1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Updates: Wie man Spectre und…

wie eine CPU gepatched werden kann?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. wie eine CPU gepatched werden kann?

    Autor: short reader 12.01.18 - 21:24

    imho könnte lediglich ein Kernel gepatched werden via Internet.
    Alles andere würde bedeuten, dass Intel die CPU's via Internet-Patch austauschen will.
    Great Hoax imao

  2. Re: wie eine CPU gepatched werden kann?

    Autor: Graveangel 12.01.18 - 21:48

    short reader schrieb:
    --------------------------------------------------------------------------------
    > imho könnte lediglich ein Kernel gepatched werden via Internet.
    > Alles andere würde bedeuten, dass Intel die CPU's via Internet-Patch
    > austauschen will.
    > Great Hoax imao


    Das nennt sich Micro Code Update und in so einem Fall werden diverse Instruktionen anders ausgeführt als die Hardware es normal vorgeben würde.
    Der Prozessor schaut in einen gewissen Speicher, wo drin steht, was anders gemacht werden soll und dann macht die CPU das.

    Das geht natürlich nur in begrenztem Umfang, was vermutlich der Grund ist, warum meltdown in software gefixed wird.
    Microcode Updates kommen natürlich trotzdem, aber der Grund dafür ist vermutlich, dass man die Einbußen der Patches damit minimieren will.

    100% kenne ich die Details aber nicht.

  3. Re: wie eine CPU gepatched werden kann?

    Autor: Ext3h 12.01.18 - 22:45

    Graveangel schrieb:
    --------------------------------------------------------------------------------
    > Das geht natürlich nur in begrenztem Umfang, was vermutlich der Grund ist,
    > warum meltdown in software gefixed wird.
    > Microcode Updates kommen natürlich trotzdem, aber der Grund dafür ist
    > vermutlich, dass man die Einbußen der Patches damit minimieren will.

    Zunächst einmal muss die Funktion in Hardware überhaupt existieren, die per Microcode Update nachgerüstet werden soll. Es lässt sich lediglich eine Assembler-Instruktion (bzw. der dazugehörige "Maschinencode") durch einen andere Sequenz von Micro-Ops um- oder neu definieren. Es lassen sich aber keine Funktionen einbauen, für die es keine passende Micro-Ops gibt.

    Für den Meltdown-Patch gibt es keine passenden Micro-Ops, sondern die Privilege-Checks sind in Hardware defekt. Jeder alternative Microcode würde immer noch die gleichen Probleme haben.

    Für Meltdown steht lediglich, mehr oder weniger zufällig, ein ANDERES Sicherheitskonzept bereits in Hardware bereit, dass, sofern die Software angepasst wird um dieses alternativ zu verwenden, einen effizienteren Software-Patch erlaubt. Dafür braucht es auch noch kein Microcode-Update, da alle Prozessoren die das Konzept in Hardware unterstützen auch bereits die Instruktionen dazu definiert haben.


    Bei Spectre Teil 2 ist das ein wenig komplizierter. Die einzige Lösung besteht darin, den internen Zustand der Branch-Prediction zu löschen. Das funktioniert entweder in Software, indem man die Branch-Prediction solange im Kreis führt bis sie nichts anderes mehr kennt (das ist tatsächlich was gemacht wird...), oder mit neuen Instruktionen die die entsprechenden Hardware-Register direkt säubern.

    Die Software-Lösung für Spectre Teil 2 funktioniert zwar, ist aber so langsam wie sie klingt. Die Lösung mit den neuen Instruktionen erfordert ein Microcode-Update, welches überhaupt erst die Definition für diese hinzu fügt.

    Selbst mit Microcode-Update muss die Software dann allerdings auch erst die neuen Instruktionen verwenden. Und selbst mit den neuen Instruktionen wird es noch erheblich langsamer. Den Zustand der Branch-Prediktion zu verlieren bedeutet immer dass diese anschließend für eine Weile nicht mehr funktioniert.

    So etwas wie einen "leichtgewichtigen Syscall", der ohne Spectre und Meltdown-Patch gegenüber Userspace-Code keinen messbaren Overhead mehr hatte, gibt es nach den Patches nicht mehr. Wird es auch auf absehbare Zeit nicht wieder geben.



    1 mal bearbeitet, zuletzt am 12.01.18 22:45 durch Ext3h.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Applikationsbetreuer / Softwareentwickler / Datenbankadministrator (m/w/d)
    Karl Simon GmbH & Co. KG, Aichhalden
  2. Help Desk Techniker*in (m/w/d)
    Scheidt & Bachmann Parking Solutions Germany GmbH, Mönchengladbach
  3. IT Senior Consultant (m/w/d) Finance Processes
    DAW SE, Ober-Ramstadt
  4. Softwarearchitekt / -entwickler Functional Safety (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Age of Empires II: Definitive Edition für 11€, Desperados III für 15,99€, Commandos...
  2. (u. a. Lust from Beyond für 11,99€, Song of Horror - Complete Edition für 14,99€, Treasure...
  3. 39,49€
  4. 3,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de