KB5029778 gegen Downfall: Schutzmaßnahmen für Systeme mit Intel-CPU können deaktiviert werden
Microsoft hat damit begonnen, unter Windows 11 und Windows 10 die entsprechenden Sicherheitsupdates für "Downfall" auszurollen. Damit gehen Schutzmaßnahmen einher, die betroffene Intel-Systeme vor einem Ausführungsangriff, dem sogenannten Gather Data Sampling ("GDS"), bewahren sollen. Diese Maßnahmen können je nach CPU und Anwendung mit Leistungsverlusten von 50 Prozent einhergehen, weshalb Microsoft einen entsprechenden Leitfaden zur Deaktivierung des Updates bereithält.
Intel hat nach Bekanntwerden der Downfall-Sicherheitslücke ("CVE-2022-40982") prognostiziert, dass die Leistungseinbußen durch die getroffenen Schutzmaßnahmen je nach Szenario, Einsatzgebiet und Anwendung "minimal" bis "signifikant" ausfallen werden und vornehmlich beim Einsatz der Befehlssatzerweiterungen AVX2 und AVX-512 "bis zu 50 Prozent" betragen können. Damit liegen die erwartbaren Leistungsverluste im Bereich der Schwachstelle, die Zen-CPUs bedroht.
Microsoft ist sich des Problems bewusst und handelt
Microsoft hat jetzt damit begonnen, unter Windows 11 und Windows 10 die entsprechenden Sicherheitsupdates für die Sicherheitslücke "Downfall" in Form eines kumulativen Updates ("KB5029778") auszurollen. Damit gehen Schutzmaßnahmen einher, welche betroffene Intel-Systeme vor einem Ausführungsangriff, dem sogenannten Gather Data Sampling ("GDS"), bewahren sollen.
Microsoft ist sich eines neuen vorübergehenden Ausführungsangriffs mit dem Namen Gather Data Sampling (GDS) oder "Downfall" bewusst.
Diese Sicherheitsanfälligkeit könnte verwendet werden, um Daten von betroffenen CPUs über Sicherheitsgrenzen wie Benutzerkernels, Prozesse, virtuelle Computer und vertrauenswürdige Ausführungsumgebungen hinweg abzuleiten.
Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter INTEL-SA-00828-Sicherheitsempfehlung und CVE-2022-40982.
Microsoft
Diese Schutzmaßnahmen können aber je nach Prozessor und Anwendung mit Leistungsverlusten von bis zu 50 Prozent einhergehen, weshalb Microsoft auch einen entsprechenden Leitfaden zur Deaktivierung des Sicherheitsupdates bereithält. So lassen sich die Maßnahmen und die damit verbundenen Leistungseinbußen des Prozessors auf Kosten der Sicherheit wieder rückgängig machen.
Schutzmaßnahmen lassen sich per Registry deaktivieren
Nachdem das entsprechende Windows-Update ("KB5029778") vom Betriebssystem installiert wurde, müssen Anwender das nachfolgende Featureflag in der Registrierungsdaten ("Registry") festlegen:
Quelle: Microsoft (Screenshot: PC Games Hardware)
Schutzmaßnahmen gegen "Downfall" rückgängig machen
Sollten die entsprechenden Registrierungswert bisher nicht vorhanden sein, müssen Anwender den nachfolgenden Befehl ausführen, um die Entschärfung aller Schutzmaßnahmen gegen "Downfall" durchzuführen:
Quelle: Microsoft (Screenshot: PC Games Hardware)
Schutzmaßnahmen gegen "Downfall" rückgängig machen
Wie schon "Inception" bei AMDs CPUs auf Basis der Architekturen Zen 1 bis Zen 4 kann auch "Downfalls" auf Intels CPUs unter gewissen Umständen sehr viel Leistung kosten. Alle betroffenen Modelle hat Intel in einer Übersicht zusammengefasst.
Genannt werden dabei auch detaillierte Informationen wie die CPUID und das entsprechende MCU-Update für den jeweiligen betroffenen Prozessor. In seinem offiziellen Dokument "Gather Data Sampling Mitigation Performance Analysis" gibt Intel auch entsprechende Prognosen zum Leistungsverlust und den weiteren Auswirkungen der Schutzmaßnahmen ab.
Hinweis: Betroffen sind Prozessoren ab der Skylake-Mikroarchitektur und bis einschließlich Rocket Lake, also von der 6. bis zur 11. Core-Generation. Core-CPUs der 12. Generation ("Alder Lake") und 13. Generation ("Raptor Lake") sind indes sicher.
Ihre Meinung ist gefragt!
Wie stehen Sie zu diesem Thema? Die PCGH-Redaktion freut sich über Ihre fundierte Meinung in den Kommentaren zu dieser Meldung. Um zu kommentieren, müssen Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie noch keinen Account haben, könnten Sie sich hier unverbindlich registrieren.
Quelle: Microsoft
Generell die informations politik hat sich gewandelt es wird sehr spekulativ gehandharbt bis ne größerer Youtuber oder so da drauf aufmerksam macht und in alle munde ist dann will man davon nichts gewust haben. Is klar.
Es nervt ich bin nicht dabei dass ich die dinge vergessen. Auch wenn aktuell noch der Leistungs gedanke für den entscheid mit ne rolle spielt überlege ich mir 5 mal ob ich den oder den hersteller kaufe. Alleine wegen Linux aber auch wegen der Tatsache das mich die Leistung interessiert. Da ich eher weniger zocke ist das gerade ehe irrelevant.
Faulheit oder was ist das?
Ich denke aber auch, Intel wusste von dem Design-Problem, da ab Gen 12 dieses Problem ja nicht mehr existiert - könnte man zumindest so spekulieren. Also eher ein "ich halte den Ball flach und ändere mal das Design in der Zukunft so, dass es nicht mehr auftritt" - schlechte Informationspolitik, aber der Kunde ist sehr vergeßlich.
Ganz nebenbei lösen Microsoft und Intel damit auch das Problem der nicht Umsteigewilligen auf Windows 11, weil deren alte CPU's ja komplett ungeeignet waren.
Die Dauemnschrauben werden von der Industrie immer fester angezogen.
Manchmal kommt einem dann schon der Gedanke wieso man sich sowas noch antut.
Ich denke aber auch, Intel wusste von dem Design-Problem, da ab Gen 12 dieses Problem ja nicht mehr existiert - könnte man zumindest so spekulieren. Also eher ein "ich halte den Ball flach und ändere mal das Design in der Zukunft so, dass es nicht mehr auftritt" - schlechte Informationspolitik, aber der Kunde ist sehr vergeßlich.
Ganz nebenbei lösen Microsoft und Intel damit auch das Problem der nicht Umsteigewilligen auf Windows 11, weil deren alte CPU's ja komplett ungeeignet waren.
Die Dauemnschrauben werden von der Industrie immer fester angezogen.
Manchmal kommt einem dann schon der Gedanke wieso man sich sowas noch antut.