L1 Terminal Fault-L체cken in Intel-CPU erfordern weitere Patches

Die Nega짯tiv짯schla짯gen짯zei짯len (aus tech짯ni짯scher Sicht; wirt짯schaft짯lich hat Intel ja gera짯de erst ein Rekord짯quar짯tal hin짯ge짯legt) rei짯횩en nicht ab. Gestern Abend haben Sicher짯heits짯for짯scher von Uni짯ver짯si짯t채짯ten in Bel짯gi짯en, Isra짯el, Aus짯tra짯li짯en und den USA drei neue Sicher짯heits짯l체짯cken ver짯철f짯fent짯licht, die 횆hn짯lich짯kei짯ten zu den bereits im Janu짯ar ver짯철f짯fent짯li짯chen Spect짯re-L체cken auf짯wei짯sen und ins짯be짯son짯de짯re auf Cloud짯ser짯vern aus짯ge짯nutzt wer짯den k철n짯nen. Betrof짯fen sind davon nach aktu짯el짯lem Kennt짯nis짯stand nur Pro짯zes짯so짯ren des Her짯stel짯lers Intel, min짯des짯tens seit der ers짯ten Core-i-Gene짯ra짯ti짯on. Aus짯ge짯nom짯men sind jene Atom-Pro짯zes짯so짯ren (z.B. Clover짯view), die auf In-Order-Exe짯cu짯ti짯on setzten.

Die drei neu짯en L체cken h철ren auf die Namen:

  • Fores짯ha짯dow (L1 Ter짯mi짯nal Fault SGX) / CVE-20183615
  • L1 Ter짯mi짯nal Fault OS Ker짯nel, SMM / CVE-20183620
  • L1 Ter짯mi짯nal Fault Vir짯tu짯al Machi짯nes / CVE-20183646

Gemein ist allen Drei짯en, dass Angrei짯fer aus ihren zuge짯wie짯se짯nen Berei짯chen aus짯bre짯chen und Daten bzw. Spei짯cher짯be짯rei짯che ande짯rer Pro짯zes짯se aus짯le짯sen k철n짯nen, auf die sie eigent짯lich kei짯nen Zugriff haben soll짯ten. Das ist ins짯be짯son짯de짯re f체r Betrei짯ber von Cloud짯ser짯vern kri짯tisch, da hier meh짯re짯re VMs und Kun짯den auf einer phy짯si짯schen Maschi짯ne lau짯fen. Daher wird zun채chst ein짯mal emp짯foh짯len, VMs kei짯ne gemein짯sa짯men CPU-Ker짯ne zuzu짯wei짯sen. Zudem haben BSD-Ent짯wick짯ler bereits vor gerau짯mer Zeit emp짯foh짯len, SMT ali짯as Hyper짯Th짯re짯a짯ding zu deak짯ti짯vie짯ren, da sich durch die gemein짯sa짯me Res짯sour짯cen짯nut짯zung eines Kerns wei짯te짯re Schwach짯stel짯len erge짯ben. Zusam짯men mit den wei짯te짯ren Betriebs짯sys짯tem-Patches und Micro짯code-Updates bef체rch짯ten Ser짯ver짯be짯trei짯ber nach den Lin짯de짯run짯gen Per짯for짯mance-Ein짯bu짯횩en von 15 bis 50 % je nach Szenario.

Lin짯dern짯de Patches sind gestern Abend in den Linux-Ker짯nel 4.19 ein짯ge짯flos짯sen, der im Okto짯ber zur Ver짯철f짯fent짯li짯chung ansteht. Aber wie 체blich bei kri짯ti짯schen Updates wur짯den die Patches auch r체ck짯por짯tiert, sodass sie in den n채chs짯ten Tagen zur Ver짯f체짯gung ste짯hen soll짯ten. Auch mit dem gest짯ri짯gen Micro짯soft-Patch짯day sind eini짯ge Updates ver짯철f짯fent짯licht wor짯den, wel짯che die neu 철ffent짯lich gewor짯de짯nen Spect짯re-NG-L체cken lin짯dern sol짯len. Im Gegen짯satz zu Cloud짯diens짯ten ist am Desk짯top eher nicht mit gro짯횩en Per짯for짯mance-Ein짯bu짯횩en zu rechnen.