Intel: Designfehler soll für Sicherheitslücke in Prozessoren sorgen, Fix bremst Rechner aus

3. Januar 2018 Kategorie: Backup & Security, Hardware, geschrieben von:

Berichte über einen Designfehler in Intel-Prozessoren machen derzeit die Runde. Schon während der Feiertage war in vielen Mailing-Listen diese Geschichte ein Thema, zwingt dieser Bug aus Sicherheitsgründen doch dazu, dass ein Umschreiben des Kernels des Betriebssystems zu erfolgen hat. Es sollen alle Systeme betroffen sein, die auf Intel x86-Hardware setzen, AMD ist nach jetzigem Stand offenbar nicht betroffen.

Im Linux-Bereich las man schon vor einigen Tagen von einer Überarbeitung des Open-Source-Linux-Kernels und bei Microsoft sind die notwendigen Änderungen wohl schon bei Windows Insidern im Test. Neben den Desktop-Geschichten ist natürlich auch die Cloud betroffen, so werden am 10. Januar Microsoft Azure Virtual Machines einem wichtigem Update unterzogen und auch Google soll betroffen sein.

Das Böse ist nicht nur der Designfehler, der eine Sicherheitslücke aufreißt, sondern auch die Tatsache, dass die Behebungen auf den Plattformen derzeit für drastische Performance-Einbrüche auf betroffenen Intel-Systemen bei bestimmten Aufgaben sorgen können – bis zu 30 Prozent liest man da. Konkrete Details zur Lücke findet man kaum, da sie anscheinend offenbar einem Embargo unterliegen.

Laut Register sind Patches für den Linux-Kernel verfügbar, aber entsprechende Quellcode-Kommentare sollen redigiert worden sein. Diverse Berichte sprechen davon, dass ein Prozess einen Fehler in Intels Hardware ausnutzen kann um zufällig Speicherbereiche zu laden – und eben jenen Prozess die Inhalte ohne Zugriffsüberprüfung zur Verfügung zu stellen.

Die Lösung soll darin bestehen, den Speicher des Kernels komplett von Benutzerprozessen zu trennen. Dies sorgt für getrennte Adressräume, was wiederum dafür sorgt, dass der Prozessor mehr zu tun hat, was zum angesprochenen Verlust von Leistung führen soll. Könnte nun bedeuten, dass alle zeitnah Updates auf den Markt bringen, die das Problem erst einmal beheben – bevor dann die Arbeit an der angezogenen Performanceschraube beginnt.

Bei einem Linux-Kernel 4.14.11 mit PTI-Patches (Config-Option CONFIG_PAGE_TABLE_ISOLATION) wurden von einem Nutzer Benchmarks mit einer PostgreSQL-Datenbank gemacht, hierbei wurden circa 7 Prozent Leistungseinbußen festgestellt und auch hier gibt es eine nette Übersicht. Interessierte Sys-Admins finden bei Reddit eine interessante Diskussion zum Thema.

Sollte sich das alles so bewahrheiten und so schlimm sein, wie beschrieben, dann muss die Geschichte der Benchmarks in den letzten Jahren neu geschrieben werden. Auch die Kommunikation des Fehlers durch Intel dürfte interessant werden.


Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25725 Artikel geschrieben.