar de recentste versie van die systemen is dan ook aan te raden. De lekken maken het niet mogelijk om bijvoorbeeld code uit te voeren, maar stellen kwaadwillenden wel in staat om gevoelige informatie uit het geheugen uit te lezen. Er zijn ook implementaties in JavaScript. Browsers, zoals Firefox, Chrome, IE, Edge en Safari, hebben daar intussen ook maatregelen tegen genomen. Voor bescherming tegen de tweede variant van Spectre zijn ook bios-updates nodig. Daarmee ondervindt Intel momenteel problemen, maar het werkt aan een oplossing. Het is dus aan te raden om nog even te wachten met het downloaden van microcode-updates van moederbordfabrikanten. In de overzichten hieronder staan meer details over de uitgebrachte updates en getroffen producten.

Aanvullende uitleg

In eerste instantie was er kort na de publicatie van de details van de kwetsbaarheden alleen informatie beschikbaar in de vorm van een blogpost van Googles Project Zero-beveiligingsteam en twee academische papers van wetenschappers van de universiteit van Graz. In de loop van de tijd zijn daar andere, wat eenvoudiger verwoorde beschrijvingen bijgekomen, die het probleem voor velen begrijpelijker kunnen maken. Een aantal daarvan doet dat bijzonder goed en is dan ook hieronder weergegeven.

  • De Raspberry Pi Foundation beschrijft in een blogpost van 5 januari waarom zijn ARM-chips niet vatbaar zijn voor Meltdown en Spectre, en legt daarbij meteen de achterliggende werking van de kwetsbaarheden uit. De blogpost is geschreven door RPi-bedenker Eben Upton. 
  • Ook Red Hat kwam met een goede uitleg, met een tot de verbeelding sprekend voorbeeld.
  • Bert Hubert van PowerDNS publiceerde een goed geschreven overzicht.
  • Jonathan Corbet kwam eveneens met een goed artikel.
  • Een zeer informatieve Medium-post is afkomstig van Matt Klein, die werkt bij vervoersbedrijf Lyft.

Hoe zat het ook alweer met de lekken?

Voor de beantwoording van deze vraag is een door Google opgesteld overzicht nuttig waarin per lek is beschreven wat ook alweer de onderliggende techniek en de bijbehorende mitigations zijn.

Vlnr: Spectre variant 1, variant 2 en Meltdown

Hieruit is op te maken dat voor de verschillende kwetsbaarheden uiteenlopende oplossingen gelden. De term 'oplossingen' is in sommige gevallen niet helemaal correct, omdat deze volledige opheffing van de problemen suggereert. In bepaalde gevallen is daarom het woord 'mitigation' beter op zijn plek, waarmee wordt bedoeld dat de gevolgen van het lek worden beperkt.

Mogelijke oplossingen

Meltdown, CVE-2017-5754
Deze kwetsbaarheid is op te lossen via een patch voor het besturingssysteem. Deze is in het overgrote deel van de gevallen al op deze manier bij gebruikers terechtgekomen.

Spectre variant 1, CVE-2017-5753
Voor dit lek is het nodig om het besturingssysteem te patchen, samen met software.

Spectre variant 2, CVE-2017-5715
Hiervoor is een update van cpu-microcode nodig, wat mogelijk is via een bios-update of via het besturingssysteem. Daarnaast is het mogelijk om software aan te passen, bijvoorbeeld door mitigations van Google of Intel.

Intel
Intel heeft in een document zijn eigen mitigations aangedragen voor de Spectre-varianten. Voor de tweede variant van Spectre, die ook door microcode aan te pakken is, draagt het technieken aan die het omschrijft als ibrs, stibp en ibpb. Deze waren het onderwerp van een tirade van Linux-bedenker Linus Torvalds, die er voornamelijk aanstoot aan leek te nemen dat Intel prestaties voorrang geeft boven beveiliging, door de mitigations optioneel te maken zodat ze eerst expliciet ingeschakeld moeten worden. Een latere post in de mailinglijst legt op een heldere manier uit wat er precies aan de hand is.

Google
Google heeft een mitigationtechniek voor de tweede variant van Spectre ontwikkeld, die het de naam Retpoline heeft gegeven, wat een samentrekking van de woorden 'return' en 'trampoline' is. Deze techniek vereist hercompilatie van software om effectief te zijn. Google meldde dat het Retpoline met zijn partners heeft gedeeld en dat het de techniek op zijn eigen systemen heeft toegepast.

Patches van fabrikanten

Intel
Intel heeft in een 'security first pledge' bekendgemaakt dat het voor al zijn getroffen processors die in de afgelopen vijf jaar zijn uitgekomen, voor het einde van januari patches beschikbaar wil stellen. Oudere processors volgen daarna, 'op basis van prioriteiten van klanten'. Intel is getroffen door alle varianten van de kwetsbaarheden.

De chipmaker heeft microcode-updates ontwikkeld voor variant 2 van Spectre en deze onder zijn partners verspreid. Op een gegeven moment bleek dat deze echter problemen veroorzaakten. In eerste instantie leek dat alleen op systemen met Broadwell- en Haswell-chips te gebeuren, maar later bleek dat ook nieuwere systemen onverwacht herstartten. Dat leidde ertoe dat verschillende fabrikanten, waaronder HPE en Dell, hun al uitgebrachte bios-updates terugtrokken en klanten in bepaalde gevallen adviseerden om naar een stabiele versie te downgraden. Intel kwam deze week met een waarschuwing, waarin het klanten vroeg de microcode-updates niet te installeren en te wachten tot het bedrijf en de partners klaar zijn met het testen van nieuwe code.

Er is lijst van getroffen processors te vinden op een overzichtspagina van Intel. Deze zijn ook hieronder weergegeven.

Core i3 (45nm en 32nm) Xeon-processors in de series 3400, 3600, 5500, 5600, 6500 en 7500
Core i5 (45nm en 32nm) Xeon E3, inclusief v2, v3, v4, v5, v6
Core i7 (45nm en 32nm) Xeon E5, inclusief v2, v3, v4
Core m-processors (45nm en 32nm) Xeon E7, inclusief v2, v3, v4
Core-cpu's van generatie 2, 3, 4, 5, 6, 7 en 8 Xeon Phi van serie 3200, 5200 en 7200
Core X-serie voor X99 en X299 Atom A, C, E, x3 en Z
Celeron J- en N-serie Pentium J- en N-Serie

AMD
AMD heeft geen specifiek overzicht gepubliceerd. In plaats daarvan voorziet het bedrijf een speciale pagina sporadisch van updates. AMD zegt dat variant 1 van Spectre op zijn processors van toepassing is. Daarvoor kwamen patches uit via het besturingssysteem. Dat leverde bij Windows problemen op, waardoor bepaalde systemen met oudere AMD-processors niet meer konden starten. Inmiddels is de uitlevering van die patches hervat. Microsoft heeft een pagina in het leven geroepen met meer informatie, bijvoorbeeld voor mensen die hun systeem niet meer konden starten.

Daarnaast zegt AMD dat ook de tweede variant van Spectre op zijn processors van toepassing is, maar dat een aanval moeilijk is uit te voeren. Het zei optionele microcodepatches uit te willen brengen in combinatie met OS-patches. Zoals al bekend was, is Meltdown niet op AMD-processors van toepassing.

Microsoft
Microsoft heeft eveneens een overzichtspagina beschikbaar gesteld, waarop het informatie biedt over de tot nu toe uitgebrachte patches. Het bedrijf zegt dat het naast de installatie van Windows-updates ook nodig is om bios-updates van bijvoorbeeld moederbordfabrikanten te installeren om volledig beschermd te zijn. Dit geldt alleen voor de tweede variant van Spectre. Er is een uitzondering voor Surface-apparaten. Het bedrijf uit Redmond heeft een lijst met getroffen producten gepubliceerd. De beschikbare Windows-updates worden niet geÔnstalleerd als er antivirussoftware aanwezig is die niet compatibel is. Daarover heeft Microsoft aanvullende informatie gepubliceerd.

ARM
Er zijn veel apparaten die een ARM-chip aan boord hebben, denk maar aan smartphones. Het bedrijf heeft eveneens een overzicht van zijn kwetsbare chips gepubliceerd, naast een whitepaper waarin het dieper op de materie ingaat.

Moederbordfabrikanten en oem's
Op de overzichtspagina's van Microsoft en Google zijn ook links te vinden naar de maatregelen die worden genomen door moederbordfabrikanten en oem's. Die brengen onder meer bios-updates uit voor Intel-apparaten die beschermen tegen de tweede variant van Spectre. Maar let op! Het is niet aan te raden om die nu al te installeren, aangezien Intel herstartproblemen heeft vastgesteld en aan een oplossing werkt. Zodra de nieuwe microcode bij de fabrikanten is aangekomen en getest, kunnen ze toegepast worden. Nog niet alle fabrikanten hebben deze informatie op hun pagina's staan.

Microsoft-oem's Overige
Acer ASRock
Asus Gigabyte
Dell MSI
Fujitsu Super Micro
HP
Lenovo
LG
Panasonic
Samsung
Surface
Toshiba
Vaio

Verdere overzichten
Er zijn nog meer overzichten te vinden. Enkele nuttige zijn afkomstig van Hanno BŲck, van Hector Martin en van Scaleway.

Nuttige links

Er zijn tools om kwetsbaarheid voor Meltdown en Spectre te controleren:

Verschillende bedrijven hebben benchmarks naar buiten gebracht naar aanleiding van de discussie over de prestatievermindering door het doorvoeren van patches:

Ten slotte is nog een aantal artikelen verschenen die de moeite waard zijn, zoals:

Reacties (93)

Wijzig sortering
Techarp heeft ook wel een duidelijke lijst van kwetsbare processors https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/.
Deze lijst is niet helemaal compleet, ook IBM's POWER7 en POWER8 chips, en diverse van Fujitsu en Oracle's SPARC chips zijn ook kwetsbaar.
En to top it off:
-IBM Z-series
Bron = reddit.com

En VIA cpu's hoogstwaarschijnlijk ook, al is daar nog niet echt veel duidelijkheid over te vinden, op dit stukje hieronder na.
"As the VIA Nano generation from 2008 onward, is able to do out-of-order execution, it could be highly possible, they are affected as well."
Bron

[Reactie gewijzigd door SSDtje op 26 januari 2018 18:50]

En to top it off:
-IBM Z-series
Bron = reddit.com
Poeh Poeh, wat een bronvermelding.

Doe het gewoon gelijk goed en volg die links om op de officiŽle pagina van IBM uit te komen.

[Reactie gewijzigd door RoestVrijStaal op 29 januari 2018 00:26]

Prrima, maar in de 1e berichten hierover werd gezegd dat het niet uitgesloten was dat AMD ook ooit kwetsbaar wordt voor Meltdown. Hoe is dat nu, is die mening er nog?
Kun je https://developer.arm.com/support/security-update er nog in verwerken? Voor alle ARM-varianten wel handig, lijkt mij.

Edit: https://developer.arm.com...e/download-the-whitepaper is een goede bron

[Reactie gewijzigd door rikster op 26 januari 2018 07:02]

Hier nog een overzichtje door Ubuntu, inclusief overzicht van de performance-impact van de patches:

https://insights.ubuntu.c...tu-what-you-need-to-know/

[Reactie gewijzigd door tpeeters op 26 januari 2018 08:33]

Yes, zeker. Dank
hoe zit het met de krait 400 die zit oa in de xperia z3c die sowieso al lang geen updates meer krijgt. de krait 400 is gemaakt vanuit de arm a15 en die is wel gevoelig voor meltdown en spectre.
Wat een gedoe zooitje toch. Men is in rep en roer en Intel gaat hiervoor zelfs nieuwe processors uitbrengen! In veel teksten mis ik hoe een club hackers nou misbruik zou kunnen maken van de problemen. Wat volgt is een klein stukje wellicht incomplete uitleg. Heb je aanvulling en/of correctie dan graag.

How would a hacker target my machine?
An attacker would have to be able to put some code on to a user's computer in order to try to exploit either Meltdown or Spectre.

This could be done in a variety of ways, but one - running such code in a web browser - is already being closed off by companies such as Google and Mozilla.

Users can also, for example, use Chrome's "site isolation" feature to further protect themselves.

Some cyber-security experts have recommended blocking ads, browser scripts and page trackers as well.

Even if an attacker did get access, they would get only "snippets" of data from the processor that could eventually be pieced together to reveal passwords or encryption keys, says cyber-security expert Alan Woodward, at the University of Surrey.

That means the incentive to use Meltdown or Spectre will at first probably be limited to those prepared to plan and carry out more complex attacks, rather than everyday cyber-criminals.


bron BBC


Edit: links ingevoegd

[Reactie gewijzigd door croiky op 26 januari 2018 11:32]

Jouw antwoord zou opzich een nieuws item mogen zijn wat mij betreft!
Dit is ook precies wat er mist. Er zijn tientallen virussen die via software ook heel schadelijk kunnen zijn.
De vraag is hoe jezelf kunt beschermen voordat je zoiets binnen krijgt.
Of lopen mensen tegenwoordig ook met een kogelwerend vest en een helm binnen?

Zolang mensen geen rare dingen aanklikken of downloaden en browsers ervoor zorgen dat zulke soort dingen buiten de deur blijven, slaap ik gerust zonder een enkele patch te installeren.
Er zal namelijk altijd via software eerst iets gedaan moeten worden om het vervolgens in de hardware te krijgen.
Maar je kan er op wachten dat deze exploits verder worden ontwikkeld en zijn weg vinden in wel wijdverbreide malware. Er zijn in het verleden wel vaker complexe exploits geweest en een ding is zeker, als je niet patched wordt het misbruikt.
Zojuist nieuwe laptop gekocht, gaat Intel helpen met het upgraden ervan...? Idioot dit.
Nope. Zelfde verhaal over 30 jaar geen gas meer in mag je ook zelf dokken ;)
Die pagina van Intel van getroffen processors vind ik niet zo duidelijk. Het overzichtje hier in Tweakers wel, maar een Core I5 of 760 van de legacy generatie (dus voordat Intel begon met de zoveelste generatie telling) zou toch ook getroffen moeten zijn. Tenslotte ging het al helemaal terug tot de Pentium.

Op https://www.techarp.com/g...tdown-spectre-cpu-list/5/ vond ik een duidelijk antwoord: Deze processors van de lynfield generatie hebben het lek ook.

Ik denk alleen wel dat zulke biossen/processors die meer dan 5 jaar oud zijn geen update zullen krijgen.

[Reactie gewijzigd door Johandmc op 26 januari 2018 10:04]

Nehalem (waaronder Lynnfield) zijn dan ook de enige core i3, i5 en i7's op 45nm, dus op zich stond het wel in de tabel. Duidelijk is anders, dat dan weer wel ;)
Gigabyte timmert nog aan de weg. Een paar weken geleden leek het erop dat ze alleen 6/7/8 gen CPU's ondersteunen, maar nu is ook een update verschenen voor X99 borden. Dat biedt hoop dat oudere mobo's ook nog een update krijgen. Zoals mijn Z97X-SLI. Artikel met update status.

En Gigabyte stuurde mij van de week onderstaand bericht n.a.v. mijn vraag of mijn mobo een update gaat krijgen:
Update:
Gigabyte is aware of the issue.
Bios updates require microcode Updates from Intel.
Bios updates will be released on our support pages once they are ready.
LoginVSI biedt momenteel een gratis licentie (tot eind maart) aan om de impact te testen!
https://www.loginvsi.com/use-cases/spectre-meltdown

Verder zijn ze bij LoginVSI ook zelf druk aan het testen, zo verschenen er deze week al twee blogs over de
impact van Meltdown en Spectre patches op Windows 7 en Windows 10.
https://www.loginvsi.com/...t-of-meltdown-and-spectre
Jammer dat veel fabrikanten kiezen om alleen 6th gen en later van bios updates te voorzien... lijkt me toch dat er echt nog wel heel veel mensen zijn met systemen ouder dan deze 6th gen en dus nogsteeds risico lopen. :/
Dat gaat inderdaad jammer zijn, gelukkig kan je ook zelf ervoor zorgen dat de microcode ingeladen wordt zonder Bios / Uefi update. Je kan de Microcode zodra gereleased door Intel hier downloaden: https://downloadcenter.in...r-Microcode-Data-File?v=t en dan met een Tool als https://labs.vmware.com/f...u-microcode-update-driver ervoor zorgen dat deze ingeladen wordt.

Uiteraard is dit helaas geen oplossing die "Henk en Ingrid" zullen vinden en gaan gebruiken, maar de oplettende Tweaker met een wat ouder systeem moet hier wel mee uit de voeten kunnen.

Daarnaast kan het nog zijn dat Intel / Microsoft in een later stadium alsnog de Microcode ook uitrollen via Windows Update voor niet Surface devices, dit is een mogelijkheid en is in het verleden al vaker gebeurt met een aantal Microcode versies maar een zekerheid dat is zal gebeuren is er nog niet.
Ik zie dat de de microcode released specifiek de naam Linux bevat, dan neem ik aan dat je jouw manier niet op Windows gebruiken kan?
Dat kan wel :) De VMware tool verwijst naar deze link om Intel Microcode te downloaden zelfs wanneer je deze op een Windows systeem wil inladen.

Ik denk dat Intel er Linux bij zet omdat dit onder Windows geen gebruikelijke manier is om Microcode in te laden. Terwijl dat op Linux wel het geval is en je op Linux voor zover ik weet ook geen externe tool nodig hebt zoals het VMware tooltje.

[Reactie gewijzigd door Dennism op 26 januari 2018 09:42]

Dan ga ik dat proberen, danku!
Wacht uiteraard wel totdat de correcte Microcode gereleased is!.
Tja, dat raakt wel aan een stuk wat ik nog mis in dit artikel... waarom zou je hier als reguliere gebruiker wakker van liggen?
Natuurlijk willen we in principe allemaal dat onze systemen goed beveiligd zijn, maar wat zijn nou echt de risico's op een thuis PCtje die kwetsbaar blijft? Op een server die meerdere gevirtualiseerde systemen van verschillende klanten draait is het me overduidelijk waarom dit heel erg is, maar ik kan me eigenlijk niet bedenken wat er op mijn thuis systeem nou echt mee gedaan kan worden.
Er kunnen in theorie exploits ontwikkeld worden die bijv, gegevens uit het geheugen kunnen halen wanneer je aan het internet bankieren bent en dat soort zaken. Daarnaast vereisen banken tegenwoordig voor zover ik weet allemaal dat je een volledig gepatched systeem hebt wanneer je gaat Internet bankieren. daar ze anders mocht je slachtoffer worden van bijv. malware of phishing en je rekening wordt leeggeplunderd ze je niet hoeven te vergoeden. Dus ook als er indirect geen direct gevaar lijkt te zijn is het altijd aangeraden volledig up-to-date te zijn zodat je mocht je ooit wel een issue hebben je niet in een wellus / nietus discussie met bijv. de bank terecht omdat deze updates niet geÔnstalleerd hebt terwijl je rekening op een volledig andere wijze is leeggeplunderd.

[Reactie gewijzigd door Dennism op 26 januari 2018 09:38]

Dat zou in principe kunnen ja, hoewel het natuurlijk allemaal in webbrowsers gebeurt tegenwoordig. Ik kan me ook voorstellen dat het mogelijk is om je password keeper aan te vallen. Maar... daarvoor moet je dus wel al kwaadaardige code op je systeem hebben, en als je daar eenmaal bent, ben je dan niet sowieso hartstikke kwetsbaar? Het voelt voor mij allemaal nogal als 'wanneer je primaire verdediging al doorbroken is dan kunnen ze dingen doen die ze eigenlijk in de meeste gevallen toch al konden'... (nogmaals, op privť systemen, gedeelde servers is heel wat anders)

Wat betreft het uptodate zijn met patches, ja dat klopt maar dan moeten die patches er wel zijn natuurlijk.
Let wel op dat "kwaadaardige code" in dit geval heel breed is. De Ubuntu advisory geeft als voorbeeld javascript die in een advertentie verstopt zit. Want Javascript is ook gewoon code die wordt uitgevoerd!

Browser vendors hebben al updates uitgebracht om de bestaande proof of concepts onbruikbaar te maken. Toch zou het nogal jammer zijn als een advertentie op nu.nl in een tabblad op de achtergrond je mailwachtwoord/bankwachtwoord/digid-wachtwoord uitleest en opstuurt naar Noord-Korea. En wie weet bedenken hackers een andere methode van timing/branching die nog niet door de browsers gepatcht is.
mompelt iets over dat ellendige Javascript dat anno 2018 niet meer op het web zou moeten thuishoren
Intel heeft in een 'security first pledge' bekendgemaakt
Volgens mij is dit al weer achterhaald, alle microcode updates welke zijn uitgebracht zijn inmiddels weer ingetrokken en zijn nergens meer te downloaden
Updated Jan. 22

We have now identified the root cause of the reboot issue impacting Broadwell and Haswell platforms, and made good progress in developing a solution to address it. Based on this, we are updating our guidance for customers and partners:

We recommend that OEMs, Cloud service providers, system manufacturers, software vendors and end users stop deployment of current versions on the below platforms, as they may introduce higher than expected reboots and other unpredictable system behavior.
We also ask that our industry partners focus efforts on testing early versions of the updated solution for Broadwell and Haswell we started rolling out this weekend, so we can accelerate its release. We expect to share more details on timing later this week.
For those concerned about system stability while we finalize the updated solutions, we are also working with our OEM partners on the option to utilize a previous version of microcode that does not display these issues, but removes the Variant 2 (Spectre) mitigations. This would be delivered via a BIOS update, and would not impact mitigations for Variant 1 (Spectre) and Variant 3 (Meltdown).
Ze zijn inderdaad teruggetrokken, maar niet meer te downloaden kun je niet met 100% zekerheid zeggen. Zo kunnen deze ook meegeleverd worden met bijv. Linux distributies, en dan kan de originele source natuurlijk wel aangepast zijn na het terugtrekken, maar mirrors kunnen nog zeker bestaan. Ook kan het bijv. zijn dat wanneer je VMware draait deze patches al pre staged zijn en je dus alsnog moet oppassen. Een extra waarschuwing is wat mij betreft daardoor niet overbodig.
Helemaal niet te downloaden wil ik niet zeggen, maar ik heb hier zowel een NUC als een HP Systeem staan waarvan de NUC vorige week Intel-SA-00088 microcodes updates heeft ontvangen, maar die links zijn nu van de desbetreffende pagina verwijderd en laatste bios verwijst nu naar de laatste 'juiste' (eerdere release).

En ook op de support pagina van HP zijn alle eerder uitgerolde links naar bios releases met microcodes updates begin deze week verwijderd

Dus niet alleen de bios updates voor haswell en broadwell, maar allemaal!
Als Intel alle processoren met de fouten zou moeten vervangen dan zou het bedrijf gewoon failliet gaan. Dus communiceren ze dat het allemaal niet zo ernstig is en dat er patches komen en dat daarmee de kous af is. Ze wijzen iedere kans op schadevergoeding af. Al vermoed ik wel dat in de VS bedrijven en consumenten de schade gaan proberen te verhalen op Intel en daar gelijk in gaan krijgen. Maar ze zijn alleen maar bezig met "damage control" om de claims zo klein mogelijk te houden.

Sterker nog, ze impliceren zelfs dat hun omzet gaat toenemen omdat bedrijven en consumenten hun hardware zullen willen vervangen met computers die niet kwetsbaar zijn.

[Reactie gewijzigd door ArtGod op 26 januari 2018 07:17]

Ik ben daar nog wel benieuwd naar, nu ken ik de consumenten wetgeving daar uiteraard niet zo. Maar bijv. in de voorwaarden van Intel staat dat ze niet aansprakelijk zijn voor eventuele fouten, maar hoeveel juridische waarde dat heeft durf ik uiteraard niet te zeggen in Amerikaans recht.

Daarnaast zal het natuurlijk de vraag wanneer alle patches beschikbaar zijn wat exact de claim gaat zijn, ik ben bijv. benieuwd of verminderde performance geclaimed kan worden daar dit niet een vast gegeven is waarmee geadverteerd wordt. Intel adviseert zaken als Zoveel Ghz Base, Zoveel Ghz Boost, zoveel MB Cache, een TDP van X Watt en dergelijke en daaraan veranderd natuurlijk niets aan. Het zal echter uiteraard wel bewijsbaar zijn dat een processor met geadverteerde eigenschappen A na de patches minimaal een paar % langzamer is dan voor de patches.

In de EU zullen dat soort zaken in ieder geval voor consumenten via de verkoper gespeeld moeten worden verwacht ik, daar die hier alle wettelijke verantwoordelijkheden draagt. Echter ook daar zal de vraag zijn of en hoe exact je kan claimen gezien bovenstaand stukje over geadverteerde specificaties.

Ik ben er in ieder geval zeer benieuwd naar hoe dit voor Intel, maar ook AMD gaat aflopen in de rechtszaal, tegen beide zijn namelijk voor zover ik weer als Class Action lawsuits gestart in de US.
Ik verwacht niet dat er iets uit rechtzaken gaat komen. Intel levert software/firmware oplossingen voordat er werkelijk exploits beschikbaar zijn. Ze zullen dit ook voor oudere chips gaan doen. Wat meer kan je verwachten?
Ik kan me bijv. in denken dat er partijen zijn die ook gecompenseerd willen worden voor het performance verlies, als jij toevallig zo'n workload draait die in de bovengemiddeld beÔnvloed wordt en bijv. 20% performance verlies heeft, kan ik best begrijpen dat een partij denk "laat Intel die 20% extra capaciteit die ik nu nodig heb maar betalen". Of dat juridisch haalbaar is heb ik echter zoals je kan zien in bovenstaande post ook mijn twijfels bij.
Dat zal dan een behoorlijk tik worden voor iedereen, AMD en andere chipfabrikanten hebben ook patches met performanceverlies. Krijgen we dan bv weer een nieuwe serie rechtszaken tegen Apple vanwege performanceverlies op iPhones?
Er zijn uit mijn hoofd al meerdere zaken gestart in de US, volgens mij las ik 4 tegen Intel en 2(of ook 4) tegen AMD.
De chipindustrie heeft zijn eigen 'dieselgate' :D
Krijgen we dan bv weer een nieuwe serie rechtszaken tegen Apple vanwege performanceverlies op iPhones?
Die zijn er al.
Een software fix is nog haalbaar in relatieve korte tijd. In tegenstelling tot de acrchitectuur van de chip aanpassen, waar al jaren van te voren aan gestart is.
Dat gooit men niet zomaar om.
Mijn (en ook anderen) verwachting is dus dat hierdoor de aankomende gerenatie nog inherent vatbaar zijn. Pas de generatie daarop zal waarschijnlijk in de architectuur “gepatched” zijn.
De microcode / bios / OS-patches zullen voor nu moeten voldoen.
Wat dit qua concurrentie zal doen wordt wel interessant, IMO.

Respons Intel: nieuws: Intel brengt dit jaar processors uit met hardwarefix voor Spectre en ...

[Reactie gewijzigd door uname -r op 26 januari 2018 08:45]

Gisteren bij de voorlopige kwartaal cijfers van intel over Q4 bljkt in elk geval in niks dat deze bugs hebben geleid tot lagere omzetten of daling van het markt aandeel. En dat is toch wel weer facinered https://www.cnbc.com/2018/01/25/intel-earnings-q4-2017.html
vooral in het datacenter segment zou je een kleine daling verwachten van de volumes maar uit niets blijkt dit.

Probleem blijft natuurlijk dat we bij dit soort onderwerpen altijd de koe in de kont aan het kijken zijn. Toen deze ontwerpen ooit gemaakt zijn was er niemand die deze aanval had bedacht en dus hebben de ontwerpers er ook geen rekening mee gehouden. Nu komen we achter een probleem en is het opeens de schuld van de chip ontwerper die 10 jaar geleden dit ontwerp gemaakt heeft.
Wat is Q4 echter voor Intel, als dat Okt - Dec 2017 is dan geloof ik dat best, Pas rond de kerst begonnen de geruchten echt te komen en in januari is het "officieel" bekend gemaakt. Dat zal natuurlijk in dat geval op Q4 geen echte impact hebben gehad. De mogelijke impact zal pas de komende kwartalen komen verwacht ik, echter daar AMD Epyc ook nog niet in super grote volume kan of wil leveren zo lijkt is zal ook mogelijk in Datacenter de impact beperkt blijven. De bedrijven die de capaciteit nodig hebben kunnen natuurlijk ook niet zomaar stoppen met capaciteit inkopen en plaatsen en hun klanten nee verkopen als die diensten willen afnemen omdat ze geen capaciteit meer hebben.
Tsja, maar waar moeten klanten anders heen? Dit is niet enkel een Intel probleem, alle chipmakers en OS vendors zijn overhaast patches aan het uitbrengen: cpu's van AMD, ARM en (wat minder in de publiciteit) POWER en SPARC zijn allemaal kwetsbaar voor 1 of meerdere van deze kwetsbaarheden.

Ja, de nieuwe patches zorgen in sommige gevallen voor opstartproblemen en verminderde prestaties, maar dat maakt Intel niet veel meer of minder competitief ten opzichte van de rest.
Itanium schijnt trouwens niet kwetsbaar te zijn. Jammer dat het nooit is aangeslagen en nu alleen nog gemaakt wordt door sponsoring van HP omdat HP-UX er van afhankelijk is.
Op zich niet zo'n ramp, alle mooie features en designelementen zijn inmiddels door Intel overgeheveld naar de Xeons. Hyperthreading? Check. Virtualisatie? Check. High-speed interconnects voor multisocket? Check. Strategisch heeft HP de grootste klappen gekregen, niet alleen betalen ze Intel nu nog steeds om de boel in de lucht te houden, maar ze zijn voor het grootste gedeelte ook hun eigen cpu design capabilities kwijt.

Dat Itanium niet kwetsbaar is, dat verbaast me overigens niks - de geavanceerde branch-prediction die nu in alle moderne chips zit (van x86 en ARM tot de meest recente versies van POWER en SPARC), heeft het nooit naar Itanium gered, dat is feitelijk nog een architectuur van tien jaar oud met wat die shrinks.
De laatste alinea is onzin.
In de EPIC-architectuur van Itanium is ervoor gekozen om de branch prediction door de compiler te laten verzorgen, wat veel slimmer is omdat die de high-level programmacode kan analyseren.
Veel alternatieven zijn er uiteraard inderdaad niet, en volgens mij inderdaad geen 1 die 100% niet getroffen is. Toch verwacht ik dat als AMD de volumes zou hebben dat dit voor Epyc gezien het feit dat Spectre lastiger is te exploiten op AMD en het feit dat ze niet vatbaar zijn voor Meltdown dit wel een buitenkansje had kunnen zijn om versneld iets van marktaandeel terug te winnen (denk aan een paar %, geen enorme verschuivingen). Niet dat Intel ineens volledig uit de gratie zou vallen.

[Reactie gewijzigd door Dennism op 26 januari 2018 10:28]

Gezien de opstartproblemen van de AMD patches verwacht ik niet dat de serverboeren direct naar AMD toe draven, het zal wel even wachten tot het stof neerdaalt, analyseren hoe de performance in de post-patch wereld is, en dan wellicht over naar AMD (of ARM, POWER, SPARC etc). De performance impact icm de diverse OSsen zal ook nog moeten blijken.
Je zou nou juist verwachten dat Q4 de eerste impact zou moeten hebben want de grootste klanten van Intel zijn datacenter groep Alibaba, Amazon, Facebook,Google, Microsoft en Tencent wisten al einde Q2 dat deze problemen er waren.

Dus eigenlijk zou je verwachten dat ze tegen Q4 wel zouden omschakelen. Ik denk dat er drie dingen aan de hand zijn.
1. De performance impact is voor deze klanten gewoonweg te laag om af te stappen van de proven building blocks die ze gebruiken in hun dataceners.
2. AMD heeft inderdaad waarschijnlijk moeite om epyc in voldoende aantallen te leveren.
3. Voor de meeste cloud providers levert intel gewoonweg de beste prijs / prestatie verhouding en de grote providers werken allemaal met Intel samen aan het ontwikkelen van nieuwe features dus die relatie gaan ze niet zomaar opgeven.
Moederbord fabrikanten beperken bios updates ondertussen tot de laatste generaties, lijkt het.

Even wachten op een goede microcode release voor mijn i7 3770k en dan middels VMWare bij boot laten patchen dan maar... :(
Dat wordt lekker updaten en patchen. Heb hier nog een Dell laptop draaien met 2nd gen Ci7, een Asus laptop met 4th gen Ci7 en nog een Asus laptop met 8th gen Ci5. Ik merk dat ik mij nog goed in moet lezen, want ik weet nog steeds niet precies wat de risico's voor de 'gemiddelde' thuisgebruiker zijn.

Bedankt voor dit artikel!
Op het ogenblik is er weinig tot geen risico voor consumenten. Er zijn nog geen gevallen van misbruik bekend.

Zorg dat je browser en antivirus software / Windows Defender up-to-date zijn. Dit zijn goede preventieve maatregelen.

In februari zou je via de Dell driver update kunnen kijken of er nieuwe firmware is. Ik wacht daar zelf nog even mee totdat de patches stabiel zijn.

Als er uiteindelijk hacks of virussen uitkomen moeten ze hun we op je systeem zien te vinden. De exploitatie kan niet van afstand misbruik worden. Als je tegendienst tijd je drivers/firmware en os geŁpdate hebt ben je niet vatbaar zelfs als het langs je virus scanner weet te glippen.
Bedankt voor je toelichting! Wordt gewaardeerd.
Dat probleem heb ik ook.
Ik weet wel wat een Bios is, maar hoe je die zou moeten updaten... werkelijk waar geen idee. Laat staan dat ik zoiets vertel tegen mijn ouders/zussen/zwagers/vrienden. Die zullen er echt de ballen van snappen.
Wat kan je als normale gebruiker nou precies meer doen dan windows updates binnen halen en je virusscanner up-to-date houden zonder dat het gelijk in technische termen en rare opstart procedures verzand? Laat staan dat zij weten welke update ze moeten hebben of weten welke processor ze hebben.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True