“L1 Terminal Fault”-Lücken in Intel-CPU erfordern weitere Patches
Die Negativschlagenzeilen (aus technischer Sicht; wirtschaftlich hat Intel ja gerade erst ein Rekordquartal hingelegt) reißen nicht ab. Gestern Abend haben Sicherheitsforscher von Universitäten in Belgien, Israel, Australien und den USA drei neue Sicherheitslücken veröffentlicht, die Ähnlichkeiten zu den bereits im Januar veröffentlichen Spectre-Lücken aufweisen und insbesondere auf Cloudservern ausgenutzt werden können. Betroffen sind davon nach aktuellem Kenntnisstand nur Prozessoren des Herstellers Intel, mindestens seit der ersten Core-i-Generation. Ausgenommen sind jene Atom-Prozessoren (z.B. Cloverview), die auf In-Order-Execution setzten.
Die drei neuen Lücken hören auf die Namen:
- Foreshadow (L1 Terminal Fault — SGX) / CVE-2018–3615
- L1 Terminal Fault — OS Kernel, SMM / CVE-2018–3620
- L1 Terminal Fault — Virtual Machines / CVE-2018–3646
Gemein ist allen Dreien, dass Angreifer aus ihren zugewiesenen Bereichen ausbrechen und Daten bzw. Speicherbereiche anderer Prozesse auslesen können, auf die sie eigentlich keinen Zugriff haben sollten. Das ist insbesondere für Betreiber von Cloudservern kritisch, da hier mehrere VMs und Kunden auf einer physischen Maschine laufen. Daher wird zunächst einmal empfohlen, VMs keine gemeinsamen CPU-Kerne zuzuweisen. Zudem haben BSD-Entwickler bereits vor geraumer Zeit empfohlen, SMT alias HyperThreading zu deaktivieren, da sich durch die gemeinsame Ressourcennutzung eines Kerns weitere Schwachstellen ergeben. Zusammen mit den weiteren Betriebssystem-Patches und Microcode-Updates befürchten Serverbetreiber nach den Linderungen Performance-Einbußen von 15 bis 50 % je nach Szenario.
Lindernde Patches sind gestern Abend in den Linux-Kernel 4.19 eingeflossen, der im Oktober zur Veröffentlichung ansteht. Aber wie üblich bei kritischen Updates wurden die Patches auch rückportiert, sodass sie in den nächsten Tagen zur Verfügung stehen sollten. Auch mit dem gestrigen Microsoft-Patchday sind einige Updates veröffentlicht worden, welche die neu öffentlich gewordenen Spectre-NG-Lücken lindern sollen. Im Gegensatz zu Clouddiensten ist am Desktop eher nicht mit großen Performance-Einbußen zu rechnen.
Links zum Thema:
- Weitere CPU-Lücken ret2spec und SpectreRSB entdeckt ()
- Weitere Sicherheitslücke in Intel-CPUs: TLBleed trickst HyperThreading aus ()
- Microsoft testet Microcodeupdates für AMD Bulldozer in Windows 10 Build 17672 ()
- Acht neue Spectre Sicherheitslücken in Intel-Prozessoren entdeckt ()
- BIOS-Updates mit AGESA 1.0.0.2 und Spectre-v2-Schutz ()
- Intel legt mit Microcode-Updates vor – AMD beginnt mit Epyc ()
- AMD Epyc verliert kaum Leistung durch Spectre-v2-Fix Retpoline ()
- InSpectre Release #7 mit CPUID veröffentlicht ()
- AMD gibt Programmierleitfaden gegen Spectre heraus ()
- Massive Sicherheitslücke in Intel-CPUs (Update: AMD, ARM, Bugfixes) ()