Unter dem Namen "Foreshadow" hat Intel am Dienstag eine weiter, kritische Lücke in aktuellen Prozessoren öffentlich gemacht. Ein Forscherteam von vier Universitäten hat konzeptionelle Schwächen aufgespürt, die es unter anderem erlauben die Grenzen zwischen einzelnen Prozessen aufzubrechen und dabei auch sogar Funktionen mit den höchsten Privilegien zu erreichen – womit wie schon bei "Meltdown" und "Spectre" zentrale Schutzmechanismen aktueller Betriebssystem ausgehebelt werden.

Leistungseinbußen

Die gute Nachricht: Praktisch umgehend gab es Updates der großen Hersteller für das auch L1 Terminal Fault (L1TF) genannte Problem. So lieferten die Entwickler des Linux-Kernels noch am Dienstagabend neue Versionen ihrer Software aus. Die schlechte Nachricht: Wie sich nun herausstellt führt die Fehlerbereinigung bei gewissen Einsatzszenarien zu massiven Leistungseinbußen.

Wer virtuelle Maschinen nutzt, müsse im Schnitt mit einem Performance-Verlust von bis zu 50 Prozent rechnen, berichtet heise.de in Berufung auf Linux-Entwickler. Neben privaten VMs sind davon vor allem Cloud-Umgebungen betroffen, bei denen typischerweise zahlreiche VMs parallel auf der selben Hardware laufen. In solch einem Umfeld könnten Angreifer theoretisch auf die Systeme anderer User zugreifen. Die jetzigen Patches unterbinden das, indem der L1-Cache des Prozessors regelmäßig geleert wird, um Attacken ins Leere laufen zu lassen. Zudem müssen Cloud- und VM-Betreiber aber – je nach Konfiguration – auch das Hyperthreading des Prozessors deaktivieren, um wirklich sicher zu sein. Das Hyperthreading eröffnet nämlich einen zusätzlichen Angriffsvektor, der über die Software nicht so einfach ausgeräumt werden kann.

Für Systeme, die direkt auf der Hardware laufen – also etwa Desktop oder Laptop, soll sich hingegen kein Performance-Verlust zeigen.

Updates

Die wichtigsten Linux-Distributionen haben auf diese Bedrohungslage rasch reagiert: So haben sowohl Red Hat als auch Ubuntu und SUSE passende Updates veröffentlicht, und informieren auf ihren Seiten über weitere Details. Die Debian-Entwickler wollen in Kürze nachziehen, heißt es. Auch für Windows gibt es entsprechende Aktualisierungen.

Doch mit dem Einspielen der Updates ist es noch nicht getan: Ein vollständiger Schutz ist nämlich erst gegeben, wenn auch die Firmware des Prozessors – der sogenannte Microcode – aktualisiert wird. Unter Linux wird dieser üblicherweise mittels eines separaten Updates ausgeliefert. Einen kompletten Schutz für das System – also schon vor dem Boot – gibt es aber nur durch BIOS-Updates. Und in dieser Hinsicht heißt es einmal mehr Warten auf die diversen Hardwarehersteller (Andreas Proschofsky, 16.8.2018)