Meltdown & Spectre | Neukäufe aufschieben?

Also man sollte noch unterscheiden, dass es wohl Spectre Variante 1 und 2 gibt. Für Variante 1 gibt es auch keinen allgemeingültigen Patch, jedes Programm muss für sich angepasst werden.

Zu Deinen Fragen

  1. Ich habe eh aktuell keinen neue CPU in Planung und kann so auch noch ein paar Versionen warten. Mein 4770K ist noch schnell genug und bei meiner nativen Auflösung von 3440x1440 bottleneckt eh erstmal die GPU.
  2. Generell kaufe ich das, was mir in dem Moment die scheinbar beste Preis/Leistung bringt, wohlgemerkt für die Leistung, die ich glaube zu brauchen. Sollte ich der Ansicht sein, dass AMD und Intel gleich aufliegen, dann würde ich wohl eher in Richtung AMD tendieren. Habe bei meinen Erstrechnern (heute habe ich immer nur einen), eigentlich immer Intel genutzt, aber da war Intel zu dem Zeitpunkt auch immer vorne bzw. AMD noch gar nicht recht auf dem Markt bzw. liess sich bei meinem allerersten IBM-kompatiblen Rechner anno 1995 noch nicht recht einschätzen.
    AMD macht schon den etwas sympathischeren Eindruck, wollte auch bei meiner neuen Grafikkarte unbedingt auf Vega warten, gerade wo NVIDIA die 970-Käufer mit 4GB RAM, die tatsächlich nur 3,5 waren einfach verarscht hat. Aber Vega wurde einfach meinen Ansprüchen nicht gerecht.
    3.+4. Egal sollte einem das Thema nicht sein, auch wenn ich der Ansicht bin, dass hier mal wieder - wie es heute üblich - ist die Sau durch’s Dorf getrieben wird. Das Thema ist ab nächster Woche wahrscheinlich nur noch auf den IT-Seiten in der Diskussion. Wenn ich aber bedenke, dass die großen Clouddienste auf ihren Servern mit VMs arbeiten, die sich evtl. gegenseitig ausspionieren, dann kann ich nicht mit den Schultern zucken.

übrigens sollte man noch beachten

Das Windows-Update, das Microsoft in der Nacht herausgegeben hat, um der Sicherheitslücke zu begegnen, ist offensichtlich das Update, das für den 9. Januar mit Bekanntgabe der Details zu den Problemen vorgesehen war. Allerdings bekommen nicht alle Anwender das Update angeboten: Es gibt Probleme mit einigen Antivirus-Produkten. Betroffen ist Antiviren-Software, die laut Microsoft nicht unterstützte Aufrufe in den Windows-Kernelspeicher macht. Um die Kompatibilität ihrer Antiviren-Produkte mit dem Sicherheitsupdate zu dokumentieren, müssen die Hersteller einen bestimmten Registry-Key in Windows setzen; Microsoft dokumentiert dies in seinem Support-Hinweis. Einige Antiviren-Hersteller, etwa Kaspersky oder Avast, haben schon reagiert und Updates bereitgestellt oder sie für den 9. Januar angekündigt. Microsoft warnt ausdrücklich davor, das Windows-Update zu installieren, solange nicht kompatible Antiviren-Software eingesetzt wird.
Quelle: https://www.heise.de/security/meldung/Gravierende-Prozessor-Sicherheitsluecke-Nicht-nur-Intel-CPUs-betroffen-erste-Details-und-Updates-3932573.html

übrigens gabs auch schon erste Hinweise von Leuten bei denen einige Programme nach dem Patch nicht mehr funktionierten, z.B. ASUS AI Suite.

Grad das Update installiert und deswegen gesehen: Für Linux gibt es jetzt den zweiten Patch (4.14.12) der den Meltdown-Fix (PTI) nicht mehr auch für AMD aktiviert. Das heißt AMD ist jetzt wirklich nicht mehr von Meltdown betroffen :slight_smile:

Games sind wohl doch (indirekt) betroffen. Und das sieht auch nach deutlich mehr als 5% aus - was wohl daran liegt dass der Server natürlich viele Netzwerkverbindungen aufbauen muss die ja alle Syscalls sind.

Ein (grün) Fortnite-Server nachdem er gepacht wurde:

Quelle: Epic

ob das nun meine Performance beeinträchtigt ist mir ehrlich gesagt relativ gleich. Ich sehe das eher problematischer, dass das ja ein Hardware Problem darstellt welche nun versucht wird softwareseitig einzudämmen.

Gibt es denn aktuell überhaupt Chips welche nicht davon betroffen sein sollen?

1 „Gefällt mir“

Von meltdown sind nur Intels betroffen. Von Spectre fast alle. Einige ARM Chips, die gar keine branch prediction nutzen (zB die RPi) sind gar nicht betroffen

Microsoft hat wohl den Patch KB4056892 für AMD-PCs vorerst gestoppt.

Allerdings funktionieren bei mir sowohl PC (AMD FX 6300) als auch Laptop (AMD A4-5000 APU) - also nichts zerschossen. Beide Systeme mit Defender; PC zusätzlich Malwarebytes (Free)

keine Tuning-Software, keine Cleaning-Software (CCleaner etc.) und auch keine Software a la OOShutUp10 oder ähnlichem.

hab ihn auch drauf mit nem ryzen1500x und auch keine probleme

D.h. an sich gibt es aktuell nichts zu kaufen für den gewöhnlichen Desktop Nutzer und wohl auch nicht in den nächsten 2 Jahren, da so eine Entwicklung Zeit braucht, oder?

Das ist richtig. Bis dahin gibt es nur Software-Lösungen

Der wird aber auch keine Performanceänderungen spüren. Das spürst du nur auf Systemen mit massiv I/O. Also eher sowas wie File- oder Datenbank-Server. Eventuell auch Videoschnitt und Musikproduktion (wobei die ja eh sichere Apple nutzen haha).

Hätte man gelesen was ich geschrieben habe wäre einem sicherlich aufgefallen, dass es mir nicht um die Performance sondern um die Sicherheitslücke an sich geht.

Ist das gleiche beim Abgasskandal oder dem hype um kryptos, über die Probleme / Techniken im Hintergrund wird kaum gesprochen auch wenn das an sich die wichtigeren Dinge wären.

Ich gehe mal davon aus, dass du dich mit PCs und vor allem der Sicherheit damit auskennst sonst würdest du ja wohl nicht hier schreiben…
Darum wird dich das Ganze auch nie betreffen. Denn egal welche Sicherheitslücke in Hardware du jetzt her nimmst… unterm Strich wird immer ein DAU benötigt der als Administrator angemeldet auf eine ausführbare Datei klicken muss damit sich überhaupt irgendwas tut.

Wenn man das Internet also nach wie vor mit etwas Verstand nutzt werden einen die Hardware-Sicherheitslücken nie betreffen.

Wirklich gefährlich wirds erst in Kombination mit einem Scheunentor in einer weit verbreiteten Software (hier nenn ich mal weils passt und die meisten es schon vergessen haben Intel ME oder auch Intel AMT)

1 „Gefällt mir“

Öhm, nein ganz falsch:

Meltdown means that userland code, such as JavaScript running in a web browser, can read kernel memory.

Quelle

Das heißt im Worstcase reicht es eine Webseite zu besuchen.

Deaktiviertes JavaScript (wie auch immer) gehört ja hoffentlich zu deinen Sicherheitsmaßnahmen…

*edit
Und gerade so Sachen wie Silverlight, Java, Flash oder eben JavaScript fällt unter die von mir beschriebene Kategorie.
Sowas pauschal Ausführen zu lassen ist heute einfach nur mehr dumm

Siehe auch hier: Meltdown & Spectre | Neukäufe aufschieben?

Es ist immer ein abwiegen zwischen Komfort vs. Sicherheit.
Da 99% aller Webseiten heutzutage Javascript voraussetzen aktiviert man es dann eh bei fast jeder Website manuell. Und es ist ja nicht nur so dass auf unseriösen Seiten Schadcode lauern kann. Silverlight, Java, Flash sind ja zum Glück tot - aber um Javascript kommt man doch eh nicht drum herum. Zumal es auch wesentlich besser in Chrome/Firefox implementiert&getestet ist.

Adblocker hab ich übrigens auch nicht im Einsatz weil ich das unfair gegenüber den Betreibern finde. Und wenn man wie du sagst eh nichts runterlädt/installiert ist auch dort die Gefahr überschaubar.

Das wichtigste ist sein System aktuell zu halten und alle Sicherheitspatchs Zeitnah einzuspielen.

1 „Gefällt mir“

Wenn du auf seriösen Seiten nur Scripte zulässt die eben auf dieser Seite liegen bist du schon mal gut drann.
Damit schliesst du alle Werbenetzwerke, Tracker und halt auch SchadScripte aus.

Solange Betreiber einer Seite entscheiden deren Werbung über Dritte unkontrolliert ausliefern zu lassen, bleibt mein Adblocker an.

Was man davon hat sieht man grad ganz gut bei Windows. Schnellschusspatch und zig System damit gecrasht.
Gibt schon nen Grund warum Firmen jeden einzelnen Patch (egal welches OS) prüfen bevor sie für die Rechner freigegeben werden.

Dann funktioniert schon mal nirgendwo Google-Maps und alles andere was über CDNs eingebunden wird (was ja aktuell Mode ist). Versteh mich nicht falsch, es zu blockieren ist in jeden Fall sicherer. Aber durch ein “broken Web” zu Surfen würde mich dann doch mehr nerven.

Adblocker ist noch mal ein Thema für sich. Wie gesagt halte ich es für “moralisch” nicht vertretbar werbefinanzierte Dienste einfach trotzdem zu nutzen. Also entweder mit Werbung oder garnicht - aber das würde das Thema hier sprengen.


Übrigens nutze ich sowohl auf Arbeit und auch private Arch Linux. Und bekomme deswegen Patches fast ohne Verzögerung. Ich dachte auch dass das System nicht stabil sein kann, mittlerweile nutze ich es aber auf Arbeit und private und es läuft nicht weniger stabil als Windows. Unsere Server laufen natürlich mit besser getesteten Distributionen (REHL).

Ich mach das seit 2 Jahren. Gibt genug Alternativen. Alles halb so wild wenn einem die Sicherheit wichtig ist.

Ja, Linux ist da vorbildlich was die Auslieferung betrifft. Allerdings ist man auch da nicht vor schlechten Patches geschützt. Ich warte immer ein paar Tage bevor ich Updates installiere. Da ich ohnehin fast täglich auf IT-News-Seite unterwegs bin sehe ich dann meist schon wenn es Probleme gibt.
Wenn man die Tools nutzt, die ich oben beschrieben habe, ist man sowieso meist kein Ziel für solche Angriffe.

*edit

Zumindest bei Arch ist es kein Problem einen Patch schnell wieder zurück zudrehen. Aber im letzen Jahr kam das ungefähr zwei mal vor (und das waren auch nur Dev spezifische dinge).


Das mit OpenStreetMap versteh ich nicht - ja es ist eine alternative zur Google-Maps - aber die Library wird ebenfalls über ein CDN eingebunden und funktioniert dann genauso nicht.

Lustig: Es gibt sogar von OSM ein Beispiel wie man einfach das Goolge-Script einbindet und dann nur die “Server-URL” auf OSM ändert.