Intel-Sicherheitslücke: Microcode-Lizenz verbietet keine Benchmarks mehr [Update]
Aktualisierung vom 24.08.: Für die beiden neuesten Prozessor-Sicherheitslücken, Foreshadow und L1TF, gibt es bereits erste Updates, die eine Ausnutzung verhindern sollen. Die Entwickler von Debian und Gentoo wollen Intels Microcode-Updates jedoch nicht integrieren, denn die Lizenz der Software hat sich verändert.
Aktualisierung vom 24.08.: Nachdem bereits gestern zu erwarten war, dass Intel auf die großflächige Negativberichterstattung reagiert, gibt es mittlerweile Bewegung beim Thema. In einer Stellungnahme, die unter anderem PC Games Hardware vorliegt, gibt Intel zu Protokoll, dass man die Lizenz vereinfacht habe, um CPU-Microcode-Update einfacher zu verbreiten. Als "aktives Mitglied der Open-Source-Community begrüße man jedes Feedback und danke der Community", so Intel. Die neuen Regeln lesen sich wirklich sehr viel einfacher als die alten, von einem Benchmarkverbot ist keine Rede mehr. Hier die Stellungnahme von Intel im Original:
We have simplified the Intel license to make it easier to distribute CPU microcode updates and posted the new version http://bit.ly/2w9RjtM. As an active member of the open source community, we continue to welcome all feedback and thank the community.
Und hier die neuen Regeln der Lizenz im englischen Original:
Redistribution.
Redistribution and use in binary form, without modification, are permitted, provided that the following conditions are met:
- Redistributions must reproduce the above copyright notice and the following disclaimer in the documentation and/or other materials provided with the distribution.
- Neither the name of Intel Corporation nor the names of its suppliers may be used to endorse or promote products derived from this software without specific prior written permission.
- No reverse engineering, decompilation, or disassembly of this software is permitted."Binary form" includes any format that is commonly used for electronic conveyance that is a reversible, bit-exact translation of binary representation to ASCII or ISO text, for example "uuencode."
Wir berichteten bereits letzte Woche über neu gefundene Sicherheitslücken in Prozessoren. Von den beiden, die ein ähnliches Prinzip wie Spectre und Meltdown verfolgen, ist erneut Intel betroffen. Die beiden Lücken heißen Foreshadow und L1 Terminal Fault (L1TF). Sie wurden im Januar entdeckt und benötigen Patches im Betriebssystem beziehungsweise Microcode (BIOS-Update) des Rechners.
Hinter den zwei Namen verbergen sich drei unterschiedliche Sicherheitslücken, die auf den Virtual Machine Manager (VMM), den Betriebssystem-Kernel und Intels SGX abzielen. SGX - vollständiger Name "Software Guard Extensions" - ist in dieser Art der Implementierung Intel-exklusiv und dient eigentlich dazu, Speicherbereiche abzusichern. Zumindest gegen Spectre und Meltdown waren SGX-geschützte Bereiche angeblich sicher, doch die Foreshadow-Lücke konnte auf diesen zugreifen. Wie bei den meisten dieses Jahr gefundenen Lücken wird dafür die spekulative Codeausführung verwendet. Eine Liste der betroffenen Prozessorfamilien ist bei Intel einzusehen, betroffen sind fast alle Prozessoren der Core-Architektur.
Neue Lizenz mit fragwürdiger Passage
Aufgrund der langen Vorlaufzeit wurden erste Updates gegen die Lücken bereits verteilt. Von Microsoft stehen Downloads bereit, Linux soll mit Kernel-Version 4.19 geschützt sein. Wie immer bei Hardware -Sicherheitslücken stellt sich jedoch die Frage, ob die Patches die Leistung verändern.
Die Entwickler von Debian und Gentoo wollen die aktuellen, von Intel bereitgestellten Microcode-Updates nicht integrieren, denn eine neue Lizenz schränkt die Entwickler ein. Das Update und somit auch die Lizenz kann über Intels Website heruntergeladen werden. In der neuen Lizenz steht folgender Text:
Unless expressly permitted under the Agreement, You will not, and will not allow any third party to (i) use, copy, distribute, sell or offer to sell the Software or associated documentation; (ii) modify, adapt, enhance, disassemble, decompile, reverse engineer, change or create derivative works from the Software except and only to the extent as specifically required by mandatory applicable laws or any applicable third party license terms accompanying the Software; (iii) use or make the Software available for the use or benefit of third parties; or (iv) use the Software on Your products other than those that include the Intel hardware product(s), platform(s), or software identified in the Software; or (v) publish or provide any Software benchmark or comparison test results.
Während die größten Teile davon einer üblichen Lizenz entsprechen, ist der letzte Abschnitt eine ungewöhnliche Einschränkung: Intel verbietet Leistungsvergleiche auf Basis des Updates. Intel selbst hat zwar Benchmarks zu L1TF veröffentlicht, doch sind diese natürlich keineswegs so aussagekräftig wie die Ergebnisse von unabhängigen Parteien - Stichwort Cherry Picking. Die Entwickler der Betriebssysteme stört indes das Verbot einer Weiterverteilung des Microcode-Updates.
Auch lesenswert: Sicherheitslücken Spectre & Meltdown: Ein Erklärungsversuch
Da das Update integriert werden muss, um es zu testen, unterbindet Intel mit dieser Passage das legale Veröffentlichen von Testergebnissen zu der neuen Sicherheitslücke. Das betrifft theoretisch nicht nur die Entwickler der Software, sondern auch alle anderen Nutzer und auch Redaktionen. Ob Intel allerdings auch gewillt ist, die Lizenz im Falle eines Bruches rechtlich durchzusetzen oder ob der Hersteller aufgrund des medialen Drucks nachgibt und die Passage wieder entfernt, ist jedoch momentan noch unklar. Debian ist mit Intel bereits im Gespräch, offenbar ist Intel durchaus willig, einzulenken.
Quelle: Computerbase,Intel
Ich glaube Knogle wollte rein auf RAM+Board hinaus.. der komplette Unterbau halt^^
Gesendet von meinem ONEPLUS 3T mit Tapatalk
Da müsste ich nach dem Verkauf von meinem 8700K geköpft, dem ASRock Z370 Extreme 4 und dem RAM doch noch gut was drauflegen.
Man muss die Patches ja nicht verwenden, oder? Auf einer Spielekiste muss man keine sensiblen Daten haben. Aber was ist die Lösung? Ein sicheres Zweitsystem?
Jedenfalls kann man Intel so eigentlich nicht mehr empfehlen.
@Knogle: der 2700X alleine kostet schon 320€.
Fuer 300 Euro kriegst du einen AM4 Unterbau mit 2700X problemlos