Ubuntu & Intel: When security becomes a brake pad – GPU mitigations on the brink of extinction

24. June 2025 06:00

Sometimes you have to make a choice: Security or performance. Canonical and Intel have apparently now made this choice – against overcautious security dogmatism and in favor of a few percentage points more graphics performance. And who can blame them? If you spend years chasing a ghost that never materialized, at some point it’s okay to start chasing ghosts.

20% more steam – by leaving it out

What happened? Canonical, the guardians of the Ubuntu gospel, and Intel, the veterans of x86 realpolitik, are removing the Spectre mitigations for integrated Intel GPUs from the compute runtime with the upcoming Ubuntu 25.10. The performance gains: up to 20 %. The security gains beforehand: tend to be academic. Because despite all the theoretical attack vectors, no real exploit has yet been seen in the GPU area – and even that would have long been covered at kernel level anyway. “Spectre? Yes, that used to be important. Five years ago. Maybe. Today it’s like a bicycle helmet in a tank: soothes the conscience, but costs fuel.” The fact that the GPU mitigations were classified as “no longer security-relevant enough” is not just a technical detail. It is an official all-clear – and at the same time a silent capitulation to the realization that overengineering is sometimes more expensive than the risk itself.

Strategic readjustment

Of course, this is not entirely coincidental. Intel is undergoing a profound paradigm shift: Arrow Lake is just around the corner, Battlemage has been half-buried and the embedded and AI sector is suddenly back in the game. You can’t afford a 20% loss of performance on iGPUs that are already underperforming – not when AMD’s Radeon 780M is cheerfully catching up with RDNA3. Incidentally, Intel has been delivering the compute runtime without the mitigations for some time now – on GitHub, mind you, far away from the official Linux repositories. So anyone who believes that Canonical is the driver of the decision is very much mistaken. Canonical is only paving the way for what Intel has long been doing.

The illusion of security

Of course, the whole thing is accompanied by a “formal review process” – after all, they don’t want to give anyone the feeling that they’re optimizing on the spur of the moment. But if you read between the lines, it sounds more like: “If you patch the kernel anyway, you don’t need the rest. And if you don’t, it’s your own fault anyway.” In other words: responsibility is delegated downwards – to the users, to the distributions, to reality. That may sound cynical. But it is a realistic move. After all, the complexity of today’s security architectures has now reached a level where they block each other. Performance, maintainability and actual protection often form an unholy triangle. And at some point you have to sacrifice a corner.

The reaction? Cautious pragmatism

The Linux community is taking it surprisingly calmly. No outcry, no flame war on Reddit – almost as if people had been waiting for this step for a long time. Or as if it had secretly been done long ago – unofficially, quietly, with deactivated build flags in the basement of the CI pipelines. So it remains to be seen how the whole thing will play out in everyday life. For developers and power users, it is a welcome liberation. For security-fanatic company admins, it may be an alarm signal – but even they know that even the toughest system will fail at some point due to human error.

Conclusion with a wink

When even Intel says that its own GPU no longer needs Spectre mitigations, then this is either an act of radical honesty – or the last attempt to somehow make the iGPU sexy. Either way: For us, this means more performance at no extra cost. And in times of stagnating innovation, that’s almost a small victory.

Source: Launchpad, Phoronix

15 Antworten

Zeige alle Kommentare an

Kommentar

Lade neue Kommentare

8j0ern

Urgestein

3,768 Kommentare 1,205 Likes

#1 Jun 24, 2025

:LOL:

Ob unsere Systeme Übernommen wurden, werden wir wohl erst am Tag X erfahren, wenn der Wurm Anfängt zu Graben.

Antwort Gefällt mir

Daniel#

Veteran

300 Kommentare 111 Likes

#2 Jun 25, 2025

Spectre und Meltdown wurden total aufgeblasen.
In der Praxis gab es kaum nutzbare Exploits.
Der Performanceverlust von manchen Gegenmaßnahmen war unverhältnismäßig.

Antwort 1 Like

konkretor

Veteran

388 Kommentare 407 Likes

#3 Jun 25, 2025

Hoffentlich auch für die Windows Treiber

Antwort Gefällt mir

OldMan

Veteran

488 Kommentare 230 Likes

#4 Jun 25, 2025

Total aufgeblasen? Nein, die Bedrohung war einfach da und hat sich nicht in Luft aufgelöst. Kaum nutzbare Exploits? Einer genügt! Und die Schwachstelle wurde und wird immer noch ausgenutzt. Was bedeutet hier "unverhältnismäßig"? Ein schnelles System und Daumen drücken dass nichts passiert kann man machen sollte man aber nicht. Dem Gegenüber steht nämlich ein Sicherheitsvorfall der übelste Auswirkungen haben kann. Im Privatanwenderbereich vielleicht nur ärgerlich, im geschäftlichen Bereich kann es die Existenz kosten. Und nun stellt sich die Frage: Sind ein paar %Punkte Performance höher zu bewerten als die Existenz einer Firma?

Antwort Gefällt mir

Daniel#

Veteran

300 Kommentare 111 Likes

#5 Jun 25, 2025

Anstatt Hysterie könnte man einfach einen funktionierenden Exploit aus der freien Laufbahn aufzeigen.
Die gab es nämlich außerhalb des Labors nicht.
Weil es total unpraktikabel war. Spectre war maximal in der Lage zufällige Daten in bits pro Stunde abzugreifen, ja richtig gelesen.

Das wurde nur maximal aufgebauscht, aber in der Praxis werden ganz andere Lücken ausgenutzt.

Antwort Gefällt mir

konkretor

Veteran

388 Kommentare 407 Likes

#6 Jun 25, 2025

Spectre und Meltdown sind nur wirklich auf Servern problematisch. Das hat am Anfang dazu geführt daß die Kapazitäten der Server nicht ausgereicht haben. Du Zuhause an deiner Zocker Büchse bist eher weniger davon betroffen

Antwort 1 Like

Daniel#

Veteran

300 Kommentare 111 Likes

#7 Jun 25, 2025

Was genau meinst du mit Kapazitäten haben nicht ausgereicht? Das musst du schon genauer erklären.

Abseits davon hat es Gründe warum gerade die Linux Community die so sehr auf Sicherheit bedacht ist diese Gegenmaßnahmen jetzt teilweise wieder zurück nimmt. Weil es nach Jahren keine praktikablen Angriffe gab.

Antwort Gefällt mir

konkretor

Veteran

388 Kommentare 407 Likes

#8 Jun 25, 2025

Du hast einen Server mit Leistung X, durch die Security Patches ist die Leistung soweit gesunken das mehr Hardware für die gleichen Aufgaben notwendig wurden

Antwort Gefällt mir

Daniel#

Veteran

300 Kommentare 111 Likes

#9 Jun 25, 2025

Natürlich trauen sich die Serverprovider nicht die Gegenmaßnahmen zurück zu nehmen. Selbst die kleinste kaum nutzbare Lücke sorgt für Schnappatmung bei den Kunden.
Spectre und Meltdown wurden ja zur Genüge jahrelang durch die Medien getrieben.
Aber weil eben jahrelang kein praktisch nutzbarer Angriff auftauchte werden die Gegenmaßnahmen jetzt teilweise zurückgenommen. Zumindest außerhalb von Serverumgebungen.

Die großen Serverprovider ersetzen ihre Hardware sowieso schneller als Privatkunden, insofern kommen dann CPUs zum Einsatz bei denen die Lücken im Hardwaredesign behoben wurden.
Und wie du sagtest haben die Patches viel Leistung gekostet weswegen neue Hardware gekauft werden musste. Die Hardwarehersteller freuen sich.

Antwort Gefällt mir

8j0ern

Urgestein

3,768 Kommentare 1,205 Likes

#10 Jun 25, 2025

Wer braucht schon Server, wenn es ThreadRipper gibt ?

View image at the forums

TARNKAPPE.INFO

Aktuelle Nachrichten rund um Datenschutz, IT Sicherheit und Dark-Commerce. Tech-Portal Tarnkappe.Info

View image at the forums

tarnkappe.info

Ah ein Stadt-Mensch, sie glauben wohl auch, wir sind etwas altmodisch...

:devilish:

Antwort Gefällt mir

OldMan

Veteran

488 Kommentare 230 Likes

#11 Jun 26, 2025

Diese Aussage ist schlicht falsch. In diesem Zusammenhang kann gerne mal nach Spook.js gesucht werden. Das wurde hier aber durch google gefixt mit einem Patch für Chrome. Es gab und gibt immer noch verschiedene Angriffe / Angriffsmethoden für diese vulnerability. Es kam hier nie zu einer großangelegten Angriffswelle, das ist richtig. Dies liegt vor allem daran dass für die Ausnutzung der Schwachstelle doch sehr spezielles Expertenwissen notwendig ist. Script Kiddys bleiben hier schlicht aussen vor.
Auch hier: Klare Falschaussage. Selbst neue Prozessoren sind nach wie vor Anfällig, nur heißt es heute anders und die Methoden sind etwas abgewandelt. Die Kollegen der ETH Zürich sind hier ganz vorn mit dabei.

Und nur mal so am Rande: Nur weil erfolgreich ausgenutzte Exploids nicht in der Presse auftauchen heißt es nicht dass Sie nicht existent sind.

Antwort 1 Like

Daniel#

Veteran

300 Kommentare 111 Likes

#12 Jun 26, 2025

Gerade die neuen Exploits der ETH Zürich betreffen fast nur Intel. Zen 4 und Zen 5 sind nicht betroffen.

Neuere ARM CPU Kerne hatten auch schon lange keine neuen Spectre Lücken mehr.

Also ist das keine klare Falschaussage.
Intel ist einfach nur am pennen.

Edit:
Hier eine erste im Mai aktualisierte Übersicht vom ARM

Documentation – Arm Developer

View image at the forums

developer.arm.com

Der Großteil der Spectre Lücken ist auf neueren CPUs behoben, es gibt noch vereinzelt welche die für Spectre-BHB verwundbar sind was aber auch ältere wie Cortex X-2 bzw X-3 betrifft.
Und quasi alle sind noch für Spectre Variant 1 verwundbar was aber durch eine einfache Anpassung des compilers behoben wird.

Antwort Gefällt mir

Klicke zum Ausklappem

Alkbert

Urgestein

1,149 Kommentare 933 Likes

#13 Jun 27, 2025

Da muss wohl jeder selber eine Risiko-Nutzen Abwägung vornehmen resp. kollidieren hier (juristische) Verantwortlichkeit häufig mit der vorliegenden Realität. Das ist ein bischen wie die Patienten, die seit 30 Jahren Markumar schlucken und selber schon gar nicht mehr wissen wofür eigentlich und der Hausarzt traut sich nicht es abzusetzen, weil ja was passieren könnte ... natürlich kann immer was passieren - die Frage ist halt nur, wie wahrscheinlich das ist und rechtfertigt das die Nebenwirkungen des Präparates.

Antwort 2 Likes

OldMan

Veteran

488 Kommentare 230 Likes

#14 Jun 27, 2025

Das nennt sich dann fachlich RIA, also Risikoanalyse. Und die fällt im kommerziellen Bereich gaaanz anders aus als im privaten Bereich.

Antwort 1 Like

Alkbert

Urgestein

1,149 Kommentare 933 Likes

#15 Jun 27, 2025

Ja, das kann ich mir gut vorstellen. ;)

Antwort Gefällt mir

Alle Kommentare lesen unter igor´sLAB Community →

Danke für die Spende

Du fandest, der Beitrag war interessant und möchtest uns unterstützen? Klasse!

Hier erfährst Du, wie: Hier spenden.

Hier kannst Du per PayPal spenden.