verfaßt von baeuchlein, 06.05.2018, 17:48:37
> Vor ein paar Wochen (Ende März?) hab ich da irgendwo (Heise?) eine Meldung
> gelesen, dass MS bei dem Spectre-Patch für Windows 7 Murks gemacht hat. Auf
> unserem Win7-Rechner wurden - aus Vorsicht nach den ersten Problemmeldungen
> - seit Jahresanfang keine Windows-Updates mehr installiert.
>
> Wisst ihr Bescheid, ob es inzwischen schon neue Patches ohne Murks gibt,
> und zwar so, dass man den Murks gar nicht erst zu installieren braucht?
Die Antwort lautet natürlich: Kommt drauf an.
Was es genau für Patches gibt, hängt vom Betriebssystem und vor allem von der CPU ab. Ich persönlich habe einen Intel Core i3-2350M, einen Prozessor der Sandy-Bridge-"Baureihe". Das habe ich mal mit etwas Arbeit 'rausgekriegt und mir sinnigerweise auch gleich aufgeschrieben.
Ich habe dann insbesondere die Meldungen bei heise.de immer schön durchgelesen, und meistens recht schnell gemerkt, dass ein bestimmter Patch o.ä. nicht für meine CPU existiert. Dieser Prozessor ist etwas älter als die fünf Jahre, die Intel zunächst mal genannt hat für seine Patches, sprich: CPUs, die früher als 2013 hergestellt wurden, kriegten zunächst mal grundsätzlich noch keine Patches.
Später dann kamen ab und zu mal Meldungen, die entweder Patches ohne Eignung nur für eine bestimmte CPU betrafen (insbesondere Änderungen im Linux-Kernel), oder aber die dann tatsächlich auch für jene Sandy-Bridge-CPUs geeignet waren. Bisher las ich da aber nur von Patches, die nicht automatisch für meine CPU unter "meinen" Betriebssystemen (Win7, Linux) installiert wurden. Solange ich also selber nix tat, sollte es kein Problem geben, außer dass eben meine CPU keinen Patch für Spectre/Meltdown kriegte.
Also ließ ich unter Win7 die Updates ganz normal "kommen". Ich lasse sie zwar nicht vollautomatisch installieren, sondern Windows muss sie mir melden, und ich lass' sie dann bei günstiger Gelegenheit (meistens innerhalb von spätestens zwei Tagen) von Windows Update installieren. Hat bisher problemlos funktioniert. Und falls es Ärger gegeben hätte, hätte ich ein Backup zurückgeholt und dann erst mal beim Updaten nachgesehen, welches der Updates wohl der Schuldige ist. Aber dazu kam es ja nicht.
Unter Linux hingegen muss man selber aktiv werden. Es gibt Patches im Kernel, die wohl v.a. für das Angriffsszenario "Spectre V2" gedacht sind, und es gibt Dateien von Intel, die Microcode-Updates enthalten. Letztere kann man dann von Linux vor jedem Start wieder automatisch in die CPU 'reinladen lassen, so dass die CPU dann gepatcht ist. Geht was schief, stellt man dieses Microcode-'Reinladen halt wieder ab und kann dann zumindest den Rechner wieder benutzen. Ähnliches könnte man prinzipiell auch machen, wenn der Kernel mit irgendeinem der Patches Probleme machen würde.
In der Praxis allerdings habe ich im Januar/Februar mal 2-3 Wochen lang immer wieder versucht, einen neuen Kernel ans Laufen zu kriegen. Klappte nicht. Da habe ich es dann erst mal bleiben gelassen und frühere, funktionierende Kernels weiter benutzt. Gestern abend ist es mir dann bei einem erneuten Versuch, angeregt durch die neuen Meldungen über weitere CPU-Lücken, das erste Mal gelungen, einen Kernel zum Laufen zu bringen, der dann auch was zu einem Schutz vor "Spectre V2" erzählt. Allerdings ist dieser Kernel noch nicht optimiert; die Mehrkern-CPU wird nur mit einem Kern und nur mit 32 statt 64 Bit betrieben. An dieser Optimierung stricke ich derzeit noch...
Mit den Linux'schen Microcode-Updates habe ich noch keine Erfahrung gesammelt. Da muss ich erst mal nachlesen (und ich weiß noch nicht mal, wo!), wie das eigentlich genau geht.
> Bin seit der Warnung über keine diesbezüglichen Meldungen gestolpert (lese
> aber auch nicht regelmäßig, weil ich nicht mehr so viel am PC sitze), und
> das, was ich aktuell finde, ist teilweise widersprüchlich oder für mich
> (doch ziemlichen Laien) nicht ausreichend informativ.
Ich empfinde die Informationslage auch als ziemlich unübersichtlich. Und das Theater nimmt vermutlich wieder Fahrt auf, wenn jetzt die ersten Patches für die neuen gemeldeten Lücken auf die Opfer PC-Benutzer losgelassen werden. Ich hab' ja fast noch Glück, dass meine CPU schon so alt ist, dass nicht alle paar Tage was 'rauskommt, was diesen Prozessor betrifft. (Und die anderen CPUs in meinem kleinen Reich sind eh so alt, dass außer den allgemeinen Patches im Linux-Kernel da auch nix mehr kommt. Für die alten Dinger gibt's bestimmt keine Microcode-Updates mehr.)
> Habe den Eindruck,
> dass es noch immer besser ist, den PC zu lassen, wie er ist (und möglichst
> nicht langandauernd online zu sein - was mit WLAN-USB-Stick und ohne
> zwangsweise Online-Arbeit relativ leicht durchführbar ist).
Das ist eine Möglichkeit. Im Augenblick allerdings benutze ich meinen Rechner noch ganz normal, weil bisher noch keine Nachrichten über tatsächlich erfolgreiche Angriffe auf diese CPU-Lücken aufgetaucht sind. Damit meine ich Angriffe außerhalb der Testlabors u.ä.; dort ist man ja am Stopfen der Lücken interessiert. Eine Meldung über Datenklau mit einem Virus, das Spectre/Meltdown & Co. ausnutzt, ist mir noch nicht untergekommen. So lange das so bleibt, bricht bei mir da noch keine Panik aus.
> PS: Nun lese ich eben bei Heise [...] dass schon
> wieder neue Lücken bei Intel entdeckt wurden.
Ja. Wie einige Personen meines Wissens schon zum Jahresbeginn vermuteten, liegt das Problem eigentlich in der Prozessorarchitektur, und man muss "nur" 'rausfinden, wie man die durch die Architektur entstandenen wer weiß wie vielen Lücken dann auch tatsächlich ausnutzen kann. Das ist zum Glück nicht ganz so einfach und unterscheidet sich auch von CPU-Familie zu CPU-Familie.
> Da muss man sich schon fragen: Wann kommt der große Super-GAU????
Wenn man die graue Eminenz der Prozessorkunde bei Heise, Andreas Stiller, "fragt" (bzw. seine Stellungnahme dort vom Jahreswechsel liest), dann ist der eigentlich schon da. Nur, weil vermutlich noch keiner die Sicherheitslücken mißbraucht und weil diese Lücken für sich ganz alleine auch nur sehr begrenzt mißbrauch-bar sind, ist wohl noch kein "Folge-GAU" (im Sinne von vielen Megatonnen ausgespähter Daten o.ä.) passiert. Sollte es aber mal irgendeinem Viren-Programmierer gelingen, ein in der Praxis nutzbares Programm zu einem der Angriffsszenarios zu schreiben und es auch zu einer ausreichenden Zahl verschiedener CPUs passen, dann könnte der große Ärger schnell näher kommen.
Dir persönlich würde ich raten, mit Hilfe von Backups des Betriebssystems und der Daten dafür zu sorgen, dass ein eventuell Amok laufender Patch von Windows Update keine allzu gravierenden Folgen für deine Geräte haben sollte, und dann die Windows-Updates wieder einzuschalten. Auf Dauer halte ich derzeit ein nicht weiter gepatchtes Windows für gefährlicher als das Risiko, mal durch einen "vermurksten" Patch ein nicht mehr lauffähiges Windows zu bekommen. Zumal da ja normalerweise das Wiederherstellen des Backups weiterhilft, und danach könnte man dann ja immer noch so lange Updates nicht oder nur nach "Einzelprüfung von Hand" installieren lassen, bis der "Murks" dann beseitigt wäre. Ähnliche Überlegungen brachten mich ja auch dazu, meine masochistischen Kernel-Experimente unter Linux wiederaufzunehmen.
gesamter Thread: