Die Veröffentlichung kritischer Sicherheitslücken in aktuellen Prozessortechnologien hält die IT-Welt weiter in Atem. Und dabei zeigt sich: Obwohl Intel schon seit letztem Juni von den Fehlern Bescheid wusste, scheinen so manche Beteiligte mit der aktuellen Situation überfordert zu sein, andere hingegen wurden gleich ganz überrumpelt – und auch Intel selbst bewegt sich teilweise auf zweifelhaften Bahnen.

Update-Probleme bei Windows

Doch der Reihe nach: Jene Patches, mit denen eigentlich die "Meltdown" und – zumindest teilweise – "Spectre"-Bugs für Windows-Nutzer ausgeräumt werden sollen, zeigen bei manchen Usern einen äußerst unangenehmen Nebeneffekt: Nach dem Update lässt sich nämlich deren PC überhaupt nicht mehr starten. Betroffen scheinen dabei ausschließlich User mit AMD-Prozessoren zu sein, wie aus diversen Einträgen in den Microsoft-Foren hervorgeht. Ein Teil davon hat den eigenen Rechner über die Rückkehr auf einen alten Wiederherstellungspunkt – also vor dem Update – wieder flott machen können.

Aber auch wer es geschafft hat, das Update einzuspielen, ist noch nicht auf der sicheren Seite. Beschweren sich doch andere User über nach der Aktualisierung auftretende Probleme mit verschiedensten Browsern. Dass Antivirenprogramme Schwierigkeiten machen könnten, war schon vorab kommuniziert worden, offenbar verweigern aber auch andere Programm und zum Teil auch Treiber die Mitarbeit.

Linux-Entwickler im Stress

Doch auch andernorts tun sich Betriebssystementwickler mit den durch Meltdown und Spectre notwendig gewordenen, tiefgreifenden Änderungen schwer: So berichtet etwa Linux-Kernel-Entwickler Greg Kroah-Hartmann, dass die aktuellste Ausgabe des Linux-Kernels – 4.14.12 – auf einigen Systemen nicht bootet, ein Fix ist aber schon in Arbeit. Ganz allgemein lässt der Entwickler durchklingen, dass man mit der Art, wie die Lücken gegenüber der Linux-Community kommuniziert wurden, alles andere als zufrieden ist. Es handle sich hier um ein Paradebeispiel dafür, wie man nicht mit der Community interagieren könne – Details will er aber erst zu einem späteren Zeitpunkt nennen.

Zudem betont Kroah-Hartmann, dass es mit den aktuellen Patches noch nicht getan sei, immerhin widmen sich diese nur "Meltdown". Bis alle Fixes für "Spectre" eingearbeitet wurden, werden hingegen wohl noch Wochen vergehen, was angesichts der Komplexität der Materie auch nötig sei. Insofern bietet der Entwickler auch für Verständnis, viele der Entwickler hätten in den letzten Tagen kaum geschlafen, und seien mittlerweile ziemlich entnervt von der Extraarbeit, die sie hier durch Fehler anderer aufgebürdet bekommen haben.

Nichts gewusst

Freilich geht es der Linux-Community damit sogar noch ganz gut. Bei anderen freien Betriebssystemen sieht die Situation noch unerfreulicher aus. So haben die Entwickler von FreeBSD zu Protokoll gegeben, dass sie von den Lücken erst Ende Dezember erfahren haben. Bei OpenBSD wurde man hingegen gleich gar nicht vorab informiert, insofern gibt es bei beiden freien Unix-Varianten derzeit keinerlei Einschätzung, wie lange es dauert, bis man passende Updates liefern kann.

Erläuterung zu den einzelnen Lücken

An dieser Stelle muss noch einmal herausgestrichen werden, dass die Bugs zwar ähnliche Defizite ausnutzen, in ihrer Ausformung aber sehr unterschiedlich sind. Die höchste Gefährdung bildet dabei Meltdown (CVE-2017-5754) über das ein lokaler Angreifer uneingeschränkten Zugriff auf den Systemspeicher erhalten und geheime Informationen auslesen kann. Das könnte dann etwa genutzt werden, um Tastatureingaben mitzulesen oder gleich Login-Keys oder Passwörter aus dem Speicher zu kopieren. Diese Lücke ist aber auch jene, für die es unter Windows, Linux und Co. bereits Updates gibt, die also am schnellsten zu fixen ist.

Spectre im Zweierpack

Bei Spectre handelt es sich eigentlich genau genommen um zwei Bugs, die beide deutlich schwerer zu fixen sind. Die erste Variante (CVE-2017-5715) könnte etwa dazu genutzt werden, um von einer Anwendung auf den Speicher einer anderen am lokalen Rechner zuzugreifen. Die größte Gefährdung besteht hier für Cloud-Anbieter, da damit auch die Trennung zwischen Host und Client aufgebrochen werden kann, und ein Client Einblick in den Speicher anderer virtueller Maschinen erhalten kann.

Dieses Problem lässt sich offenbar über ein Microcode-Update aus dem Weg räumen, also einer Aktualisierung der Prozessor-Firmware. Interessanterweise verzichtet Google aber darauf, und hat lieber eine andere Methode gefunden: Unter dem Begriff Retpoline hat man eine neue Technik zur Compiler-Härtung entwickelt, die damit kompilierte Programme gegen solche Angriffe schützt. Warum Google hier einen anderen Weg beschreitet, ist unklar, eventuell erhofft man sich eine bessere Performance. Hier macht sich jedenfalls bezahlt, dass es die Sicherheitsforscher des eigenen Project Zero waren, die einen bedeutenden Teil zur Aufdeckung der Lücken beigetragen haben – basierend auf früher Forschung der TU Graz.

Browserfixes

Die zweite Spectre-Variante (CVE-2017-5753) ist deswegen besonders unerfreulich, weil sie sich gegen spezifische Sequenzen in einzelnen Anwendungen richtet, und somit alle betroffenen Programme angepasst werden müssen. Diese Lücke ist es auch, die aktuell in Hinblick auf Browserattacken – also von außen – Sorge macht, da sie theoretisch über Javascript getriggert werden kann. Die Browserhersteller versuchen dem derzeit mit Updates zu begegnen, die die Timer-Auflösung reduzieren, was die Attacken unpraktikabel macht.

Keine Performanceauswirkung?

Unterdessen herrscht weiter Uneinigkeit darüber, welche Performance-Auswirkungen all diese Maßnahmen haben. Während Intel sich weiter darauf versteift, dass der Performance-Verlust minimal sei, widerspricht nun ein prominenter Spielehersteller diesen Aussagen. Auf den eigenen Servern habe sich die Last nach dem Einspielen der aktuellen Patches um 20 Prozent erhöht, zeigt man sich bei Epic Games verärgert. Auch das kommt für Experten übrigens nicht ganz überraschend, da solche Server viele kleine UDP-Pakete zur Kommunikation verwenden, die aufgrund der damit verbundenen zahlreichen Syscalls besonders stark von den aktuellen Umbauten an Linux und Co. betroffen sind. (Andreas Proschofsky, 7.1.2018)