Microsoft und Google haben gemeinsam eine neue CPU-Sicherheitslücke offengelegt. Die Speculative Store Bypass (Variante4) genannte Schwachstelle, ist mit den Anfang des Jahres aufgedeckten Schwachstellen Meltdown und Spectre vergleichbar. Auch die neuste Schwachstelle nutzt ähnlich wie Spectre die spekulative Ausführung moderner CPUs.
Patch in Arbeit
Browser wie Edge, Safari und Chrome wurden bereits Anfang des Jahres gegen Meltdown gepatcht. Laut Intel sind diese Patches auch für Variante4 geeignet. Im Gegensatz zu Meltdown (aber ähnlich wie bei Spectre), sind für die neue Sicherheitslücke auch Patches in der Firmware der CPUs nötig. Diese Updates könnten die Performance der betroffenen Systeme beeinträchtigen. Ein Mikrocode-Update wurde von Intel bereits als Betaversion an OEMs verteilt. Sollten dort keine großen Fehler auftauchen, rechnet Intel mit einer öffentlichen Verfügbarkeit in den kommenden Wochen. Durch die Firmware Updates wird der Bypass-Schutz auf „off-by-default“ gestellt. Laut Intel werden die meisten Nuter keine negativen Leistungsauswirkungen sehen.
„Wenn aktiviert, haben wir einen Performance-Effekt von ca. 2-8 Prozent beobachtet, basierend auf Gesamtnoten für Benchmarks wie SYSmark 2014 SE und SPEC Integer Rate auf Client 1 und Server 2 Testsystemen“, erklärt Leslie Culbertson, Intels Sicherheitschef.
Wie bereits bei Spectre, müssen Systemadministratoren zwischen Sicherheit und optimaler Performance abwägen. Diese Entscheidung wird je nach System oder Server einzeln getroffen werden. Die neue Schwachstelle gilt jedoch als geringeres Risiko als Spectre Anfang des Jahres.
Microsoft hatte im März damit begonnen, bis zu 250.000 Dollar für Sicherheitslücken anzubieten, welche mit Spectre und Meltdown vergleichbar sind. Laut dem Unternehmen aus Redmond wurde der neue Fehler bereits im November entdeckt.
„Microsoft hat diese Variante bereits im November 2017 im Rahmen von Coordinated Vulnerability Disclosure (CVD) entdeckt und an Industriepartner weitergegeben“, sagt ein Microsoft-Sprecher.
Zusammen mit Intel und AMD ermittelt Microsoft nun die Auswirkungen auf die Systemleistungen:
„Wir arbeiten weiterhin mit den betroffenen Chipherstellern zusammen und haben bereits tief greifende Abwehrmaßnahmen zur Behebung spekulativer Ausführungsschwachstellen bei unseren Produkten und Dienstleistungen veröffentlicht“, so ein Sprecher von Microsoft. „Uns ist keine Instanz dieser Schwachstellenklasse bekannt, die Windows oder unsere Cloud-Service-Infrastruktur betrifft. Wir verpflichten uns, unseren Kunden weitere Abhilfemaßnahmen zur Verfügung zu stellen, sobald sie verfügbar sind, und unsere Standardrichtlinie für Probleme mit geringem Risiko ist die Bereitstellung von Abhilfemaßnahmen über unseren Update-Dienstag.“
Intel arbeitet bereits an Änderungen für neue CPUs. Durch Änderungen an der Architektur der Prozessoren, sollen diese gegen Schwachstellen wie Spectre oder die neue Variante4 geschützt sein. Die neuen Xeon-Prozessoren (Cascade Lake), sowie die in der zweiten Jahreshälfte 2018 erscheinenden Intel Core-Prozessoren der 8.Generation, sollen durch neue integrieerte Hardwareschutzmechanismen ebenfalls besser geschützt sein.
Was denkt ihr? Bekommt Intel diese Probleme in den Griff?
In diesem Zusammenhang ebenfall interessant:
- Ist eurer PC vor Meltdown & Spectre geschützt? Dieses Tool verrät es
- Meltdown und Spectre: Liste der betroffenen CPUs und Benchmark
- Meltdown und Spectre: Microsoft erklärt die Leistungseinbußen im Detail
via theverge
„Browser wie Edge, Safari und Chrome wurden bereits Anfang des Jahres gegen Meltdown gepatcht. “
Sie wurden gegen Spectre gepatcht.
Siehe https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/