2

Hardware- und Nachrichten-Links des 2. Juli 2021

VideoCardz berichten über den chinesischen Video-Test seitens Bilibili zu einer "Colorful GeForce RTX 3090 Kudan" – jenes Sondermodells von Colorful für den stolzen Listenpreis von 4999 Dollar. Etwas wirklich herausragendes geboten bekommt man dafür vom Performance-Standpunkt her allerdings nicht, denn gemäß den vorliegenden 3DMark-Benchmarks kann sich die Karte nur minimal von einer (nahezu baugleichen) "Colorful GeForce RTX 3090 Vulcan OC" absetzen. Die Vergleichs-Benchmarks zu einer GeForce RTX 3090 "Founders Edition" stammen hingegen von einer anderen Quelle (Sweclockers), dürften aber über die Verwendung der reinen GPU-Werte auch nicht gerade deutlich daneben liegen – so dass es genauso danach aussieht, als könnte sich dieses Sondermodell nicht einmal beachtbar vom Referenzdesign absetzen.

Boost & TDP FS Ultra (GPU) TS Extr. (GPU) Port Royal (GPU) Index
Colorful GeForce RTX 3090 Kudan 1860 MHz & 420W 13049 10631 13794 103,4%
Colorful GeForce RTX 3090 Vulcan OC 1785 MHz & 390W 13014 10738 13655 103,3%
nVidia GeForce RTX 3090 FE 1700 MHz & 350W 12603 10320 13295 100%
Werte-Quellen: Colorful-Karten von Bilibili, nVidia FE entnommen von SweClockers

Denkbar ist natürlich, dass der Tester hierbei einen Fehler gemacht hat, denn eigentlich kann man von solch hochgezüchteter Hardware wenigstens eine gewisse Performance-Differenz erwarten. Generell sollte die GeForce RTX 3090 eigentlich gewisse Reserven aufzeigen, gerade unter dem Einsatz von Wasserkühlung sowie höherem Power-Limit. Andererseits gab es in der Vergangenheit bereits ähnliche Berichte, wonach sich die GeForce RTX 3090 nicht ganz so einfach zu substantieller Mehrperformance überreden läßt: Ein früherer chinesischer Test mit 1000-Watt-BIOS brachte nur eine Mehrperformance von 2-3% (auf einer schon stark werksübertakteten Karte) hervor, während man im Test von Igor's Lab erst unter der Dreifaltigkeit von Eisblock-Kühler, Shunt-Mod und maximalem Overclocking einer GeForce RTX 3090 "Founders Edition" einen knapp zweistelligen Performancegewinn (gegenüber dem Stock-Wert) entlocken konnte.

Laut Nikkei Asia werden zu den ersten Kunden von TSMCs 3nm-Fertigung sowohl Apple als auch Intel gehören. Apple ist diesbezüglich obligatorisch, jene sind schon traditionell die ersten Abnehmer von Chips nach einem neuen Fertigungsverfahren von TSMC. Hier dürfte sicherlich auch mit hineinspielen, dass sich Apple einen gewissen Mehrpreis für diese Erstabnehmer-Position bei TSMC leisten kann, da Apple mit seinen eigenen Produkte hervorragende Margen einfährt. Möglicherweise ist Intels Ansatz ganz ähnlich – finanziell kann man sich das leisten, selbst wenn es nur zur Absicherung für eine Situation dienen sollte, wo die Intel-eigene Fertigung ihre Zielsetzungen nicht erfüllt. Selbst wenn Intel diese Fertigungskontingente bei TSMC letztlich gar nicht brauchen sollte, dürften sich hierfür Abnehmer finden lassen – TSMC ist nun einmal regelmäßig bei seinen Spitzen-Nodes auf Jahre hinweg ausgebucht, andere Interessenten dürften Schlange stehen.

Inwiefern Intel hiermit tatsächlich eigene Consumer-Prozessoren plant, sollte allerdings eher vorsichtig betrachtet werden. Nikkei Asia sind sich in dieser Frage zu sehr sicher, erwähnen sogar Intel-Prozessoren aus der 5nm-Fertigung von TSMC. All dies ist nicht unmöglich, aber man muß hierbei immer mit bedenken, dass Intel auch noch eigene Werke auszulasten hat und der eigene CPU-Bedarf niemals komplett von TSMC zu schultern wäre. Eine ganze Prozessoren-Serie (für Consumer) wird man damit kaum exklusiv bei TSMC herstellen lassen, zumeist dürfte man TSMC für unwichtige Chips (Mainboard-Chipsätze, Neben-Projekte), auskoppelbare Lösungen (Grafikchips, eventuell Server-Chips) und wenn dann zur Zweitfertigung benutzen. Zweitfertigung bedeutet aber auch, dass hierbei wirtschaftliche Fragen im Vordergrund stehen, man bei der Performance hingegen eher eine möglichst große Vergleichbarkeit zwischen Intel- und TSMC-Fertigung anstrebt. Die Ableitung, Intel könnte sich im Prozessoren-Wettbewerb mittels der 3nm-Fertigung von TSMC einen Vorteil gegenüber AMD sichern, steht somit auf sehr unsicheren Füßen.

Eine mögliche Erklärung für die hohen Systemanforderungen von Windows 11 und das (erstmalige) Bestehen auf die genannten CPU-Anforderungen liegt möglicherweise in der per-default-Aktivierung von Hypervisor-protected Code Integrity (HVCI) unter Windows 11. Jenes Feature basiert seinerseits auf "Mode Based Execution Control" (MBEC) und wurde von Microsoft unter ausschließlicher Nutzung eines TPMs umgesetzt. Grob dreht es sich hierbei um einen besseren Schutz des Windows-Kernels sowie der dafür verwendeten Speicherbereiche mittels einer Virtualisierung – für deren Schutz HVCI dann elementar ist. Das Grundfeature MBEC steht allerdings CPU-seitig erst ab AMDs Zen 2 sowie Intels Kaby Lake zur Verfügung – für ältere Prozessoren gibt es nur eine Emulation mit allerdings "größerem" Performance-Einfluß. An dieser Stelle würde man natürlich gern wissen, was Microsoft hiermit genau meint – denn meistens beschreiben solcherart Formulierungen für Endanwender vollkommen verkraftbare Performance-Einbußen irgendwo bei 10% herum (oder auch deutlich kleiner).

Zudem ist unklar, wieso Microsoft auf Intel-Seite "Kaby Lake" für Windows 11 nicht zuläßt, sondern erst die Nachfolge-Generation "Coffee Lake", auf AMD-Seite hingegen Zen+ als "unterstützt" nennt, obwohl jenes kein MBEC in Hardware kann. Insbesondere, wenn Microsoft hiermit sowieso eine CPU-Generation mit Software-Emulation von MBEC zuläßt, stellt sich die Frage, ob man dies dann nicht auch für andere CPU-Generationen zulassen könnte. Denkbar, dass jene Sicherheits-Features der Ausgangspunkt für die hohen Systemanforderungen von Windows 11 sind, die offiziellen Prozessoren-Support-Listen (für AMD & für Intel) jedoch auch anderen Einflüssen unterliegen. Der rauchende Colt einer zwingenden Notwendigkeit ist hier immer noch nicht zu sehen, da sowohl eine Software-Emulation der MBEC zur Verfügung steht als dies auch nur eine einzelne Maßnahme zur Sicherheits-Verbesserung gegenüber doch ziemlich hochgeschraubten Angriffen darstellt. Damit handelt es sich weder um ein übliches Angriffsszenario gegenüber Normalbürgern noch wird mit dieser Maßnahme eine wirklich markerschütterende Sicherheits-Verbesserung erzielt (welche es rechtfertigen würde, den Support funktionierender Alt-Hardware wegzuwerfen).

Laut Heise wird die "PrintNightmare" Sicherheitslücke in Windows 7-10 inzwischen aktiv ausgenutzt, was angesichts der augenscheinlichen Einfachheit jener Sicherheitslücke durchaus bedenklich ist. Dabei können mit Hilfe des Windows-Diensts "Druckwarteschlange" (englisch "Printer Spooler") bösartige DLLs in das Druckertreiber-Verzeichnis von Windows gelangen, welche dann per default mit Systemrechten ausgeführt werden. Ironischerweise läuft der hierfür präsentierte Hotfix #1 darauf hinaus, jenen Windows-Dienst gleich ganz abzuschalten – womit dann aber auch keinerlei Drucken mehr möglich wäre, auch nicht mit lokal angeschlossenem Drucker. Der weiterhin genannte Hotfix #2 ist hingegen eher nur für Netzwerke interessant und schützt dort auch nur vor Bedrohungen durch andere Computer im Netzwerk – nicht jedoch wenn der Schadcode vom eigenen System kommt. Grundvoraussetzung ist in jedem Fall ein am System angemeldeter Nutzer (in Netzwerken natürlich jeder Netzwerk-Benutzer) – welcher allerdings augenscheinlich nicht über Admin-Rechte verfügen muß (wäre ansonsten genannt worden).

Die Lücke erscheint somit auch von jeder Schadsoftware für Normalanwender ausnutzbar, stellt augenscheinlich sogar einen einfachen Weg dar, etwas mit Systemrechten auszuführen. Leider sind die Heise-Ausführungen hierzu wenig spezifisch, da eher auf Netzwerk-Systeme bezogen. Zumindest denkbar ist, dass die Lücke tatsächlich für Netzwerk-Systemen zweckmäßig ist, auf reinen Einzelplatz-Systemen gar nicht in dieser Form funktioniert (oder durch einfache Maßnahmen wie das Deaktivieren der Netzwerk-Funktionalität zu unterbinden wäre). Wer keinen Drucker am Rechner hat, könnte aber dennoch prophylaktisch den Windows-Dienst "Druckwarteschlange" deaktivieren – wenn man irgendwann mal wieder einen Drucker nutzen sollte, wird Windows die Deaktivierung dieses Dienstes melden. Für Nutzer, die auf Drucker angewiesen sind, bleibt fast nur das Warten auf Microsoft-Patches, da der von TrueSec präsentierte Hotfix #3 nur etwas für technisch versierte Anwender ist. In der Zwischenheit könnte "Heise Security" eventuell genauer herausarbeiten, wieviel hiervon tatsächlich auf Normalanwender zutrifft.