Klagen gegen AMD wegen Sicherheitslücke Spectre

Anfang Janu­ar brach das Unheil über der IT-Welt zusam­men: die Sicher­heits­lü­cken Mel­tdown und Spec­t­re (in 2 Ver­sio­nen) wur­den vor­ab bekannt und erschüt­ter­ten eine gan­ze Bran­che. For­scher bei Goog­le und eini­ge ande­re hat­ten gezeigt, dass moder­ne Pro­zes­so­ren mit ihren leis­tungs­tei­gern­den Fea­tures “Out of Order Exe­cu­ti­ti­on”, “Spe­cu­la­ti­ve Exe­cu­ti­on” und “Branch Pre­di­ti­on” ein Sicher­heits­ri­si­ko sein kön­nen. Da prak­tisch (bis auf eini­ge Low-Power-Sys­te­me) alle Desk­top- und Ser­ver-Pro­zes­so­ren seit Mit­te der 1990er Jah­re mit die­sen Fea­tures arbei­ten, glich das einem Total­scha­den einer kom­plet­ten Bran­che.

Doch ganz so schlimm ist es nun auch nicht, zumin­dest nicht für End­ver­brau­cher. Die benann­ten Angriff­sze­na­ri­en nut­zen aus, dass die betrof­fe­nen Pro­zes­so­ren Daten auf Ver­dacht laden. Zwar kön­nen Pro­zes­se nicht direkt auf Daten ande­rer zugrei­fen, jedoch hin­ter­las­sen die out-of-Order/­spe­ku­la­ti­v/per-Sprung­vor­her­sa­ge in den Cache gela­de­nen Daten dort Spu­ren, die man mit trick­rei­cher Pro­gram­mie­rung abgrei­fen kann. Aber: das setzt immer vor­aus, dass ein Angrei­fer auch Code auf dem jewei­li­gen Sys­tem zur Aus­füh­rung brin­gen kann! Daher sind vSer­ver, Ter­mi­nal- und Cloud-Ser­ver die haupt­säch­lich Betrof­fe­nen, denn dort lau­fen teils dut­zen­de wenn nicht gar hun­der­te von vir­tu­el­len Sys­te­men auf einem Host. Wenn nun einer der “Unter­mie­ter” nichts Gutes im Sinn hat und einen sol­chen Angriff durch­führt, kann die­ser bei ent­spre­chen­dem Know-How Daten aus den ande­ren auf die­ser Maschi­ne lau­fen­den vir­tu­el­len Maschi­nen aus­le­sen, obwohl dies eigent­lich nicht mög­lich sein soll­te.

Bei pri­va­ten Heim­an­wen­dern dage­gen lau­fen in der Regel nicht meh­re­re Gäs­te auf einem Host. Soll­te es jemand oder etwas tat­säch­lich schaf­fen, Fremd­code (vul­go: Mal­wa­re) auf einem sol­chen Sys­tem aus­zu­füh­ren, sind Mel­tdown und Spec­t­re das gerings­te Pro­blem des Ange­grif­fe­nen, denn dann braucht der Angrei­fer die­se Lücken gar nicht mehr, da er es ja bereits geschafft hat, Code direkt auf dem Sys­tem zur Aus­füh­rung zu brin­gen, womit er alles mög­li­che anstel­len kann. Das ein­zi­ge Angriff­sze­na­rio gegen End­kun­den auf Desk­top-PCs wäre, falls es jemand schafft, Java­script-Code auf Web­sei­ten so zu gestal­ten, dass die­ser über Mel­tdown oder Spec­t­re aus sei­nem Kor­sett aus­bre­chen und Daten vom Sys­tem des Web­sur­fers aus­le­sen kann. Hier sind jedoch in ers­ter Linie die Brow­ser-Her­stel­ler gefragt, ent­spre­chen­de Gegen­maß­nah­men zu ergrei­fen; was auch bereits gesche­hen ist.

Wäh­rend also vSer­ver- und Cloud-Ser­ver-Anbie­ter emsig dabei sind, ihre Sys­te­me gegen Angrif­fe abzu­dich­ten, for­mie­ren sich bereits Kla­gen gegen die Pro­zes­sor-Her­stel­ler. In ers­ter Linie betrifft dies Intel. Als Markt­füh­rer im Ser­ver-Seg­ment (über 90 %) und betrof­fen von allen drei Sicher­heits­lü­cken könn­te es hier noch brenz­lig wer­den. Nicht umsonst hat Intel ange­kün­digt, Micro­code-Updates bis zurück zum Core 2 in 45 nm lie­fern zu wol­len und hat zudem ein exter­nes Kri­sen­ma­nage­ment enga­giert.

Doch auch gegen AMD wer­den anschei­nend Kla­gen ange­strebt. Dabei geht es allem Anschein nach vor allem dar­um, dass AMD in einer ers­ten Stel­lung­nah­me hat ver­lau­ten las­sen, dass man von der Sicher­heits­lü­cke nicht betrof­fen sei. Kur­ze Zeit spä­ter stell­te sich her­aus, dass AMD damit die Sicher­heits­lü­cke Mel­tdown mein­te, von der AMD auf­grund sei­ner eige­nen Archi­tek­tur tat­säch­lich nicht betrof­fen ist.

Aller­dings ist AMD von Spec­t­re durch­aus auch betrof­fen, ins­be­son­de­re in der Vari­an­te 2; wenn auch nach eige­nen Aus­sa­gen nur mit einem “near zero risk”:

Zwar hat AMD mitt­ler­wei­le kom­mu­ni­ziert, dass man ger­ne die in der Linux-Welt prä­fe­rier­te Gegen­maß­nah­me Ret­po­li­ne umge­setzt sähe, da man so ohne wei­te­re eige­ne Gegen­maß­nah­men aus­kä­me. Aber Micro­soft hat sich für Win­dows wohl für einen ande­ren Weg ent­schie­den, wodurch auch auf AMD-Sys­te­men Maß­nah­men in Form von Micro­code-Updates not­wen­dig wer­den. Die­se hat AMD für Zen-basie­ren­de Pro­zes­so­ren auch bereits ange­kün­digt, bis­her aber – auch bei Raven Ridge, anders als zunächst gedacht – noch nicht ver­öf­fent­licht. Für älte­re Archi­tek­tu­ren wie Bull­do­zer, Cats oder K10 gibt es noch gar kei­ne öffent­lich kom­mu­ni­zier­te Marsch­rou­te.

Das scheint für AMD nun zum Pro­blem zu wer­den, denn offen­bar wer­den nun auch Kla­gen gegen AMD ange­strengt, in den USA min­des­tens fol­gen­de:

Nathan Bar­nes and Jona­than Cas­key vs AMD, Case 5:18-cv-00883-BLF
Bri­an Speck vs AMD, Case 5:18-cv-00744-HRL
Dia­na Hauck vs AMD, Case 5:18-cv-00447-NC
Doyun Kim vs AMD, Case 5:18-cv-00321-EJD

Die ers­ten drei Kla­gen for­dern Scha­den­er­satz von AMD im Namen der­je­ni­ger, die einen AMD-Pro­zes­sor gekauft haben in der Zeit, als AMD bereits bekannt gewe­sen sein muss, dass ihre Pro­zes­so­ren von Spec­t­re betrof­fen sind, und trotz­dem wei­ter ent­spre­chen­de Pro­zes­so­ren ver­kauf­te. Die vier­te Kla­ge dage­gen tan­giert Aktio­nä­re, die durch AMDs Ver­hal­ten geschä­digt wor­den sein könn­ten.