L1 Terminal Fault”-Lücken in Intel-CPU erfordern weitere Patches

Die Nega­tiv­schla­gen­zei­len (aus tech­ni­scher Sicht; wirt­schaft­lich hat Intel ja gera­de erst ein Rekord­quar­tal hin­ge­legt) rei­ßen nicht ab. Gestern Abend haben Sicher­heits­for­scher von Uni­ver­si­tä­ten in Bel­gi­en, Isra­el, Aus­tra­li­en und den USA drei neue Sicher­heits­lü­cken ver­öf­fent­licht, die Ähn­lich­kei­ten zu den bereits im Janu­ar ver­öf­fent­li­chen Spect­re-Lücken auf­wei­sen und ins­be­son­de­re auf Cloud­ser­vern aus­ge­nutzt wer­den kön­nen. Betrof­fen sind davon nach aktu­el­lem Kennt­nis­stand nur Pro­zes­so­ren des Her­stel­lers Intel, min­des­tens seit der ers­ten Core-i-Gene­ra­ti­on. Aus­ge­nom­men sind jene Atom-Pro­zes­so­ren (z.B. Clover­view), die auf In-Order-Exe­cu­ti­on setzten.

Die drei neu­en Lücken hören auf die Namen:

  • Fores­ha­dow (L1 Ter­mi­nal Fault — SGX) / CVE-2018–3615
  • L1 Ter­mi­nal Fault — OS Ker­nel, SMM / CVE-2018–3620
  • L1 Ter­mi­nal Fault — Vir­tu­al Machi­nes / CVE-2018–3646

Gemein ist allen Drei­en, dass Angrei­fer aus ihren zuge­wie­se­nen Berei­chen aus­bre­chen und Daten bzw. Spei­cher­be­rei­che ande­rer Pro­zes­se aus­le­sen kön­nen, auf die sie eigent­lich kei­nen Zugriff haben soll­ten. Das ist ins­be­son­de­re für Betrei­ber von Cloud­ser­vern kri­tisch, da hier meh­re­re VMs und Kun­den auf einer phy­si­schen Maschi­ne lau­fen. Daher wird zunächst ein­mal emp­foh­len, VMs kei­ne gemein­sa­men CPU-Ker­ne zuzu­wei­sen. Zudem haben BSD-Ent­wick­ler bereits vor gerau­mer Zeit emp­foh­len, SMT ali­as Hyper­Th­re­a­ding zu deak­ti­vie­ren, da sich durch die gemein­sa­me Res­sour­cen­nut­zung eines Kerns wei­te­re Schwach­stel­len erge­ben. Zusam­men mit den wei­te­ren Betriebs­sys­tem-Patches und Micro­code-Updates befürch­ten Ser­ver­be­trei­ber nach den Lin­de­run­gen Per­for­mance-Ein­bu­ßen von 15 bis 50 % je nach Szenario.

Lin­dern­de Patches sind gestern Abend in den Linux-Ker­nel 4.19 ein­ge­flos­sen, der im Okto­ber zur Ver­öf­fent­li­chung ansteht. Aber wie üblich bei kri­ti­schen Updates wur­den die Patches auch rück­por­tiert, sodass sie in den nächs­ten Tagen zur Ver­fü­gung ste­hen soll­ten. Auch mit dem gest­ri­gen Micro­soft-Patch­day sind eini­ge Updates ver­öf­fent­licht wor­den, wel­che die neu öffent­lich gewor­de­nen Spect­re-NG-Lücken lin­dern sol­len. Im Gegen­satz zu Cloud­diens­ten ist am Desk­top eher nicht mit gro­ßen Per­for­mance-Ein­bu­ßen zu rechnen.