Maximaler Schutz "kostet" 40% Leistung
Zombieload-Schwachstelle: Mac-Besitzer sollten aktuelle OS-Versionen installieren
Nachdem Sicherheitsforscher Berichte über eine neue Schwachstelle bei Intel-Prozessoren veröffentlicht haben, von der potenziell auch Macs betroffen sind, hat Apple diesbezüglich spezifische Sicherheitshinweise bereitgestellt. Wer maximalen Schutz will, muss allerdings mit enormen Leistungseinbußen rechnen.
Die neue Schwachstelle trägt die Bezeichnung Zombieload und soll nahezu alle seit 2011 hergestellten Intel-Prozessoren betreffen. Ähnlich wie im vergangenen Jahr schon bei Meltdown und Spectre soll die Sicherheitslücke den Diebstahl von hochsensiblen Informationen aus einem Kurzzeitspeicher des Prozessors ermöglichen.
Erste Updates für macOS stehen bereit
Apple hat mit dem gestern veröffentlichten Updates auf macOS Mojave 10.14.5 bzw. den Security Updates 2019-003 für High Sierra und Sierra bereits erste Maßnahmen bezüglich Zombieload ergriffen. Allerdings greifen diese bei einer Reihe von älteren Macs aus denen Jahren 2009 und 2010 nicht, da Intel hier noch zusätzliche Unterstützung liefern muss. Es ist davon auszugehen, dass weitere Software-Updates folgen.
Für zusätzliche Sicherheit empfiehlt Apple, Anwendungen ausschließlich aus dem Mac App Store zu laden, um mögliche Einfallstore für Schadsoftware zu verschließen. Es sei allerdings derzeit keine akute Bedrohung für Mac-Nutzer auf Basis von Zombieload bekannt. Dennoch könnten Anwender, die mit sehr sensiblen Daten arbeiten oder sich besonderen Bedrohungen ausgesetzt sehen, zusätzliche Sicherheitsmaßnahmen ergreifen.
Maximaler Schutz kostet massiv Leistung
Apples Anleitung mit dem Titel „So aktivieren Sie die vollständige Schadensbegrenzung für MDS-Schwachstellen“ ist derzeit noch nicht in deutscher Übersetzung verfügbar, diese wird hoffentlich kurzfristig nachgeliefert. Die angeregten Maßnahmen erfordern den Einsatz von Terminal-Befehlen und haben aufgrund der Tatsache, dass das sogenannte „Hyper-Threading“ der Prozessoren deaktiviert wird, drastische Auswirkungen auf die Systemleistung.
Apple spricht von Leistungseinbußen bis zu 40 Prozent. Somit wird man sich die Aktivierung der maximalen Schutzfunktion in der Tat zweimal überlegen. Beruhigend ist zumindest, dass bislang keine aktiven Angriffe auf Basis dieser Schwachstelle bekannt sind. Für das Gros der Nutzer sollte somit die Installation der aktuell verfügbaren macOS-Versionen fürs Erste genügen.
Für Intel muss das doch der Super GAU sein. Aber auch die ersten beiden Schwachstellen sind irgendwie an denen abgeperlt.
Was sollen die deiner Meinung nach im Nachhinein tun ?
Jetzt weiß ich endlich was VW damals hätte sagen sollen: „ja und? Was sollen wir jetzt tun?“
@Thieri
Was soll uns der Vergleich sagen? Meinst Du Intel hat den Bug absichtlich eingebaut?
@User: Nein. Verschwörungstheoretiker würden jetzt vermutlich mit der NSA und Kooperationen kommen, aber das meinte ich nicht.
Es ging um Gegenmaßnahmen und da soll das Beispiel lediglich zeigen, dass man von solchen Konzernen durchaus erwarten kann, dass die ihren Mist wieder korrigieren. Bzgl. Schwachstellen in Hard- und Software finde ich demnach schon, dass man den Hersteller in Verantwortung nehmen sollte. Die Variante „Ups. Ist uns wohl ein Fehler durchgerutscht – na dann habt ihr jetzt halt 40% weniger Perormance für das gleiche Geld.“ Geht ja wohl gar nicht…
Es geht weniger darum, im Nachhinein was zu tun. Aber es würde in allen anderen Branchen doch sehr deutlich zum Vertrauensverlust führen.
Das währe wie wenn der 550 PS Lambo nach einem Update nur noch 330 PS hätte, wer würde sich sowas gefallen lassen?
wäre*
Das haben doch eh irgendwelche Techniker in Eigenregie entwickelt und eingebaut. Die wussten nichts davon.
Die Chefs …..
Das Update kam vorgestern raus (Montag). Stimmt so im Artikel nicht.
OMG!!!
Man kann es auch übertreiben. Ob gestern oder vorgestern ist doch egal, wichtig ist das es schon einen fix im aktuellen Update gibt ;)
Wenn es eine „News-Seite“ schreibt ist es ein peinlicher Fehler.
Kommt drauf an, ob man den Anspruch hat als schnellster zu informieren oder am umfassendsten. Ich bevorzuge eher letzteres. Damit bin ich hier gut aufgehoben.
@helm ging das
Ist doch eh wieder Apple schuld.
Ach du scheisse….ohne Hyperthreading siehts in der Film und Grafikwelt dann aber durchaus duster aus.
Wollen wer mal hoffen dass es nicht nötig ist das wirklich abzustellen.
Warum? So ein 8600k z.B. hat doch ordentlich Leistung auch ohne Hyper-Threading.
Bei den ganzen Problemen die Intel damit hat macht es doch Sinn eine CPU zu kaufen die kein Hyper-Threading hat. Oder sehe ich das falsch?
Die Abschaltung ist nur nötig bei Personengruppen, die besonders vorbereitete Hackerangriffe befürchten müssen.
Wenn ich das richtig verstehe, ist ZombieLoad nur eine von insgesamt vier Attacken, die von verschiedenen Teams gefunden und jetzt gemeinsam adressiert werden. Der richtige Oberbegriff ist demnach MDS (Microarchitectural Data Sampling), wie es ja auch in den Apple-Artikeln genannt wird.
Die vier Attacken, die MDS ausnutzen, heißen ZombieLoad, RIDL, Fallout und die vierte hat keinen „catchy name“, sondern wird als Store-to-leak Forwarding bezeichnet. Die Webseite https://cpu.fail hat Infos bzw. Links zu den Details.
Puh… zum Glück ist meine Intel CPU in meinem MBP von 2010. ;)
Wann kommen Prozessoren die diese Fehler nicht mehr haben?
Wenn Apple seine eigenen Chips einbaut!
Nie- das sind doch in Wirklichkeit die „Hintertürchen“ der Geheimdienste ;-))
Oh, ht man Windows über Boot Camp drauf, kann man Hyperthreading nicht deaktivieren: „Note: The full mitigation is not enabled while using Boot Camp to run Windows on a Mac. „
Ähm, kurze Frage: alle CPUs seit 2011? Warum sollen dann Geräte von 2009 und 2010 betroffen sein? Wie konnte Apple da CPUs aus 2011 verbauen?
Der fix greift nur für die CPUs ab 2011. Die alten sind auch betroffen aber nicht bzw. noch nicht per Softwareupdate gefixt
Performance geringer wegen Beseitigung der Sicherheitslücke?
Ist eigentlich logisch.
Wie schafft dies aber der Linux-Kernel?
(Link folgt in der nächsten Antwort, der sichtbar, wenn die Betreiber die automatische Blockade aufgehoben haben)
Der Link zum Artikel über den Linux-Kernel: https://www.heise.de/newsticker/meldung/Neue-Linux-Kernel-schuetzen-vor-ZombieLoad-aka-MDS-4422245.html
Oh, es ist wohl spät und hatte aus Müdigkeit den Artikel nur überflogen.
Man kann einzelne Schutzmaßnahmen gegen Prozessorlücken ausschalten, falls die Performance wichtiger ist.
So ein möglicher Schalter in macOS wäre aber nett.
Und mit dem Schalter „hin und her“ schalten zerschießt noch ahnungslosen ihre Prozessoren da die sowieso IMMER irgend nen Quatsch nebenbei machen wie z.B. einfach den Strom wegnehmen.
Beide Posts erscheinen bei mir noch nicht. Hoffentlich ist die Aufklärung lesbar, dass ich wegen nächtlichem schnellen Überfliegen des Artikels ich überlas, das wegen der Beseitigung der Sicherheitslücken wie erwartet auch der Linux-Kernel auf Intel CPUs langsamer wird, aber man einzelne Schutzmaßnahmen abschalten kann, falls die Performancs wichtiger ist.
Es sollte in Zukunft am Gehäuse einen Turbo-Schalter wie früher geben. ;)
Angesichts der viele Probleme scheint mir die etwaige Umstellung auf ARM das geringere Übel. Leider kommuniziert Apple diesbezüglich wenig, sodass die Planbarkeit leidet.
Ja klar wird Apple extra für dich die zukünftigen Produkte offen legen. Ohne zu befürchten das du die Konzepte gewinnbringend der Konkurrenz verkaufst.
Hä? Ich nutze Macs produktiv und da wüsste ich schon gerne, wohin die Reise geht. Allein schon aus finanziellen Gründen. Nichts für ungut, aber Du bist ein seltsamer Zeitgenosse.
Du kannst das Handy vom Papst nutzen. Trotzdem wirst du nie von Apple erfahren wo die Reise hingeht. So etwas zu fordern ist ja schon relativ lächerlich.
helm, sieh doch mal nach, ob ein paar schicke iPhone-Hüllen für Dich dabei sind.
Einen schönen Tag noch!
Hätte Intel jetzt neue Prozessoren am Start ohne diese Lücken würde ich sagen ein geschickt veröffentlichtes Update Argument ;-)
Haben Sie aber nicht und auch die kommenden CPU haben die Fehler weiter Dirn. In 3 bis 5 jähren kommt vielleicht eine neue Architektur. Daumen drücken und bis dahin heißt es eben: Single-Core.
Wenn Apple von Leistungseinbußen von bis zu 40 Prozent spricht wenn jemand die maximalen Schutzfunktion aktiviert entspricht das nicht mehr der Leistung für die man ursprünglich bezahlt hat. Da hätte so mancher Kunde auch gleich seinen 10 Jahre alten Mac behalten können und keinen überteuerten neuen kaufen brauchen.
Intel und Apple sollten sich eher gemeinsam überlegen wer die Sammelklagen zuerst abbgekommt.
Die Macken waren schon drin als die CPUs verkauft wurden und es soll ja keiner so tun als hätten sie erst gestern von ihrem eigenen Fehler erfahren. Das sind ja Sprüche wie bei Handwerkern wenn die halbe Wand beim arbeiten umgefallen ist. „Nein, das war schon so“ oder „Nee, wir waren das nicht“
Um den betroffenen gleich noch richtig eine einzuschenken wird großzügig dazu geraten Software nur noch im App Store zu kaufen. Den die läuft ja vollkommen sicher auf den faulen CPUs, die verkauft wurden.
Diese unverfrorene dreistigkeit ist nicht mehr zu überbieten.
Aber immerhin Geschäftstüchtig, das einzige was noch zählt.
Hier gibt es viel größere Defizite als so eine Lücke in einer Scheiß Intel CPU die u.U nicht mal zum tragen kommt. Jedenfalls wird das ganz bestimmt den Absatz der nächsten CPU Generation – die ja dann ganz bestimmt Fehlerfrei ist – um das fünfache steigern.
Es gab bereits vor dem Umstieg von Motorola auf Intel Leute die genau so was vorausgesagt haben.
Apple selbst war vor dieser Zeit nicht Intel-freundlich.
Nutzt aber alles nichts, die gewachsene Lernresistenz steht über allem.