Seit der Veröffentlichung der unter den Namen Spectre und Meltdown bekannt gewordenen Prozessorlücken sind einige Monate vergangen. Zeit auch für davon betroffene Entwickler eine Bilanz zu ziehen, und diese fällt zumindest bei jenen, die mit dem Linux Kernel betraut sind, alles andere als freundlich aus.

Scharfe Worte

In einem Vortrag am Open Source Summit North America hat Linux-Entwickler Greg Kroah-Hartman schwere Kritik an Intel geübt, berichtet eweek. Das Unternehmen habe sich im Umgang mit den Lücken geradezu fahrlässig verhalten. Der Hardwarehersteller sei bereits im Juli 2017 über die Probleme mit seiner Hardware informiert worden. Die Linux-Entwickler hätten davon aber erst Ende Oktober erfahren – und selbst das nur als Gerücht. Dass man überhaupt Wind davon bekommen hat, ist offenbar auf einen "großen Betriebssystemhersteller zurückzuführen", der Druck auf Intel gemacht hat, endlich "den Hintern hochzubekommen" und auch die Linux-Community zu informieren.

Isolierung

Doch selbst nachdem Intel die Kernel-Entwickler informiert hat, sei der weitere Ablauf alles andere als optimal gelaufen. So wurden die großen kommerziellen Distributionen wie Red Hat oder Canonical separat informiert und ihnen dabei untersagt mit den jeweils anderen zu sprechen. Noch schlimmer ist aber, dass man reine Community-Projekte gleich gar nicht informierte – was vor allem Debian betraf. Diese seien von den Lücken denn auch weitgehend unvorbereitet getroffen worden, was aus einer Sicherheitsperspektive verheerend sei. Immerhin kommt Debian auf einer großen Zahl von Servern im Internet zum Einsatz.

Bei jenen, die informiert waren, führte dies wiederum dazu, dass jede Firma eigene Lösungen entwickelte. Erst Ende Dezember hob Intel diese Begrenzung dann auf, was einer ganzen Reihe an Kernel-Entwicklern die Weihnachtsferien versaut habe. Immerhin hatten diese nur bis zum 3. Jänner Zeit wenigstens die gröbsten Probleme auszuräumen.

Verbesserungen

Kroah-Hartman betont dabei aber auch, dass Intel aus diesen Vorfällen gelernt hat. Bei den in den letzten Monaten folgenden, weiteren Varianten von Spectre sei bereits im Vorfeld vernünftig informiert worden. Zudem habe Meltdown und Spectre noch einen anderen positiven Effekt gehabt: Es gebe mittlerweile einen direkten draht zwischen Kernel-Entwicklern bei Microsoft und der Linux-Community, über den man sich regelmäßig austauscht – und sogar gegenseitig bei der Behebung von Bugs hilft. (apo, 2.9.2018)