Intel hat drei neue Sicherheitslücken in den Prozessoren der Baureihen Skylake und Kaby Lake bekannt gegeben. Eine der Lücken wurde vor Monaten von Forschern entdeckt und bekam den Namen Foreshadow. Die beiden anderen Lücken entdeckte Intel selbst während der Untersuchung von Foreshadow. Intel bezeichnet die Lücken als L1 Terminal Fault (L1TF), da sie den Inhalt des Level-1-Cache der Prozessoren gefährden. Die drei neuen Lücken wurden als CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646 katalogisiert. Es sind davon nur Intel-Prozessoren betroffen.
Foreshadow betrifft nur Intel
Auch hier handelt es sich, wie bereits bei den anderen bekannten Spectre-Lücken, um Seitenkanal-Attacken. In einem Papier der Entdecker der ersten Lücken im Januar 2018 heißt es dazu, diese Angriffe veranlassten die CPU zu spekulativen Operationen, die während der korrekten Programmausführung so nicht stattfinden würden. Die so abgegriffenen Informationen werden dann über einen Seitenkanal exfiltriert.
Tatort Pagetables
Die neuen Lücken ähneln der Meltdown-Attacke und betreffen die virtuelle Speicherverwaltung über Seitentabellen. Diese Tabellen übernehmen die Zuweisung virtueller und realer Speicheradressen, denn in einem virtuellen Speichersystem zeigen die Speicheradressen, die sowohl vom Userspace als auch vom Kernel verwendet werden, nicht direkt auf den physischen Speicher.
Bis zu 50 Prozent langsamer
Besonders betroffen von den neuen Angriffsvektoren sind Cloud-Anbieter. Um sich gegen die neuen Angriffe zu schützen, reicht es nicht, auf Software-Ebene Patches einzuspielen. Es muss, wenn es um virtuelle Maschinen geht, auch das Hyperthreading abgeschaltet werden, da sich diese Threads teils den gleichen L1-Daten-Cache teilen. Das Abschalten kann zu großen Performance-Verlusten führt. Im Endeffekt wird Intel, wie bereits gehabt, neue Microcodes zur Verfügung stellen, um die Patches zu ergänzen.
Die unbeabsichtigte Offenlegung von Speicherinhalten des Level-1-Datencache kann zwischen Userspace-Prozessen, zwischen Kernel und Userspace, zwischen virtuellen Maschinen und zwischen VMs und dem Gastsystem stattfinden.
Kernel bereits gepatched
Linus Torvalds hat den Linux-Kernel bereits gestern, zeitgleich mit Intels Bekanntgabe der Lücken, mit Patches gegen L1TF versehen. Neben dem im Oktober erwarteten Kernel 4.19 wurden die Patches von Greg Kroah-Hartman auch in die noch unterstützten Kernel-Versionen 4.18.1, 4.17.15, 4.14.63, 4.9.120 und 4.4.148 rückportiert.
Die Distributionen arbeiten bereits an der Umsetzung auf die jeweiligen Distributionskernel. Red Hat hat sich sehr ausführlich zu L1TF geäußert. Im Ubuntu-Wiki gibt es ebenfalls ausführliche Informationen sowie Verweise auf bereits gepatchte Kernel. Auch auf Kernel.org selbst gibt es Informationen zu den Lücken.
Schreibe einen Kommentar