Heißt das, Meltdown und Spectre sind gar nicht so schlimm wie von allen prophezeit?
So ganz richtig liege ich da wohl doch nicht? Würde mich auch mal interessieren, wie andere das hier sehen.
Mal sehen, was da noch kommt.
Mit vollem Spectre-2-Schutz erhöht sich der Leistungsverlust also noch mal deutlich im Vergleich zum reinem Meltdown-Schutz. Derzeit liegen nicht genug Messungen für die Auswirkungen auf reale Anwendungsfälle vor – aber es ist zu befürchten, dass der volle Schutz gegen Spectre-2 per IBRS durchschnittlich Leistungsverluste weit über 10 % bewirkt.
Das trifft leider alle – nur Nutzer mit entsprechendem Expertenwissen können natürlich eine Risikobewertung vornehmen und gegebenenfalls nur kpti und ibpb einschalten sowie mit ibrs=0 leben und nur ein Viertel bis ein Drittel des Leistungsverlustes erleiden.
Wie man seine IT vor Spectre und Meltdown schützt | Gespensterjagd | von Kurt Garloff | iX 2/2018 S. 62
Derweil gibt es offenbar Hinweise darauf, dass ein Start-Up aus Tel Aviv, CTS-Labs, auf AMDflaws weitere angebliche Lücken in AMDs Prozessor-Architektur, ohne PoCs und eingenhenden Hinweisen veröffentlicht hat und möglicherweise eine Kurs-Manipulation durch Viceroy Research dahinter steckt. Vor dieser Firma hatte die BaFin jedenfalls in der Vergangenheit schon vor Kursmanipulationen gewarnt.
Torvalds hatte das stark kritisiert
Linux-Mastermind Linus Torvalds hingegen nimmt auf Google+ wie gewohnt kein Blatt vor den Mund. Ohne auf die Sicherheitslücken einzugehen, spricht er in Bezug auf CTS-Labs von "attention-whoring", also von übertriebenem Heischen um Aufmerksamkeit.
Weiterer Experte bestätigt Sicherheitsprobleme in AMD Ryzen und Epyc | heise security | 16.03.2018 | Christof Windeck
In speaking with multiple security experts off-record, we have it on good authority that the proposed vulnerabilities are potentially legitimate; however, our present understanding is that these alleged vulnerabilities: (1) Are not unique to AMD, (2) may require root access to the host system, and (3) are blown way out of proportion, if legitimate at all.
Viceroy’s peculiar involvement in all of this is the most vexing, particularly when going on-record in an interview to demand an assumption of financial involvement. Had this been presented as a demonstration of technology and its limitations or flaws, that’d be one thing, but this was presented as a hit piece on AMD by both CTS Labs and Viceroy. Any researchers with their names publicly attached to this fracas should be ashamed.
Assassination Attempt on AMD by Viceroy Research & CTS Labs, AMD "Should Be $0" | By Steve Burke & Patrick Lathan | Gamers nexus | Published March 13, 2018