for a better it
040 696 66 71- 0
040 696 66 71-29

IT for Business & DialogDigital

Liebe Kunden, liebe Interessierten,
wenn Sie an einem persönlichen Kennenlernen interessiert sind, besuchen Sie uns!

Wir sind sowohl in Lübeck, als auch in Neumünster auf folgenden Messen zu sehen:
IT for Business
7. Februar 2018 • 10.00 – 18.00 Uhr
media docks • Willy-Brandt-Allee 31 • 23554 Lübeck • Stand 43
https://www.it-for-business.info

DialogDigital
08. Februar 2018 • ab 12.30 Uhr
HENRY KRUSE GmbH & Co KG • Neuenbrook 6 • 24537 Neumünster • Stand 6
http://www.logish.egeb.de/veranstaltungen/dialogdigital-impulse/


Microsoft über Meltdown & Spectre: Details zu Patches und Leistungseinbußen

Liebe Kunden, liebe Interessenten,

Meltdown (englisch für „Kernschmelze“) und Spectre (englisch für „Schreckgespenst“) bezeichnen Sicherheitslücken, die in fast allen modernen Desktop-, Mobile- und Server-Prozessoren stecken.
Im folgendem Artikel erklärt Terry Myerson (Vice President vom Microsoft) die ersten Updates über die Schwachstellen der Prozessoren.

Sind Sie auch betroffen?

Erfahren Sie mehr! Sie können uns auch direkt über unser Kontaktformular erreichen.

Ihr Team der
dalatias IT Solutions


In einem Blog-Beitrag erklärt Microsoft-Vizepräsident Terry Myerson die Updates für Windows genauer und gibt auch Schätzungen zu Leistungseinbußen ab: Die können unter Windows Server erheblich sein.

Wer einen Windows-Server betreibt, soll die Performance-Auswirkungen der bereitstehenden Updates für die Prozessor-Sicherheitslücken Meltdown und Spectre genau prüfen. Das rät Microsoft-Vizepräsident Terry Myerson in einem Blog-Eintrag.

Darin gibt er auch Einschätzungen zur Auswirkung der Patches auf die Leistung von Client-PCs, also auf Desktop-PCs, Notebooks und Tablets mit Windows 10, Windows 8 oder Windows 7. Demnach müssen Besitzer moderner Windows-10-Rechner mit einem aktuellen Prozessor ab Intel Skylake (Core i-6000) keine relevanten Nachteile befürchten. Die Bremswirkung der Patches liege im „einstelligen Prozentbereich“, was man in der Praxis nicht spüre.

Schon anders sieht das laut Myerson bei Windows-10-Systemen mit älteren Prozessoren bis einschließlich zur Intel-Generation Haswell (Core i-4000) aus: „Einige Benchmarks“ zeigten hier „signifikantere Verlangsamung“, sodass „einige Nutzer einen Rückgang der Systemleistung bemerken werden“.

Bei alten Computern mit Windows 7, Windows 8 und ebenfalls älteren Prozessoren bis einschließlich Haswell dürften „die meisten Nutzer“ spüren, dass die Leistung sinkt.

Microsoft will „in den kommenden Wochen“ Benchmark-Ergebnisse veröffentlichen.

Myerson erklärt auch, weshalb sich die Patches bei älteren Windows-Versionen stärker auswirken. Dort gebe es noch mehr Übergänge vom User- in den Kernel-Adressbereich, etwa weil das Rendering von Fonts noch im Kernel-Bereich erfolge.

Gegenmaßnahmen detailliert
In einer Tabelle erklärt Terry Myerson nochmals die drei Meltdown-/Spectre-Sicherheitslücken und die jeweiligen Gegenmaßnahmen, die die aktuellen Windows-Updates bringen. Nur die Patches gegen CVE-2017-5715 (Spectre Variante 2, Branch Target Injection/BTI) verlangen demnach BIOS- beziehungsweise CPU-Microcode-Updates.

Als Maßnahme gegen CVE-2017-5753 (Spectre Variante 1, Bounds Check Bypass) bringen die Windows-Updates neu compilierten Code mit. Außerdem hat Microsoft die Browser Edge und IE11 „gehärtet“, um denkbare Angriffe mit JavaScript zu erschweren.

Ähnlich wie Linux mit KPTI schützt Microsoft Windows gegen Meltdown (CVE-2017-5754, Rogue Data Cache Load) durch eine bessere Trennung der Speicherbereiche von Kernel und Anwendungen (Isolate Kerne and User Mode Page Tables).

Quelle: heise.de

Massive Lücke in Intel-CPUs erfordert umfassende Patches

Wie Sie sicher über die Presse gehört haben, ist es zu gravierenden Sicherheitsproblemen im Bereich der Computer Prozessoren, in fast allen Bereichen der IT und Handy Nutzung gekommen.
Sobald es hier Hardware Lösungen gibt, werden wir die Umsetzung kurzfristig mit ihnen klären. Viele Hersteller von Betriebssystemen arbeiten an Lösungen um die Lücke über das Betriebssystem abzuschotten. Sobald es hier Updates und/oder Patches gibt, werde wir diese Zeitnah in ihre Systeme integrieren.

Ihr Team der
dalatias IT Solutions


Derzeit arbeiten Linux- und Windows-Entwickler mit Hochdruck an umfangreichen Sicherheits-Patches, die Angriffe auf Kernel-Schwachstellen verhindern sollen. Grund für die Eile: eine Intel-spezifische Sicherheitslücke.

In Intel-CPUs steckt nach derzeit bereits kursierenden Informationen eine Sicherheitslücke, die nur aufwendige Sicherheits-Patches in Betriebssystemen schließen können. Auslöser für die Mutmaßungen ist unter anderem das außergewöhnlich hohe Tempo, in dem die Entwickler des Linux-Kernels derzeit an einem Feature namens „kernel page-table isolation“ (KPTI) arbeiten. Es soll dem Ausnutzen von Kernel-Sicherheitslücken entgegenwirken, die auf der Kenntnis virtueller Speicheradressen basieren.

Das KPTI-Feature, das von seinen Erfindern zunächst die Bezeichnung KAISER erhielt, erfordert massive Umbaumaßnahmen des Kernels im Bereich der virtuellen Speicherverwaltung: Bereits vor zwei Wochen umfasste die Linux-KPTI-Patch-Serie laut LWN.net über 50 einzelne Patches. Das Sicherheits-Feature soll jedoch nicht nur Bestandteil der neuen Linux-Kernel-Version 4.15 sein, sondern auch in ältere stabile Kernel-Versionen rückportiert werden. Version 4.14.11 wurde bereits um KPTI aufgerüstet.

Auch Microsoft hat auf die derzeit nicht näher bezeichnete Bedrohung reagiert: Windows-Experte Alex Ionescu veröffentlichte bereits im November 2017 zwei Screenshots von NT-Kernel-Patches, die das KPTI-Prinzip implementieren und die derzeit in Insider-Builds von Windows 10 erprobt werden.

Bessere Isolation der Speicherbereiche
Die so genannte „kernel address space layout randomization“ (KASLR) ist bereits seit mehreren Jahren Bestandteil aller gängigen Betriebssysteme. Sie soll mittels zufälliger Zuordnung virtueller Adressen zu Betriebssystem-Prozessen bei jedem Reboot Angriffe auf Kernel-Schwachstellen erschweren. Allerdings wurden in den vergangenen Jahren schon mehrfach Techniken wie etwa Double-Page-Fault- und Sidechannel-Angriffe vorgestellt, die an KASLR vorbei Informationen über eigentlich geschützten Speicher beschaffen.

Vor diesen Angriffen soll KPTI schützen – durch konsequente Trennung der Seitentabellen für Kernel- und User-Space („page table splitting“). Statt wie bislang mit nur einer (mehrstufigen) Seitentabelle pro Prozess zu arbeiten, wird hierzu eine Tabellen-Kopie („shadow page table“) angefertigt. Der laufende Prozess sieht auf dieser Kopie lediglich seinen eigenen Speicherbereich sowie einige wenige Speicheradressen des Kernel-Mode-Codes, die für Systemaufrufe und Interrupts benötigt werden. Die Originaltabelle samt Mapping des vollständigen Adressraums kommt hingegen nur im Kernel-Mode zum Einsatz.

Variierende Performance-Einbußen
Der Wechsel zwischen den Seitentabellen hat zur Folge, dass jeder Systemaufruf oder Interrupt mit Performance-Einbußen einhergeht. Diese können offenbar stark variieren: Die ursprünglichen KAISER/KPTI-Entwickler erwähnen in ihrem Whitepaper eine um 0.28 Prozent erhöhte Laufzeit; die Linux-Entwickler ermittelten Werte um die fünf Prozent.

Die Schwankungen dürften darauf beruhen, dass ältere Intel-Prozessoren bei jedem Seitentabellenwechsel den Translation Lookaside Buffer (TLB) – eine Art Zwischenspeicher für kürzliche referenzierte Speicheradressen – leeren. Neuere Prozessoren meistern dies dank so genannter process-context identifiers (PCIDs) besser.

Weitere Informationen und Updates sollen folgen
Dass KASLR nicht mehr sicher ist, ist schon länger bekannt. Offen bleibt, welches konkrete Angriffsszenario auf Intel-CPUs für die derzeitige hektische Betriebsamkeit bei den Linux- und Windows-Entwicklern sorgt. AMD-Prozessoren sollen nach Aussage eines AMD-Entwicklers übrigens nicht anfällig sein.

Mit weiteren Informationen rechnet man in den nächsten Tagen: Die großen Cloud-Anbieter Microsoft und Amazon haben erzwungene Reboots ihrer VMs zwischen dem fünften und dem zehnten Januar angekündigt, um „Sicherheits- und Wartungs-Updates“ einzuspielen.

Quelle: heise.de