Ernste Sicherheitslücke in ALLEN Intel-CPUs sorgt für Probleme

      Ernste Sicherheitslücke in ALLEN Intel-CPUs sorgt für Probleme

      Eine mögliche Sicherheitslücke in allen Intel-CPUs sorgt derzeit für Trubel in Entwickler-Kreisen.

      Es ist noch gar nicht so lange her, dass Intel vor kritischen Sicherheitslücken seiner Management Suite warnte. Doch diese dürften ein vergleichsweise laues Lüftchen gewesen sein, denn nun zieht offenbar ein regelrechter Hurrikan auf: Aktuell geben Spekulationen über eine möglicherweise massive Sicherheitslücke in allen Intel-CPUs der letzten ~10 Jahre (also aller mehr oder weniger aktuellen Intel-Prozessoren) durchaus Anlass zur Besorgnis. Zum Zeitpunkt des Verfassens dieser News gibt es zwar noch keine offizielle Stellungnahme seitens Intel, diese soll jedoch am 4. Januar veröffentlicht werden.

      Ungeprüfter Zugriff auf sensible Bereiche möglich

      Das durch einen Fehler im Hardware-Design der Intel-CPUs hervorgerufene Problem betrifft Kernels von Windows, macOS, Linux und Konsorten. Dem Vernehmen nach kann ein Prozess, der mit normalen (also unprivilegierten) Nutzerrechten gestartet wurde, Intel-CPUs dazu bringen, auf sensible Speicherinhalte zuzugreifen. Dies geschieht, indem beliebige Speicherbereiche spekulativ geladen werden, woraufhin der unprivilegierte Prozess ohne weitere Prüfung Zugriff auf z.B. den Speicher des Kernels erhält, in dem sich sensible Daten befinden können.

      Computer Base berichtet in diesem Zusammenhang von tiefgreifenden Umbauarbeiten, welche von Entwicklern des Linux-Kernels in den letzten Wochen am Virtual-Memory-Subsystem des Kernels vorgenommen wurden. Diese Patches werden derzeit nicht nur in die kommende Version 4.15 des Linux-Kernels integriert, sondern auch in die Kernel 4.14 und 4.9 zurückportiert, die ja bereits als stabil deklariert und veröffentlicht wurden. Dies wird als ein deutlicher Hinweis dafür gesehen, dass dringender Handlungsbedarf seitens der Entwickler bestand, zumal derartig tiefgreifende Änderungen üblicherweise erst nach langer Vorbereitung vorgenommen werden – und dann sicherlich nicht ausgerechnet während der Feiertage rund um Weihnachten und Neujahr!

      Workaround bringt Leistungseinbußen mit sich

      Der Kernel Page-Table Isolation (kurz: KPTI oder PTI) genannte Workaround der Linux-Entwickler soll nun dafür sorgen, dass der sensible Speicherbereich des Kernels nicht mehr in den Speicherbereich der Prozesse gemappt wird, was diesen gewissermaßen unsichtbar macht. Der Nachteil: Dieses geänderte Prozedere führt zu unterschiedlich starken Einbußen der Performance, je nach Anwendungsfall. Die Linux-Entwickler rechnen mit Leistungseinbußen von etwa 5 Prozent durch PTI, in speziellen Fällen können es aber auch beinahe 50 Prozent sein. Immerhin: In Sachen Gaming scheint es nach ersten Ergebnissen in Spiele-Benchmarks von Phoronix keinerlei messbare Performance-Verluste zu geben – lediglich Ladezeiten könnten aufgrund von PTI länger ausfallen.

      Bleibt abzuwarten, wie Intel mit der Sache umgehen wird. Denn eine nachhaltige Beseitigung dieser Sicherheitslücke ohne einhergehende Performance-Einbußen ließe sich wohl nur durch eine Änderung des bestehenden Hardware-Designs der Intel-CPUs bewerkstelligen! Auweia.

      Während Nutzer von Intel-CPUs also durchaus gespannt sein „dürfen“, was Intel am 4. Januar zu dieser schwerwiegenden Sicherheitslücke und dem weiteren Vorgehen sagt, können sich Nutzer von AMD-CPUs entspannt zurücklehnen: Sie sind laut einer Aussage von AMD-Entwickler Tom Lendacky nicht von den Problemen betroffen.

      AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault. Disable page table isolation by default on AMD processors by not setting the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI is set.Tom Lendacky, AMD

      via computer base und dr. windows

      Das könnte dich auch interessieren

      Hinterlasse einen Kommentar

      Hinterlasse den ersten Kommentar!

      avatar
        Subscribe  
      Benachrichtige mich zu: