Intel-CPUs: Verheerende Lücke, Fix resultiert in Performanceverlust

Hardwarefehler in Prozessorarchitektur – Betriebssysteme müssen angepasst werden – Bis zu 30 Prozent langsamer

Andreas Proschofsky

629 Postings

Alle aktuellen Intel-Prozessoren sind von dem Fehler betroffen (im Bild ein Chip aus der Intel-Core-X-Serie).

Foto: Intel

Sicherheitsforscher haben einen Fehler in Intel-CPUs gefunden, und zwar einen, der massive Auswirkungen auf fast alle derzeit im Umlauf befindlichen Systeme des Prozessorherstellers haben könnte – ist es für dessen Behebung doch notwendig, tiefgreifende Änderungen an Betriebssystemen wie Windows oder Linux vorzunehmen, die in einem signifikanten Performanceverlust resultieren. Je nach Aufgabengebiet sollen Intel-Systeme durch den notwendigen Sicherheitsfix zwischen fünf und 30 Prozent langsamer werden, berichtet "The Register".

Auswirkungen

Offizielle Informationen zu dem Bug gibt es bislang noch nicht, allerdings sind bereits einige Details durchgesickert. So soll sich der Fehler ausnutzen lassen, um auf eigentlich geschützte Speicherbereiche zuzugreifen oder deren Layout zu erfahren. Dies erleichtert Angreifern ihre Arbeit massiv, da dieses Wissen bei der Ausnutzung anderer Sicherheitslücken hilft. Im schlimmsten Fall könnte dies aber auch direkt dazu genutzt werden, um als normaler Nutzer eigentlich geheime, dem Kernel vorbehaltene, Informationen wie Passwörter, Login-Schlüssel oder gecachte Systemdateien auszulesen. Damit wären dann beispielsweise Angriffe über den Browser denkbar, bei denen mittels eines simplen Stücks Javascript solche sensiblen Daten abgegriffen werden.

Angesichts dieses Szenarios ist ein Fix unumgänglich, hier stellt sich nun aber heraus, dass dies nicht so einfach zu bewerkstelligen ist, handelt es sich in diesem Fall doch offenbar um einen grundlegenden Fehler in Intels Implementation der x86-64-Architektur, der sich auch nicht durch ein Microcode-Update (eine Art Firmware für den Prozessor, Anm.) beheben lässt. Also müssen sämtliche Betriebssysteme, die solche Prozessoren nutzen, einzeln angepasst werden. Genau dieser Schritt scheint derzeit gerade in vollem Gange zu sein.

Updates

Laut Informationen von "The Register" sollen Details zu dem Bug noch im Verlauf des aktuellen Monats veröffentlicht werden. Parallel dazu sollen dann entsprechende Updates für verschiedene Betriebssysteme veröffentlicht werden. Microsoft scheint diese Fixes schon länger zu testen, Windows-Insider-Tester sollen sie bereits im November und Dezember erhalten haben. Unter Linux werden die entsprechenden Patches mit Kernel 4.14.11 aufgenommen – der mittlerweile auch schon im Source Code verfügbar ist. Zudem haben die ersten Distributionen schon mit der Auslieferung passender Updates begonnen. Unter macOS soll die Lücke bereits mit dem Update auf macOS 10.13.2 bereinigt worden sein.

Lösungsansatz

Die Lösung des Problems klingt dabei einfach, hat aber tiefgreifende Auswirkungen. Der Kernel wird in einen komplett separaten Adressbereich verschoben, wodurch er für mit Nutzerberechtigungen laufende Programme quasi unsichtbar wird. Unter Linux wird dieses – übrigens von Forschern an der TU Graz entwickelte – Konzept, Kernel Page Table Isolation (KPTI) genannt. Dieses hat aber auch eine Kehrseite: Führt diese Änderung doch dazu, dass künftig bei jedem Systemaufruf zwischen den beiden Adressbereichen für User Space und Kernel gewechselt werden muss, was einen gewissen Overhead zur Folge hat.

Wie stark sich dies in einem realen Performanceverlust bemerkbar macht, hängt dabei von der jeweiligen Anwendung ab. Während er bei generellen Anwendungen derzeit auf rund fünf Prozent geschätzt wird, kann sich das Ganze bei einzelnen Aufgaben auch deutlich stärker bemerkbar machen, wie erste Benchmarks zeigen. So soll etwa die Datenbanklösung PostgreSQL durch die KPTI-Patches zwischen 17 und 23 Prozent an Leistung verlieren. Einschränkend muss erwähnt werden, dass die Ausprägung des Performanceverlustes laut den vorliegenden Informationen auch von der jeweiligen Chipgeneration abhängig sein soll, bei aktuellen Prozessoren soll dieser Effekt geringer sein als bei älteren.

Cloud-Hosting

Der Fehler könnte auch nachhaltige Auswirkungen auf Cloud-Hoster wie Amazon, Microsoft und Google haben, da hier üblicherweise zahlreiche Nutzerinstanzen parallel auf der gleichen Hardware laufen. Ein Fehler in der Isolierung der Speicherbereiche würde hier alle möglichen unerfreulichen Angriffe ermöglichen, die es einem User erlauben könnten, auf den Speicher eines anderen zuzugreifen. Die großen Anbieter scheinen hier aber bereits Fixes in Stellung zu haben: So warnt derzeit etwa Microsoft seine Azure-Kunden vor einem kompletten Reboot aller Systeme am 10. Jänner. Amazon hat ein großes Sicherheits-Update für diesen Freitag angekündigt.

Don't Panic

Eine offizielle Stellungnahme von Intel gibt es zu dem Vorfall bisher noch nicht. Auch sonst gilt es die aktuell verfügbaren Informationen noch mit der gebotenen Vorsicht zu betrachten, immerhin fehlen noch immer einige Puzzlestücke. Ein vollständiges Bild von den realen Auswirkungen der beschriebenen Lücke lässt sich also erst nach einer offiziellen Ankündigung zeichnen.

Ebenfalls noch abzuwarten gilt es, ob auch andere Hardwarehersteller von diesem Fehler betroffen sind. Ersten Informationen zufolge weisen AMD-Chips dieses Defizit nicht auf, wohingegen für ARM64 derzeit ebenfalls ähnliche Patches zur Aufnahme in den Linux-Kernel vorgeschlagen sind. Sollten ARM-Chips tatsächlich auch betroffen sein, hätte dies natürlich auch Auswirkungen auf die Sicherheit aktueller Smartphones. (Andreas Proschofsky, 3.1.2018)

Wir empfehlen folgende Artikel zum Weiterlesen: