Klagen gegen AMD wegen Sicherheitslücke Spectre

Anfang Januar brach das Unheil über der IT-Welt zusammen: die Sicherheitslücken Meltdown und Spectre (in 2 Versionen) wurden vorab bekannt und erschütterten eine ganze Branche. Forscher bei Google und einige andere hatten gezeigt, dass moderne Prozessoren mit ihren leistungsteigernden Features “Out of Order Executition”, “Speculative Execution” und “Branch Predition” ein Sicherheitsrisiko sein können. Da praktisch (bis auf einige Low-Power-Systeme) alle Desktop- und Server-Prozessoren seit Mitte der 1990er Jahre mit diesen Features arbeiten, glich das einem Totalschaden einer kompletten Branche.

Doch ganz so schlimm ist es nun auch nicht, zumindest nicht für Endverbraucher. Die benannten Angriffszenarien nutzen aus, dass die betroffenen Prozessoren Daten auf Verdacht laden. Zwar können Prozesse nicht direkt auf Daten anderer zugreifen, jedoch hinterlassen die out-of-Order/spekulativ/per-Sprungvorhersage in den Cache geladenen Daten dort Spuren, die man mit trickreicher Programmierung abgreifen kann. Aber: das setzt immer voraus, dass ein Angreifer auch Code auf dem jeweiligen System zur Ausführung bringen kann! Daher sind vServer, Terminal- und Cloud-Server die hauptsächlich Betroffenen, denn dort laufen teils dutzende wenn nicht gar hunderte von virtuellen Systemen auf einem Host. Wenn nun einer der “Untermieter” nichts Gutes im Sinn hat und einen solchen Angriff durchführt, kann dieser bei entsprechendem Know-How Daten aus den anderen auf dieser Maschine laufenden virtuellen Maschinen auslesen, obwohl dies eigentlich nicht möglich sein sollte.

Bei privaten Heimanwendern dagegen laufen in der Regel nicht mehrere Gäste auf einem Host. Sollte es jemand oder etwas tatsächlich schaffen, Fremdcode (vulgo: Malware) auf einem solchen System auszuführen, sind Meltdown und Spectre das geringste Problem des Angegriffenen, denn dann braucht der Angreifer diese Lücken gar nicht mehr, da er es ja bereits geschafft hat, Code direkt auf dem System zur Ausführung zu bringen, womit er alles mögliche anstellen kann. Das einzige Angriffszenario gegen Endkunden auf Desktop-PCs wäre, falls es jemand schafft, Javascript-Code auf Webseiten so zu gestalten, dass dieser über Meltdown oder Spectre aus seinem Korsett ausbrechen und Daten vom System des Websurfers auslesen kann. Hier sind jedoch in erster Linie die Browser-Hersteller gefragt, entsprechende Gegenmaßnahmen zu ergreifen; was auch bereits geschehen ist.

Während also vServer- und Cloud-Server-Anbieter emsig dabei sind, ihre Systeme gegen Angriffe abzudichten, formieren sich bereits Klagen gegen die Prozessor-Hersteller. In erster Linie betrifft dies Intel. Als Marktführer im Server-Segment (über 90 %) und betroffen von allen drei Sicherheitslücken könnte es hier noch brenzlig werden. Nicht umsonst hat Intel angekündigt, Microcode-Updates bis zurück zum Core 2 in 45 nm liefern zu wollen und hat zudem ein externes Krisenmanagement engagiert.

Doch auch gegen AMD werden anscheinend Klagen angestrebt. Dabei geht es allem Anschein nach vor allem darum, dass AMD in einer ersten Stellungnahme hat verlauten lassen, dass man von der Sicherheitslücke nicht betroffen sei. Kurze Zeit später stellte sich heraus, dass AMD damit die Sicherheitslücke Meltdown meinte, von der AMD aufgrund seiner eigenen Architektur tatsächlich nicht betroffen ist.

Allerdings ist AMD von Spectre durchaus auch betroffen, insbesondere in der Variante 2; wenn auch nach eigenen Aussagen nur mit einem “near zero risk”:

Zwar hat AMD mittlerweile kommuniziert, dass man gerne die in der Linux-Welt präferierte Gegenmaßnahme Retpoline umgesetzt sähe, da man so ohne weitere eigene Gegenmaßnahmen auskäme. Aber Microsoft hat sich für Windows wohl für einen anderen Weg entschieden, wodurch auch auf AMD-Systemen Maßnahmen in Form von Microcode-Updates notwendig werden. Diese hat AMD für Zen-basierende Prozessoren auch bereits angekündigt, bisher aber – auch bei Raven Ridge, anders als zunächst gedacht – noch nicht veröffentlicht. Für ältere Architekturen wie Bulldozer, Cats oder K10 gibt es noch gar keine öffentlich kommunizierte Marschroute.

Das scheint für AMD nun zum Problem zu werden, denn offenbar werden nun auch Klagen gegen AMD angestrengt, in den USA mindestens folgende:

Nathan Barnes and Jonathan Caskey vs AMD, Case 5:18-cv-00883-BLF
Brian Speck vs AMD, Case 5:18-cv-00744-HRL
Diana Hauck vs AMD, Case 5:18-cv-00447-NC
Doyun Kim vs AMD, Case 5:18-cv-00321-EJD

Die ersten drei Klagen fordern Schadenersatz von AMD im Namen derjeniger, die einen AMD-Prozessor gekauft haben in der Zeit, als AMD bereits bekannt gewesen sein muss, dass ihre Prozessoren von Spectre betroffen sind, und trotzdem weiter entsprechende Prozessoren verkaufte. Die vierte Klage dagegen tangiert Aktionäre, die durch AMDs Verhalten geschädigt worden sein könnten.

Links zum Thema:

Spectre Firmware-Updates: Mainboard-Hersteller warten auf AMD (12.02.2018)
AMD gibt Programmierleitfaden gegen Spectre heraus (26.01.2018)
Bootfehler nach Windows-Update auch bei neuen Systemen (24.01.2018)
Microsoft bringt kumulatives Update KB4073290 mit AMD-Patch (18.01.2018)
AMD stellt klar: MS-Patch nur gegen Spectre auf AMD-Hardware (10.01.2018)
AMD nimmt Stellung zum Rückzieher Microsofts (09.01.2018)
Microsoft zieht Meltdown-Patch für AMD-Systeme zurück (09.01.2018)
Massive Sicherheitslücke in Intel-CPUs (Update: AMD, ARM, Bugfixes) (05.01.2018)
AMD sieht sich mit einer Sammelklage wegen Llano konfrontiert (Update) (01.12.2017)