CleanPress

Schlagwort: AMD

  • Zocken und Linux – Stand 2021 – Teil 1

    SailientOS

    Distributionen

    Darüber welche Linux Distribution die ideale Basis für Spieler ist, wird trefflich gestritten. Mittlerweile gibt es einige Distributionen, die sich auf das Thema spezialisiert haben, dennoch sind auch klassische Varianten dabei. Die Steam Hard- und Software Umfrage weist Stand 14.Juni 2021 auch lediglich Klassiker aus. Zurzeit liegt der Anteil der Linux Anwender unter den Nutzern des Steam Clients mit insgesamt 0,86 % wieder einmal mit unter 1 % und damit noch unter dem Anteil der Mac OS Anwender.

    Die Umfrage führt lediglich 4 Distributionen auf:

    • Ubuntu 20.04.2 LTS 64 bit 0.19% 0.00%
    • Arch Linux 64 bit 0.10% 0.00%
    • Manjaro Linux 64 bit 0.10% 0.00%
    • Linux Mint 20.1 64 bit 0.05% 0.00%

    Das klingt erst einmal nach enttäuschend wenigen Nutzern, hält man sich jedoch vor Augen, dass Valve bereits im Jahr 2016 mit 125 Millionen Nutzern einen größeren Marktanteil als Sonys PSN (143 Mio) und XboxLive (90 Mio) 2020 auswies, bedeutet das, dass allein Valve immerhin über eine Million Linux Benutzer registriert.

    Quellen:

    Steam: https://store.steampowered.com/oldnews/21534

    Sony: https://www.sie.com/en/corporate/release/2020/200107.html

    Microsoft: https://twitter.com/tomwarren/status/1255614689553285120

    Einige Betriebssysteme wenden sich direkt an die Gaming Community:

    Garuda Linux

    Die auf Arch basierende Rolling-Release Distribution fokussiert sich laut eigener Webseite auf Performance, was sich aufgrund einiger weiterer Features wie z.B. ein User-Interface zur Verwaltung von Treibern und Kerneln oder einer kuratierten Spielverwaltung an Spieler wendet. Das OS bietet eine sehr breite Auswahl an Desktop-Umgebungen: KDE Plasma, Xfce, GNOME, Cinnamon, LXQt, MATE, Deepin, UKUI, Wayfire, BSPWM, & i3WM stehen zur Verfügung. Der Neon-Look dürfte allerdings sicher nicht jeden ansprechen!

    Salient OS

    Nach über 2 Jahren mit SolusOS bin ich mit dem Wohnzimmer auf SalientOS umgestiegen, nachdem ich bei der Installation von Garuda Gnome Probleme hatte und keine Nerven für weitere Recherche hatte. Salient war zwar in der Installation weniger sperrig (Calamares Installer), hat mir aber erst mal auf Anhieb optisch überhaupt nicht gefallen, mit der gewählten KDE Desktop-Umgebung ist das ja jedoch kein Problem. Daneben gibt es nur noch XFCE als alternative Desktop-Umgebung. Salient basiert wie Garuda auf Arch und wirkt auf mich noch etwas unreif, die Übersetzung auf Deutsch ist noch nicht vollständig. Das Betriebssystem kommt mit vielen Features für Gamer.

    Drauger OS

    Basierend auf Ubuntu 20.04 LTS steht dieses OS dazu, eine Plattform für Gamer bieten zu wollen. Es postioniert sich (wie Steam OS) ganz klar nicht für den sonstigen alltäglichen Gebrauch. Es wird nicht mit Anwendungen für den täglichen Gebrauch wie z.B. Office-Suite, Video-Editoren, Audio-Tools etc. ausgeliefert. Um dieses Ziel zu erreichen, setzt das Betriebssystem auf einen Performance-optmierten Kernel namens xanmod.

    SteamOS

    Valves Spieler-Linux wird unregelmäßig aktualisiert und basiert noch auf Debian 8.x “Jessie” für das es seit 2020 keine Aktualisierungen mehr durch Debian gibt. Steam-Machines gibt es aktuell keine mehr nachdem man die erste Generation guten Gewissens als Flop bezeichnen kann. Der fehlende Erfolg ist wahrscheinlich auch ein Stück weit dem Umstand zu verdanken, dass Valve damit zu früh an den Markt gegangen ist und zu einem Zeitpunkt an dem Proton und die Unterstützung für Windows-Spiele noch nicht verfügbar und damit nicht konkurrenzfähig war. Ich selbst besitze ein Asus Gerät, welches auch als Steam Machine angeboten wurde und meine erste Amtshandlung war Windows durch SteamOS zu ersetzen, allerdings habe ich damals schnell festgestellt, dass ich diesen Computer nicht im Sinne einer Spielkonsole verwenden wollte, sondern unter anderem auch als Streaming Client am Fernseher. Für diesen Zweck schien mir das OS nicht als der ideale Begleiter. Aufgrund der veralteten Basis kann ich dieses OS nur Enthusiasten empfehlen.

    Supergamer

    Die früher auf Vector Linux basierende Distribution setzt zwar mittlerweile auf Ubuntu LTS aber ist mit der Basis 16.04 leider langsam nicht mehr up to date. Ohne den Fokus Gaming nutze ich seit einigen Jahren Elementary OS, dem es ähnlich geht (Version 6 „Odin“ ist mittlerweile kurz vor der Fertigstellung). Da stört mich das nicht aber für eine Empfehlung für Gamer genügt das nur, wenn die Performance nicht erste Priorität hat oder das entsprechende Knowhow da ist, um diese mit eigenen Maßnahmen zu verbessern.

    GamerOS

    Hierbei handelt sich es quasi um die Arch Version von SteamOS, welche auf direkt für das Booten in des Steam Big Picture Mode gedacht ist. Das OS ist um einiges moderner und darauf optimiert möglichst viele Controller zu unterstützen und lässt sich nur als alleiniges OS auf einem Rechner betreiben ist somit weder für ein Dual- noch ein Mulitboot-System geeignet.

    Lakka OS

    Die leichtgewichtige Linux-Distribution, verwandelt laut eigener Aussage einen kleinen Computer in eine vollwertige Retrogaming-Konsole und ist somit auch eine Option für die eigenständige Spielautomaten-Umbau Szene. Dem OS genügt auch verhältnismäßig schwache Hardware wie beispielsweise die eines Raspberry Pi. Wie es mit der Unterstützung älterer Hardware aussieht, kann ich aus eigener Erfahrung nicht bewerten.

    batocera.linux

    Die Distro für Liebhaber von Retro-Spielen, es ist damit möglich Atari, Super Nintendo, SEGA, Dreamcast, einige GameBoy Advance-Spiele zu spielen, allerdings muss man dazu diese Spiele auch besitzen. Das Betriebssystem lässt sich von einem USB-Stick starten. Außerdem kommt es auch mit Kodi Media Center um auch als Streaming-Client dienen zu können.

    Distributionen, die sich nicht speziell an Gamer wenden

    Dass Ubuntu in einer LTS Version bei der Steam Umfrage ganz oben gelistet wird ist wohl der Verbreitung und dem Umstand geschuldet, dass man dafür nicht viele Vorkenntnisse mitbringen muss und dass bei vielen Anwendern das Spielen im Verhältnis zur Stabilität nicht im Vordergrund steht. Gerade bei neuerer Hardware bieten sich aktuellere Distributionen an, so habe ich bezüglich der Spielekompatibilität und Performance beispielsweise gute Erfahrungen mit Solus OS gemacht. Wer dennoch auf Ubuntu setzen möchte, der kann sich ja mal das Ubuntu Game Pack ansehen und / oder einen Custom Kernel einsetzen (wofür dann aber keine LTS Version von Ubuntu als Basis benötigt wird).

    Von Fedora gibt es den Games-Spin mit dem sich die aufgrund ihrer Aktualität durchaus für Spieler geeignete Distribution erweitern lässt.

    Treiber, Mesa

    Wie man der Proton Datenbank entnehmen kann, hängt der Erfolg beim Spielen von Triple A Titeln, welche nur für Windows veröffentlicht wurden von vielen Faktoren ab. Neben der eingesetzten Hardware (welche ja auch bei nativen Linux-Titeln ausschlaggebend für Performance und Qualität ist), wird hier viel mit Kernel-Versionen und Treibern experimentiert. Generell ist eine möglichst aktuelle Version der Mesa 3D Grafikbibliothek hilfreich. Die nachträgliche Installation des proprietären Nvidia Treibers ist etwas tricky, der freie Nouveau Treiber sollte vorher vollständig entfernt werden. Daher bietet es sich schon bei der Installation des Betriebssystems an, gleich auf diesen Treiber zu setzen, mit dem erheblich mehr möglich ist. Bei AMD nennt sich der proprietäre Treiber AMDGPU Pro dieser baut auf den Open-Source AMDGPU-Treiber auf. Bei Nvidia ist der Unterschied zwischen freiem und proprietärem Treiber sehr groß, meiner Erfahrung nach fällt der Unterschied bei AMD nicht so stark aus. Noch vorbildlicher ist hier Intel unterwegs, es gibt keine Closed-Source-Treiber für deren Grafikchips. Da es trotz diverser Ankündigungen noch keine dezidierte Grafiklösungen von Intel zu kaufen gibt, sprechen wir hier aber eher vom unteren Leistungssegment.

    Kernel Distributionen

    Benutzerdefinierte Kernel sind nur für Bastler zu empfehlen, die das letzte Quentchen Leistung aus Ihrer Kiste holen wollen und kein stabiles System benötigen! Neben diesen Kerneln kann man sein System auch mit neueren Mainline-Kerneln optimieren, was vielleicht etwas weniger riskant ist!

    XanMod Kernel

    Diesen Kernel für aktuelle x86_64 Versionen von Ubuntu und Debian gibt es in 5 Varianten, die Echtzeitversion wird für kritische Laufzeitanwendungen wie Linux-Gaming-eSports, Streaming, Live-Produktionen und Enthusiasten mit ultra-niedriger Latenz empfohlen.

    Zen

    Ist ein, wenn nicht der Community Kernel für Arch basierende Distributionen, soweit ich mitbekommen habe, war Zen das erste Projekt dieser Art an dem sich die anderen orientieren.

    Liquorix

    Wenn ich es richtig verstanden habe, ist das quasi Zen für Debian & Ubuntu Systeme.

    Spiele für Windows, Steam Play, Wine, Lutris & Co.

    Steam

    Bereits seit 2010 bietet Valve nun den Steam Client nativ für Linux an. Ich hatte ihn mit Wine schon einige Zeit früher auf Linux betrieben. Die Spiele Angebote im Shop lassen sich auf Linux eingrenzen, die Auswahl „SteamOS + Linux“ ist nicht ganz korrekt, da es sich ja bei dem Debian basierten eigenen OS ebenfalls um eine Linux Distribution handelt.

    Der Steam Client bringt eine bequeme Lösung für die Nutzung von Spielen, die nur für Windows angeboten werden. Diese nennt sich Steam Play, die zugrundeliegende Windows-Kompatibilitätsschicht nennt sich Proton und ist eine Fork von Wine, da beide Projekte voneinander profitieren eigentlich ein schönes Beispiel für die Vorteile von Open-Source-Software.

    Auf der Community-Website, kann man selbst prüfen, welche Erfahrungen andere Anwender mit der Kompatibilität eines bestimmten Titels mit Proton gemacht haben. Die Anwender können dort angeben, welche Erfolge sie mit Proton bei einem Spiel hatten, anhand einer Bewertungsskala von „Borked“ bis „Platinum“ wird dann der Status eines Spiels abgeleitet. Das scheint auch bei Wine abgeschaut worden zu sein, die haben ebenfalls eine solche Datenbank, über die Anwender Rückmeldung geben können, aus denen ein Status abgeleitet wird. Die Proton-Seite verwendet die Steam Login API, will aber keinen Bezug zu Valve haben. Dabei sei auch erwähnt, dass Proton auf GitHub veröffentlicht wird und lediglich die Steam API welche angesprochen wird proprietär ist. Die Ergebnisse sind jedoch zum Teil beachtlich, nicht nur ältere Tripple A Titel wie Fallout 4 lassen sich so ohne Abstriche spielen, auch Cyberpunk 2077 lässt sich so mit Linux genießen. Generell gibt es jedoch häufig Abhängigkeiten wie beispielsweise bei Cyberpunk 2077 die Beschränkung auf AMD Grafikkarten. Fallout 4 habe ich nur auf einem PC mit Nvidia Karte und nur mit optimierten Startoptionen vollständig zum Funktionieren gebracht, so fehlten zuerst Teile des Tons. Hinweise auf funktionierende Kombinationen und Startoptionen erhält man in der oben erwähnten Proton DB.

    Die Startoptionen finden man für in den Einstellung eines Spiels im Steam Client, sofern man Steam Play aktiviert hat.

    Auch der Stand der Adaption des Titels bei Proton ist neben der Unterstützung der verwendeten Hardware durch Kernel und Treiber für den Erfolg relevant.

    Es geht immer noch ein bisschen mehr: Wenn man bezüglich Proton auf aktuellerem Stand als mit der Einstellung „Experimental“ im Steam Client sein möchte, so gibt es noch CProton um die neuesten benutzerspezifischen Versionen zu verwenden!

    Weiter geht es demnächst mit Teil 2.

  • TUXEDO Pulse 14 mit AMD Ryzen 4000H

    Tuxedo Pulse 14
    TUXEDO Pulse 14 | Quelle: Tuxedo

    Der große Bruder TUXEDO Pulse 15 wurde vor rund einem Monat vorgestellt. Jetzt folgt das eine Nummer kleinere Pulse 14. Die beiden Notebooks unterscheiden sich eigentlich nur im Formfaktor, den Maßen und dem Gewicht. Die Maße betragen beim 15-Zoll Gerät 356 × 234 × 17 mm, während der 14-Zoll Rechner in einem Gehäuse mit 320,2 × 214,5 × 16,8 mm steckt. Das Gewicht des größeren Notebooks mit 1,5 kg wurde beim kleineren Bruder auf 1,1 kg gedrückt.

    Klein, aber fein

    Klein sind lediglich die Ausmaße des TUXEDO Pulse 14, im inneren rechnet in der Standardausstattung ein kraftvoller AMD Ryzen 5 4600H, dem ein integrierter Radeon RX Vega 6 G Grafikchip zur Seite steht. Für 70 Euro Aufpreis lässt sich das Leistungsniveau auf Ryzen 7 4800H mit Radeon RX Vega 7 anheben.

    Speicher satt

    Wie beim Pulse 15 kann das Pulse 14 ebenfalls bis zu 64 GByte DDR4 Dual Channel RAM verwalten, das mit 3200 MHz takten kann. Auch die Möglichkeiten der Massenspeicher sind identisch. Es steht ein frei belegbarer M.2 2280 Slot mit NVMe PCIEx4 Anbindung, der bis zu 2 TByte SSD-Speicher aufnimmt. In der Grundausstattung ist eine 250 GByte SSD Samsung 860 EVO im Format M.2 SATA III eingesteckt.

    Bei den Anschlussmöglichkeiten bietet das Pulse 14 für USB 1x USB 3.2 Gen1 Typ-C, 2x USB 3.2 Gen1 Typ-A, 1x USB 2.0 Typ-A. Zudem stehen 1x HDMI 2.0 inkl. HDCP (4k UHD@60Hz / 2k FHD@120Hz), 1x Gigabit LAN/Netzwerk, 1 x 2-in-1 Anschluss für Kopfhörer/Headset, 1x 9-in-1 Kartenleser (Micro-SD) und ein Kensington Lock.

    6 Stunden Laufzeit in der Praxis

    Die Laufzeit wird wie beim Pendant mit einem 46,74 Wh Akku mit 11 Stunden bei minimaler Helligkeit, ohne WLAN & Bluetooth, ohne Tastaturbeleuchtung im Leerlauf angegeben. Das entspricht rund 6 Stunden bei mittlerer Helligkeit, mit WLAN aktiviert, unter Arbeitsbedingungen.

    Ab 15. Oktober lieferbar

    Das Pulse 14 kann im Tuxedo-Shop konfiguriert und vorbestellt werden. In der Grundausstattung kostet das Gerät 824,45 Euro. Das Pulse 14 wird ab dem 15. Oktober ausgeliefert. Früher ist aufgrund von Lieferengpässen bei AMD auch das Pulse 15 nicht zu haben.

  • Coreboot bald für AMD Ryzen 3000 und 4000

    System76
    Logo von Coreboot

    In den letzten Jahren nahm die Zahl der Hersteller und Ausrüster von Linux-Notebooks und weiterer Hardware mit einem Fokus auf Linux zu. Das löste eine Art Kettenreaktion aus, indem Hersteller immer weitere Verbesserungen bei der Freiheit, der Sicherheit und dem Datenschutz entwickelten.

    AMD auf dem Vormarsch

    Dabei sind aus den USA vor allem System 76 und Purism zu nennen, in Europa sind es Tuxedo Computers aus deutschen Landen, Slimbook aus Spanien und Star Labs aus Großbritannien. Lange mussten AMD-Fans auf die ersten Linux-Notebooks mit AMD Ryzen 3000 oder 4000 CPUs warten, doch seit einiger Zeit liefern Tuxedo und nun auch Slimbook gut ausgestattete Notebooks mit AMD-CPU und -Grafik.

    Coreboot für Ryzen CPUs

    Jetzt verkündete Jeremy Soller, Chefentwickler bei System76 auf Twitter, er werde beginnen, Coreboot für AMDs Chipsets Matisse und Renoir umsetzen. Diese Chipsets befeuern die aktuellen AMD-CPUs Ryzen 3000 und 4000, die auch in den aktuellen Linux-Notebooks von Tuxedo und Slimbook Verwendung finden.

    https://twitter.com/jeremy_soller/status/1286457590289858560

    Die genannten Hersteller bieten bereits die meisten ihrer Erzeugnisse auf Intel-Basis mit Coreboot oder weitestgehend deaktivierter Intel-ME an. Coreboot für Ryzen-CPUs stellt, falls es gelingt, einen weiteren Anreiz dar, ein auf Linux ausgelegtes AMD-Notebook zu kaufen.

    Klein und transparent

    Coreboot ist ein Open-Source-Projekt, das seit 1999 darauf abzielt, die proprietäre Firmware, die heutige PCs in BIOS und UEFI einschleppen, zu entfernen und durch eine schlanke Firmware zum Laden des Betriebssystems zu ersetzen. Dadurch wird nicht nur der Bootvorgang beschleunigt, er lässt sich auch viel besser auf Kompromittierung überwachen, wozu Purism etwa die Firmware Heads einsetzt.

    Von System76 selbst gibt es derzeit keine offiziellen Aussagen zu diesem Projekt, sodass es keine Angaben zur geplanten Projektdauer oder den zu erwartenden, darauf basierten Geräten gibt.

  • Tuxedo stellt AMD-Laptop »TUXEDO Book BA15« vor

    TUXEDO Book BA15

    Viele Linux-Freunde haben schon lange darauf gewartet, nun ist es da: das erste Notebook des bayrischen, auf Linux-Notebooks spezialisierten Ausrüsters Tuxedo Computers, das auf AMD-Komponenten aufbaut.

    CPU und GPU von AMD

    Das neue Angebot hört auf den Namen TUXEDO Book BA15. Wie der Name bereits andeutet, handelt es sich um ein 15-Zoll Notebook, das erstmals in der Geschichte von Tuxedo Computers auf eine Intel-CPU verzichtet. Stattdessen sorgt ein AMD Ryzen 5 3500U für die Leistung, während sich eine AMD Radeon Vega 8 GPU um den optischen Auftritt kümmert.

    Sparsamer Ryzen

    Die Ryzen 5 3500U CPU ist mit vier Kernen bei einer maximalen Energieaufnahme von 15 Watt auf effizientes Energiesparen ausgelegt und wird im »TUXEDO Book BA15« von einem großen Akku mit 91,25 Wattstunden unterstützt, der das Notebook im Leerlauf bis zu 25 Stunden am Leben erhalten soll. Bei einem durchschnittlichen Mix aus Büroanwendungen soll es 13 Stunden durchhalten, beim Video-Streaming in Full-HD mit 50 Prozent Display-Helligkeit immerhin noch 10 Stunden.

    Leichtes Gaming

    Die GPU in diesem Business-Notebook erlaubt leichtes Gaming bei reduzierter Qualität. Sie kann neben dem internen zusätzlich auch zwei externe Displays ansteuern. Das matte 15,6-Zoll IPS-Display liefert eine Full-HD-Auflösung von 1920 × 1080 Bildpunkten bei einer Leuchtdichte von 300 cd/m² und einem Kontrast von 1212:1.

    Das Gehäuse besteht aus einer Magnesiumlegierung, die verwindungssteif ist und das Gewicht bei einer Dicke von 16,8 mm auf 1,4 kg drückt. Die Unterseite besteht aus einer Aluminiumplatte. Die Tastatur in voller Größe ist weiß hintergrundbeleuchtet, die Intensität kann eingestellt werden.

    Innere Werte

    Für Festplatten bietet das BA15 zwei Einschübe für schnelle SSDs im platzsparenden M.2-Formfaktor, wovon ein Slot bereits mit einer 250 GByte Samsung 860 EVO als SATA III belegt ist. Als Arbeitsspeicher sind 8 GByte RAM mit einem Takt von 2.666 Mhz verbaut, die bis auf 32 GByte ausgebaut werden können.

    Für WLAN und Bluetooth 4.2 ist ein Intel Dual AC 3168 Chip an Bord. Bei den Anschlüssen stehen ein USB 3.2 Gen1 Typ-C, 2x USB 3.2 Gen1 Typ-A, ein USB 2.0 Typ-A sowie ein HDMI 2.0 inkl. HDCP (max. 4k UHD@60Hz) zur Verfügung. Komplettiert wird das Angebot durch 1x Gigabit LAN, eine 2-in-1 Kopfhörer/Headset-Buchse, einen 9-fach SD-Kartenleser und ein Kensington Lock.

    Software

    Tuxedo liefert als Standard die eigene Distribution »Tuxedo_OS 18.04 LTS« in 64-Bit aus. Hier wird demnächst auf Ubuntu 20.04 LTS als Grundlage umgestellt. Alternativ sind Ubuntu im Original oder openSUSE mit drei verschiedenen Desktops im Angebot. Die Betriebssysteme werden auf Wunsch auch verschlüsselt installiert. Windows gibt es nativ oder als virtuelle Maschine mit oder ohne Lizenz gegen Aufpreis.

    Vorbestellung möglich

    Die Komponenten sind ab 15.6 lagernd, Bestellungen werden bereits angenommen. In der Grundausstattung kostet das »TUXEDO Book BA15« 859 Euro. Ich werde mich um ein Testgerät bemühen, um das erste AMD-Notebook von Tuxedo selbst zu testen.

  • AMD: Sicherheitslücken in Ryzen und Epyc bestätigt

    Quelle: Astaroth: The Processor von Brian Wong Lizenz: CC BY-SA 2.0
      Vor wenigen Tagen machte eine Meldung die Runde, die sehr an Meltdown und Spectre erinnerte. Die bis dahin unbekannte israelische Sicherheitsfirma CTS-Labs Research berichtete über 13 angebliche Lücken in AMDs aktuellen Desktop- und Server-Prozessoren Ryzen und Epyc. Die Aufmachung war reißerisch, inklusive martialischer Namen für die vermeintlichen Lücken. Zudem war die Art und Weise des Disclosure, also der Veröffentlichung äußerst ungewöhnlich, da AMD nur 24 Stunden Zeit hatte, die Richtigkeit der Berichte zu überprüfen, bevor sie veröffentlicht wurden. Geläufig sind hier mindestens 90 Tage.

    Dubioses Disclosure

    Die Sicherheits-Szene fand diese Herangehensweise äußerst verdächtig und hielt das Ganze für eine Promotion-Aktion oder den Versuch, AMDs Aktienkurs in einer konzertierten Aktion zu manipulieren. Allerdings bestätigten am nächsten Tag drei Forscher bekannter Sicherheitslabore die Funde. Jetzt hat auch AMD offiziell reagiert. AMDs CTO und Senior Vice President Mark Papermaster hat die Existenz aller 13 von CTS-Labs in den Prozessoren Ryzen und Epyc sowie in den von AMD verwendeten Promontory-Chipsätzen bestätigt.

    »Any attacker gaining unauthorized administrative access would have a wide range of attacks at their disposal well beyond the exploits identified in this research.« – Mark Papermaster

    Keine Leistungseinbußen

    Die Schwachstellen betreffen die Firmware, die den AMD Secure Processor verwaltet, und die Chips, die in einigen Sockel AM4 und Sockel TR4 Desktop-Plattformen mit AMD-CPUs verwendet werden. Papermaster sagte, jede der Lücken werde in den nächsten Wochen durch neue Microcode-Versionen geschlossen, ohne dass dadurch Leistungseinbußen wie bei Meltdown und Spectre zu befürchten seien. Er stellte zudem klar, dass die Fehler nicht im Silizium der Prozessoren stecken, sondern in der Software, die darauf implementiert ist. Somit können die Lücken vollständig über den Microcode geschlossen werden.

    Schwer auszunutzen

    Papermaster betonte, dass alle gefundenen Lücken zu ihrer Ausbeutung voraussetzen, dass der Angreifer über administrative Rechte verfügt. Hat ein Angreifer diese, gehört der betroffene Rechner sowieso nicht mehr dem eigentlichen Eigner. Von daher sind die Funde von CTS-Lab zwar korrekt, aber wesentlich weniger spektakulär als die Aufmachung der Veröffentlichung vermuten ließ.    

  • Angebliche Sicherheitslücken in aktuellen AMD-CPUs entdeckt

    Sicherheitslücken in aktuellen AMD-CPUs
    Quelle: Astaroth: The Processor von Brian Wong Lizenz: CC BY-SA 2.0

     

    War AMD bei Meltdown und Spectre noch relativ glimpflich davongekommen, so könnte die Glückssträhne unter Umständen nun zu Ende zu sein. Das israelische IT-Sicherheitsunternehmen CTS-Labs hat nach eigenen Angaben 13 Sicherheitslücken in AMDs aktuellen Prozessoren Ryzen und EPYC entdeckt, die die Bereiche Desktop und Server abdecken. Diese wurden in vier Klassen mit den Namen Ryzenfall, Masterkey, Fallout und Chimera eingeteilt. Die Lücken befinden sich angeblich, wie auch Meltdown und Spectre, in Bereichen der CPUs, die sicherheitsrelevante Daten des Anwenders vorübergehend speichern.

    Unübliches Vorgehen

    Die seit einem Jahr bestehende Firma CTS-Labs hält anscheinend nicht viel von der Gepflogenheit, einem Unternehmen die üblichen 90 Tage zur Untersuchung zu gewähren, bevor Sicherheitslücken öffentlich gemacht werden. Das Labor veröffentlichte seine Erkenntnisse bereits 24 Stunden nach Bekanntgabe an AMD. Daher liegt derzeit von AMD auch nur eine allgemeine Stellungnahme vor, man überprüfe derzeit die Angaben von CTS-Labs. Mittlerweile sind laut Heise.de Zweifel an der Seriosität der Firma CTS-Labs angebracht. Weder liegt ein Proof of concept für die Lücken vor, noch wurden sie als Common Vulnerabilities and Exposures (CVE)  gemeldet.

    Unterschiedliche Angriffsvektoren

    Die beschriebenen Sicherheitslücken setzen an verschiedenen Punkten der Prozessoren an. Die drei Lücken, die unter der Bezeichnung Masterkey laufen sowie die Lücke Ryzenfall-4 finden sich angeblich im Platform Security Processor (PSP) der Prozessoren. Dieser auch als »AMD Secure Processor« bekannte Bereich, der mit Intels Management Engine vergleichbar ist,  befindet sich in allen AMD-Prozessoren seit 2014. Er ist in einem ARM Cortex-A5-Kern integriert. Um diese Lücken auszunutzen ist physischer Zugriff auf das Gerät oder die Kombination mit anderen Attacken notwendig.

    Einfallstor Microsoft Device Guard

    Ryzenfall und Fallout umfassen mehrere Lücken, die einerseits den Microsoft Device Guard von Windows 10 sowie per Code-Injection den Sytem Management Mode (SMM) der x86-Architektur umgehen. Ryzenfall kann mit Admin-Rechten sowohl Code im PSP ausführen als auch auf dem PSP vorbehaltene Speicherbereiche zugreifen. Chimera dagegen sitzt laut CTS-Labs im Chipsatz und der Firmware von USB-Controllern, die nur auf  Ryzen und Ryzen Pro verbaut sind. Hier gelang es den Forschern, Code im Chipsatz auszuführen.

    Zweifel erlaubt

    Was an den Lücken dran ist, werden die nächsten Tage zeigen. Sollte der Fund echt sein, könnten Angreifer Kontrolle über Ryzen und EPYC Prozessoren und Chipsets erhalten und mit Malware infizieren. Zudem können Passwörter und andere sicherheitskritische Daten gestohlen und alle Sicherheitsmechanismen der CPUs umgangen werden.

    Verdächtig ist in jedem Fall die auf 24 Stunden verkürzte Vorlaufzeit. Mittlerweile wurden Vermutungen laut, es handle sich um einen Versuch der Kursmanipulation. Anlass dazu gibt ein Nachruf auf AMD auf der Webseite von Viceroy Research. Erst gestern warnte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor dem Unternehmen, dessen Webseite kein Impressum aufweist. Auch Linus Torvalds hat auf G+ mittlerweile heftige Zweifel an der Echtheit der Lücken geäussert.

     

  • AMD veröffentlicht Patches gegen Spectre

    AMD gegen Spectre
    Bild: „P1010310“ von Erman Syah Lizenz: CC-By-SA-2.0

     

    Nachdem Intel bereits letzte Woche Patches gegen die Sicherheitslücke Spectre veröffentlicht hat, zog AMD noch vor dem Wochenende nach. Der Anbieter, der sich zunächst ziemlich sicher vor den gefährlichen Lücken wähnte, ist nun nach eigener Einlassung doch betroffen. Vermutlich sind die AMD-Prozessoren zwar immun gegen die Auswirkungen von Variante 3 (Rogue Data Cache Load), auch als Meltdown bekannt, jedoch anfällig für die beiden Spectre-Typen Variante 1 (Bounds Check Bypass) und Variante 2 (Branch Target Injection).

    AMD gegen Spectre

    Mark Papermaster, Senior Vice President und Chief Technology Officer bei AMD erläutert die Details der Maßnahmen. Demnach arbeitet AMD eng mit Microsoft und der Linux Community zusammen um die Patches möglichst schnell und schonend an die Nutzer auszuliefern. Zudem arbeitet AMD mit den Kernel-Entwicklern bei der Umsetzung von Googles Retpoline-Patches, deren erster Teil bereits nächste Woche mit Kernel 4.15 erscheinen soll.

    Angepasster GCC

    Damit Retpoline auch etwas ausrichten kann braucht es aber auch eine angepasste GNU Compiler Collection (GCC). Hier wurden am Sonntag entsprechende Anpassungen gegen Spectre (CVE-2017-5715)  für den noch in der Entwicklung befindlichen GCC 8 auf Git hochgeladen. Für den derzeit von vielen aktuellen Distributionen genutzten GCC 7 werden die Änderungen zurückportiert. Distributionen, die ältere Compiler-Versionen nutzen müssen vermutlich selbst tätig werden.

    Neuer Microcode

    AMD will im Wochenverlauf ein weiteres neues Microcode-Update speziell für Ryzen- und EPYC-Prozessoren herausgeben. In den kommenden Wochen soll neuer Microcode für ältere Generationen von AMD-Chips erscheinen. Papermaster betont, AMD-Radeon-GPUs seien nicht betroffen, da sie keine spekulative Ausführung nutzen.

    Sowohl die bisherigen Patches von Intel als auch von AMD liefen nicht auf allen Plattformen gleich gut. Besonders bei Intel sind viele Rechner nach Einspielen der Patches mit Haswell- und Broadwell-Prozessoren von spontanen Reboots betroffen.

  • Prozessor-Bug: Schadensbegrenzung beim Super-Gau

    Prozessor-Bug
    Bild: „CPU“ von Jaroslaw W Lizenz: CC-By-2.0

     

    Am dritten Tag nach der Veröffentlichung des mit Fug und Recht als Super-GAU bezeichneten Bugs in den meisten seit 1995 produzierten Prozessoren wird das gesamte Ausmaß des katastrophalen Fehlers klar: es handelt sich um einen in Silizium gegossenen Design-Fehler, der Milliarden von Geräten betrifft, von denen viele niemals einen Fix sehen werden. Dazu zählen vor allem viele Android-Smartphones. Über den Umfang der Auswirkungen auf AMD-Prozessoren besteht weiterhin Unklarheit. AMD selbst hatte die Chance, die Lücken beträfen auch AMD-CPUs als nahe Null bezeichnet.

    Entwarnung für Heimanwender

    Etwas Entwarnung gibt es dagegen bei den zu erwartenden Performance-Einbrüchen für durchschnittliche Heimanwender. Wer an seinem Rechner hauptsächliche surft, spielt und Office-Aufgaben erledigt, wird kaum einen Verlust an Geschwindigkeit verspüren, die Werte sollten im niedrigen einstelligen Bereich liegen. Anders kann das im Büro aussehen, wenn etwa große Datenbanken betrieben werden. Hier kann die Höchststrafe unter Umständen bei bis zu 30 Prozent liegen. Das liegt hauptsächlich daran, dass die Fixes für die Lücken die I/O-Last nach oben treiben.

    Intel in bekannter Manier

    Viele Hersteller haben sich zu Wort gemeldet, Intel gleich zwei Mal. Die Nachricht aus dem Intel Newsroom ist ähnlich vage und nichtssagend wie die vom Vortag. Dort heißt es:

    »Intel hat Updates für alle Arten von Intel-basierten Computersystemen – einschließlich PCs und Servern – entwickelt und veröffentlicht, die diese Systeme gegen beide von Google Project Zero gemeldeten Exploits (als „Spectre“ und „Meltdown“ bezeichnet) immun machen. Intel und seine Partner haben bedeutende Fortschritte bei der Bereitstellung von Updates erzielt, sowohl bei Software-Patches als auch bei Firmware-Updates.«

    In weiteren Verlauf der Verlautbarung stellt sich Intel an die Speerspitze derer, die Lösungen für das Problem anbieten, ohne dabei konkret zu sagen, was Intel den Betroffenen anbietet. Am Ende gibt es einen Link, der zumindest weitere technische Einzelheiten enthält, aber nichts an den Tag bringt, was nicht bereits bekannt war und von anderer Seite mit wesentlich mehr Details veröffentlicht wurde. Zudem behauptet Intel dort weiterhin, es handle sich nicht um einen Fehler in Intels Hardware. Die Begründung lautet, es seien auch andere Hersteller betroffen. Diese Logik wirkt zumindest befremdlich.

    Betroffene Intel-CPUs aufgelistet

    Die zweite Veröffentlichung von Intel stammt aus dem hauseigenen Security Center und erweist sich als nützlicher, denn sie nennt im Detail die betroffenen Plattformen und Prozessoren aus eigener Produktion. Zudem bedankt sich Intel bei den Forschern von Google und der Universität Graz, die die Lücke in etwa zeitgleich entdeckt hatten.

    ARM reagiert vorbildlich

    ARM hat ausführlich und übersichtlich Stellung zu den betroffenen Prozessoren und dem, was ein Anwender zur Absicherung tun sollte Stellung bezogen. Dabei wird pro betroffenem Prozessor dargestellt, welche der drei Varianten auf den jeweiligen Cortex-Kern zutrifft. Leider wird das vielen betroffenen Smartphone- und Tablet-Besitzern nicht viel nützen, da es vom Hersteller des Geräts abhängt, wann ein Update angeboten wird. Für viele Geräte wird das heißen: niemals. Googles eigene Baureihen Nexus und Pixel haben bereits ein Update für Januar erhalten oder es ist in der Auslieferung und wird zeitnah aufgespielt.

    Google stellt Retpoline vor

    Google hat ebenfalls am gestrigen Tag weitere Details veröffentlicht. Darin geht es hauptsächlich um die von Google erstellten Gegenmaßnahmen und die zu erwartenden Leistungseinbußen. Dabei stellt Google eine neue Technik zur Entschärfung namens Retpoline vor, die gegen Spectre, auch als »Branch Target Injection« bezeichnet, eingesetzt werden kann und wenig Leistungseinbußen nach sich ziehen soll. Retropline ist ein zusammengesetzter Begriff aus den Worten »return trampoline«. Die Technik verwendet eine Endlosschleife, die nie ausgeführt wird, um die CPU daran zu hindern, auf das Ziel eines indirekten Sprunges zu spekulieren. Entwickler Paul Turner hat die Technik gestern auch den Kernel-Entwicklern vorgestellt.

    Distributionen verteilen KPTI-Patches

    Die großen Linux-Distributionen haben Kernel veröffentlicht, die die KPTI-Patches gegen die Lücken verteilen. Microsoft hat wegen der Brisanz der Lücken die Auslieferung weiterer Patches für Windows 10 vorgezogen, die ab dem 03. Januar 2018 ab 22 Uhr verteilt werden sollen. Patches für ältere Versionen wie Windows 7 und  8 sollen zum nächsten Microsoft Patchday folgen. Bei den jetzt für Windows 10 angebotenen Updates gab es vereinzelt Kompatibilitätsprobleme mit Anti-Viren-Software. Microsoft rät dringend dazu, das Update nicht manuell zu forcieren, sondern erst einzuspielen wenn es über die Update-Funktion angeboten wird.

    Firefox vorerst abgesichert

    Mozilla hat als Reaktion auf die Lücke Firefox 57.0.4 veröffentlicht. Als vorübergehende Maßnahme, bis die genaue Funktionalität der Lücken bekannt sei, hat Mozilla die Genauigkeit der Zeitintervalle über die Funktion performance.now() von 5μs auf 20μs heraufgesetzt, um Javascript-Angriffe zu erschweren, die auf die Messung präziser Zeitintervalle angewiesen sind. Zudem wurde der SharedArrayBuffer-Standard deaktiviert, um die Verwendung höher auflösender Timer zu verhindern. Auch Google, Apple und Microsoft haben ihre Browser entsprechend gepatched. Diese sind allerdinmgs im Gegensatz zu Firefox noch nicht veröffentlicht. Micosoft wird Edge am 9. Januar aktualisieren, Google Chrome 64 erscheint am 23. Januar.

    Mitlesen von der Tastatur

    Auf LWN gibt es einen  Überblick über weitere interessante Links zum Thema. Auch ein Interview der Berliner Zeitung  »Der Tagesspiegel« mit einem der Entdecker der Lücken von der Universität Graz lohnt das Lesen. Michael Schwarz erläutert darin, man könnte theoretisch alles mitlesen, was gerade auf der Tastatur eingegeben wird. Die Lücken können allerdings nur ausgenutzt werden, wenn bereits Zugriff auf den Rechner besteht.

    Das trifft allerdings nur für Meltdown zu, Spectre kann bereits über den Browser ausgenutzt werden. Allerdings ist es mit Spectre wesentlich schwerer, Daten auszulesen. Hierbei müssen sehr präzise Timings eingehalten werden, zudem muss der Angreifer wissen, welche Prozesse gerade laufen und welche Daten sich im Speicher befinden. Schwarz bestätigt, dass Meltdown bisher nur auf Intel-Prozessoren reproduziert wurde. Spectre schließt auch alle Smartphones mit ARM-Prozessoren ein.

    Linus Torvalds not amused

    Die Kernel-Entwickler bei Linux sind alles andere als erfreut über die Art und Weise, wie die Informationspolitik im Hinblick auf die Lücken gehandhabt wurden, die Intel seit Juni 2017 bekannt waren. Linus Torvalds äußert sich für seine Verhältnisse sehr zurückhaltend zu Intels PR:

    »Ich denke, dass jemand innerhalb von Intel wirklich einen langen harten Blick auf ihre CPUs werfen muss, und tatsächlich zugeben muss, dass sie Probleme haben, anstatt PR-Blurbs zu schreiben, die besagen, dass alles so funktioniert, wie es entworfen wurde….

    …Oder sagt Intel im Grunde genommen, dass sie darauf abonniert sind, uns für immer und ewig Scheiße zu verkaufen und nie etwas zu reparieren? Denn wenn das der Fall ist, sollten wir vielleicht anfangen, uns mehr auf die ARM64-Leute zu konzentrieren.«

    Zu spät informiert

    Andere Entwickler monieren, dass die Betriebssystemhersteller viel zu spät über die Vorgänge informiert worden seien und nun zum Schutz ihrer Anwender unter Zeitdruck Gegenmaßnahmen entwerfen mussten. Nach Aussagen von Mounir Hahad, Chef der Sicherheitsanalyse bei Juniper Networks, konnte bisher in freier Wildbahn kein Fall entdeckt werden, der die Lücken ausnutzt. Da diese Lücken aber schon seit rund 20 Jahren bestehen, kann niemand mit Bestimmtheit sagen, ob sie nicht in der Vergangenheit bereits von Geheimdiensten oder Kriminellen ausgenutzt wurden.

    Eines ist jedoch bereits jetzt klar: Die Auswirkungen dieses Design-Fehlers werden uns noch lange begleiten und beschäftigen. Ganz besonders im Fall von Spectre, da hier jede Anwendung einzeln gegen die Lücke abgeichert werden muss. die Kernel-Patches reichen hier nicht aus.