CPU-Gate: "Intel lügt", "Microsoft oberflächlich", "IBM patcht im Februar", "Nvidia…"

10. Januar 2018, 15:53
  • security
  • intel
  • amd
  • microsoft
  • apple
  • ibm
  • nvidia
image

Updates werden ausgerollt, die Erkenntnisse werden grösser, die Konflikte auch.

Updates werden ausgerollt, die Erkenntnisse werden grösser, die Konflikte auch.
Intels Krisenkommunikation rund um die sehr gefährlichen CPU-Lücken - zwei Varianten namens Spectre sowie Meltdown - heisst "Salami-Taktik": Erst waren die Perfomance-Einbussen nach dem Patchen "unbedeutend", nun, im dritten Statement in einer Woche ist daraus "manchmal bedeutend" geworden.
Die Performance-Einbussen betreffen laut Intel nicht den "durchschnittlichen Benutzer" und normale Aufgaben wie E-Mail schreiben oder in Word schreiben. Aber dabei redet Intel wohl primär von Prozessoren der achten Generation. Und für alle anderen User hängt die Performance-Einbusse offenbar ab "vom spezifischen Workload, der Plattformkonfiguration und der Patch-Lösung" ab. Zwei bis 14 Prozent, gibt man nun beim Chip-Hersteller nun zu.
'The Register' hat offensichtlich die Nase voll: "Intel hat letzte Woche gelogen, Intel hat das Publikum angelogen und log auch bezüglich der Performance", so ein Tweet.
'Heise.de' hat die Details der Intel-Patch-Strategie zusammenfassen versucht. Ob, wie im Artikel geschrieben, Intel ab 2013 produzierte Prozessoren patcht oder auch andere, ist auch in den Community-Foren aber höchst unklar.
Für RZ- und Cloud-Kunden ist die Lage nicht besser, sie können hoffen, dass die Anbieter alles korrekt auseinanderdröseln, schreibt da manch ein verwirrter Foren-Leser.
Microsoft bestätigt Performance-Probleme
AMD ist auch nicht sehr transparent, wenn Partner, Kunden und Medien nach "was, wieviel und wie weiter" fragen. Man arbeite an einer Lösung zu Spectre (Variante zwei, CVE-2017-5715) und alles sei "komplex", zitiert 'The Verge' einen AMD-Verantwortlichen.
Ob die Apple-Updates auch für iPhones und Mac-Computer nötig seien, ist übrigens auch eine unbeantwortete Frage.
Unklar ist die Lage offenbar nach wie vor bei Cisco, man sei "möglicherweise" betroffen, weil die Kombination aus verwendeter CPU und Basisbetriebssystem in den Cisco-Produkten Angriffe "möglicherweise" erlaubt.
Microsoft wird hingegen transparenter: Auf Windows 10 PCs mit Skylake, Kabylake oder neueren CPUs sei der Impact minimal. Aber läuft Windows 10 auf älterer Hardware, sagt Terry Myerson, Präsident der Windows und Device Group, "so erwarten wir, dass einige User eine schlechtere Perfomance bemerken werden". Ist Windows 8 und Windows 7 im Einsatz, so erwartet Myerson, dass die meisten User eine Performance-Verschlechterung bemerken werden.
Bei Windows Servern, glaubt Myerson, könnte es mit I/O-intensiven Anwendungen noch schlimmer sein, so sein Blog-Post. Er präzisiert gleichzeitig: Nur die Patches gegen Spectre Variante 2 verlangen BIOS- beziehungsweise CPU-Microcode-Updates. Für Spectre-Variante 1 (CVE-2017-5753, Bounds Check Bypass) bringen die Updates neu compilierten Code.
SentinelOne ist sauer
Ja, ja, schon recht, schreibt SentinelOne in einem Blogpost. Aber Microsoft sei "oberflächlich konservativ" und lasse "Millionen von Endpoints" überflüssig lange ungeschützt, weil man aus Redmond die Patches nur für Devices mit einem spezifischen Registry Key ausrolle. Microsoft solle sich an Apple und dem High-Sierra-Patch ein Vorbild nehmen, schimpft der Antivirus-Hersteller.
Weil die Lage sehr unübersichtlich geworden ist, hat sich der britische Security-Experte Kevin Beaumont auf einem Google-Spreadsheet daran gemacht, alle Windows-Antiviren-Patch-Kompatibilitäten aufzulisten, von "360" über "Avast" bis "Webroot" (Unser Disclaimer: ohne Gewähr auf Vollständigkeit, das Dok scheint aber aktualisiert zu werden).
Im Übrigen muss man auf die Informations-Seiten all der Hersteller verweisen, von Amazon über Citrix, Oracle, Suse bis zu Xen, ja die Liste ist lang und sie wird nicht kürzer.
Dell EMC hat News gibt. Die Risiko-Mitigation werde die System-Firmware und das OS umfassen und man müsse – das wird IBM keinen Beliebtheitspreis eintragen – für einzelne OS-Patches bis 12. Februar warten. Power7+- und Power8-Patches hingegen seien jetzt verfügbar.
Tagesfazit: Wer einen aktuellen, vollständigen, strukturierten Überblick über die im eigenen Unternehmen eingesetzten Produkte hat, ist garantiert im Vorteil. Aber das garantiert nicht weniger Ärger beim Updaten. (Marcel Gamma)

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022
image

UK-Behörde untersucht Cloud-Dienste von Microsoft, Amazon und Google

Die britische Medienaufsichtsbehörde Ofcom will die Marktposition der US-Hyperscaler untersuchen und herausfinden, ob es wettbewerbsrechtliche Bedenken gibt.

publiziert am 22.9.2022