CPU-Gate: "Intel lügt", "Microsoft oberflächlich", "IBM patcht im Februar", "Nvidia…"

Updates werden ausgerollt, die Erkenntnisse werden grösser, die Konflikte auch.
 
Intels Krisenkommunikation rund um die sehr gefährlichen CPU-Lücken - zwei Varianten namens Spectre sowie Meltdown - heisst "Salami-Taktik": Erst waren die Perfomance-Einbussen nach dem Patchen "unbedeutend", nun, im dritten Statement in einer Woche ist daraus "manchmal bedeutend" geworden.
 
Die Performance-Einbussen betreffen laut Intel nicht den "durchschnittlichen Benutzer" und normale Aufgaben wie E-Mail schreiben oder in Word schreiben. Aber dabei redet Intel wohl primär von Prozessoren der achten Generation. Und für alle anderen User hängt die Performance-Einbusse offenbar ab "vom spezifischen Workload, der Plattformkonfiguration und der Patch-Lösung" ab. Zwei bis 14 Prozent, gibt man nun beim Chip-Hersteller nun zu.
'The Register' hat offensichtlich die Nase voll: "Intel hat letzte Woche gelogen, Intel hat das Publikum angelogen und log auch bezüglich der Performance", so ein Tweet.
 
'Heise.de' hat die Details der Intel-Patch-Strategie zusammenfassen versucht. Ob, wie im Artikel geschrieben, Intel ab 2013 produzierte Prozessoren patcht oder auch andere, ist auch in den Community-Foren aber höchst unklar.

Für RZ- und Cloud-Kunden ist die Lage nicht besser, sie können hoffen, dass die Anbieter alles korrekt auseinanderdröseln, schreibt da manch ein verwirrter Foren-Leser.
 
Microsoft bestätigt Performance-Probleme
AMD ist auch nicht sehr transparent, wenn Partner, Kunden und Medien nach "was, wieviel und wie weiter" fragen. Man arbeite an einer Lösung zu Spectre (Variante zwei, CVE-2017-5715) und alles sei "komplex", zitiert 'The Verge' einen AMD-Verantwortlichen.
 
Ob die Apple-Updates auch für iPhones und Mac-Computer nötig seien, ist übrigens auch eine unbeantwortete Frage.
 
Unklar ist die Lage offenbar nach wie vor bei Cisco, man sei "möglicherweise" betroffen, weil die Kombination aus verwendeter CPU und Basisbetriebssystem in den Cisco-Produkten Angriffe "möglicherweise" erlaubt.
 
Microsoft wird hingegen transparenter: Auf Windows 10 PCs mit Skylake, Kabylake oder neueren CPUs sei der Impact minimal. Aber läuft Windows 10 auf älterer Hardware, sagt Terry Myerson, Präsident der Windows und Device Group, "so erwarten wir, dass einige User eine schlechtere Perfomance bemerken werden". Ist Windows 8 und Windows 7 im Einsatz, so erwartet Myerson, dass die meisten User eine Performance-Verschlechterung bemerken werden.
 
Bei Windows Servern, glaubt Myerson, könnte es mit I/O-intensiven Anwendungen noch schlimmer sein, so sein Blog-Post. Er präzisiert gleichzeitig: Nur die Patches gegen Spectre Variante 2 verlangen BIOS- beziehungsweise CPU-Microcode-Updates. Für Spectre-Variante 1 (CVE-2017-5753, Bounds Check Bypass) bringen die Updates neu compilierten Code.
 
SentinelOne ist sauer
Ja, ja, schon recht, schreibt SentinelOne in einem Blogpost. Aber Microsoft sei "oberflächlich konservativ" und lasse "Millionen von Endpoints" überflüssig lange ungeschützt, weil man aus Redmond die Patches nur für Devices mit einem spezifischen Registry Key ausrolle. Microsoft solle sich an Apple und dem High-Sierra-Patch ein Vorbild nehmen, schimpft der Antivirus-Hersteller.
 
Weil die Lage sehr unübersichtlich geworden ist, hat sich der britische Security-Experte Kevin Beaumont auf einem Google-Spreadsheet daran gemacht, alle Windows-Antiviren-Patch-Kompatibilitäten aufzulisten, von "360" über "Avast" bis "Webroot" (Unser Disclaimer: ohne Gewähr auf Vollständigkeit, das Dok scheint aber aktualisiert zu werden).
 
Im Übrigen muss man auf die Informations-Seiten all der Hersteller verweisen, von Amazon über Citrix, Oracle, Suse bis zu Xen, ja die Liste ist lang und sie wird nicht kürzer.
 
Dell EMC hat News und nun hat auch Nvidia bestätigt, dass einige Chips Spectre ausgesetzt sind, darunter GeForce, Tesla, Grid, NVS und Quadro. Und IBM ist nun auch sicher, dass es Probleme mit IBM Power-Prozessoren gibt. Die Risiko-Mitigation werde die System-Firmware und das OS umfassen und man müsse – das wird IBM keinen Beliebtheitspreis eintragen – für einzelne OS-Patches bis 12. Februar warten. Power7+- und Power8-Patches hingegen seien jetzt verfügbar.
 
Tagesfazit: Wer einen aktuellen, vollständigen, strukturierten Überblick über die im eigenen Unternehmen eingesetzten Produkte hat, ist garantiert im Vorteil. Aber das garantiert nicht weniger Ärger beim Updaten. (Marcel Gamma)