L1 Terminal Fault”-Lücken in Intel-CPU erfordern weitere Patches

Die Nega­tiv­schla­gen­zei­len (aus tech­ni­scher Sicht; wirt­schaft­lich hat Intel ja gera­de erst ein Rekord­quar­tal hin­ge­legt) rei­ßen nicht ab. Gestern Abend haben Sicher­heits­for­scher von Uni­ver­si­tä­ten in Bel­gi­en, Isra­el, Aus­tra­li­en und den USA drei neue Sicher­heits­lü­cken ver­öf­fent­licht, die Ähn­lich­kei­ten zu den bereits im Janu­ar ver­öf­fent­li­chen Spec­t­re-Lücken auf­wei­sen und ins­be­son­de­re auf Cloud­ser­vern aus­ge­nutzt wer­den kön­nen. Betrof­fen sind davon nach aktu­el­lem Kennt­nis­stand nur Pro­zes­so­ren des Her­stel­lers Intel, min­des­tens seit der ers­ten Core-i-Genera­ti­on. Aus­ge­nom­men sind jene Atom-Pro­zes­so­ren (z.B. Clover­view), die auf In-Order-Exe­cu­ti­on setz­ten.

Die drei neu­en Lücken hören auf die Namen:

  • Fores­ha­dow (L1 Ter­mi­nal Fault — SGX) / CVE-2018–3615
  • L1 Ter­mi­nal Fault — OS Ker­nel, SMM / CVE-2018–3620
  • L1 Ter­mi­nal Fault — Vir­tu­al Machi­nes / CVE-2018–3646

Gemein ist allen Drei­en, dass Angrei­fer aus ihren zuge­wie­se­nen Berei­chen aus­bre­chen und Daten bzw. Spei­cher­be­rei­che ande­rer Pro­zes­se aus­le­sen kön­nen, auf die sie eigent­lich kei­nen Zugriff haben soll­ten. Das ist ins­be­son­de­re für Betrei­ber von Cloud­ser­vern kri­tisch, da hier meh­re­re VMs und Kun­den auf einer phy­si­schen Maschi­ne lau­fen. Daher wird zunächst ein­mal emp­foh­len, VMs kei­ne gemein­sa­men CPU-Ker­ne zuzu­wei­sen. Zudem haben BSD-Ent­wick­ler bereits vor gerau­mer Zeit emp­foh­len, SMT ali­as Hyper­Threa­ding zu deak­ti­vie­ren, da sich durch die gemein­sa­me Res­sour­cen­nut­zung eines Kerns wei­te­re Schwach­stel­len erge­ben. Zusam­men mit den wei­te­ren Betriebs­sys­tem-Patches und Micro­code-Updates befürch­ten Ser­ver­be­trei­ber nach den Lin­de­run­gen Per­for­mance-Ein­bu­ßen von 15 bis 50 % je nach Sze­na­rio.

Der Inhalt ist nicht verfügbar.
Bitte erlaube Cookies, indem du auf Übernehmen im Banner klickst.
Der Inhalt ist nicht verfügbar.
Bitte erlaube Cookies, indem du auf Übernehmen im Banner klickst.

Lin­dern­de Patches sind gestern Abend in den Linux-Ker­nel 4.19 ein­ge­flos­sen, der im Okto­ber zur Ver­öf­fent­li­chung ansteht. Aber wie üblich bei kri­ti­schen Updates wur­den die Patches auch rück­por­tiert, sodass sie in den nächs­ten Tagen zur Ver­fü­gung ste­hen soll­ten. Auch mit dem gest­ri­gen Micro­soft-Patch­day sind eini­ge Updates ver­öf­fent­licht wor­den, wel­che die neu öffent­lich gewor­de­nen Spec­t­re-NG-Lücken lin­dern sol­len. Im Gegen­satz zu Cloud­diens­ten ist am Desk­top eher nicht mit gro­ßen Per­for­mance-Ein­bu­ßen zu rech­nen.