Intel hat in einem Update seines Papiers Microcode Revision Guidance (PDF) erklärt, die Arbeiten an Microcodes gegen die Spectre-v2-Sicherheitslücke seien beendet. Damit bleiben 10 Produktfamilien mit insgesamt mehr als 230 CPUs ungeschützt vor den im Januar bekannt gewordenen katastrophalen Sicherheitslücken Meltdown und Spectre. Das berichtet heute das Magazin The Register.
Keine Microcodes gegen Spectre v2
Das am 2. April herausgegebene Papier nennt die Familien Bloomfield, Bloomfield Xeon, Clarksfield, Gulftown, Harpertown Xeon C0 und E0, Jasper Forest, Penryn/QC, SoFIA 3GR, Wolfdale, Wolfdale Xeon, Yorkfield und Yorkfield Xeon. Darunter sind CPU der Reihen Xeon, Core-i, Pentium, Celeron und Atom. Auch die einst weit verbreiteten Core 2 Duo gehören dazu. Die ungepatcht verbleibenden CPUs für Desktops oder Notebooks sind alle sechs bis zehn Jahre alt.
Intel nennt drei Gründe, warum CPUs einer dieser Familien nicht gepatched werden:
- Mikroarchitektonische Merkmale, die eine technische Mitigation ausschließen, um Spectre v2 abzumildern
- Eingeschränkte Unterstützung für kommerziell erhältliche Systemsoftware
- Basierend auf den Eingaben der Kunden werden die meisten dieser Produkte als »geschlossene Systeme« implementiert und es wird daher eine geringere Wahrscheinlichkeit erwartet, dass sie diesen Schwachstellen ausgesetzt sind.
Halbherziges Eingeständnis
Intel gibt an, einer oder mehrere dieser Punkte könnten dazu führen, dass eine CPU nicht gepatched wird. Zum ersten Punkt, in dem Intel verklausuliert zugibt, dass seine Ingenieure bestimmte CPUs technisch nicht gepatched bekommen, macht der Konzern keine Angaben, um welche CPUs es sich dabei handelt. Eine gute Nachricht enthält der aktualisierte Report jedoch: die Familien Arrandale, Clarkdale, Lynnfield, Nehalem und Westmere, die vorher nicht gepatcht wurden, haben jetzt funktionierende Korrekturen.
Kernel-Entwickler weiterhin beschäftigt
Für Intel scheint der Skandal um die Sicherheitslücken in den meisten CPUs der letzten 15 Jahre des Unternehmens abgeschlossen. Für die Linux-Kernel-Entwickler ist er das noch nicht. Die Patches direkt im Kernel halten die Entwickler immer noch in Atem. Der gerade erschienene Kernel 4.16 bringt weitere zusätzliche Patches gegen die insgesamt drei Schwachstellen.
Die Überprüfung des Kernelcodes wird die Entwickler noch eine Weile beschäftigen. Mittlerweile wird die Suche nach Stellen, die für Spectre v1 anfällig sind, teilweise automatisiert. Dazu zählt die Identifizierung anfälliger Code-Abschnitte und das Ersetzen des Array-Zugriffs durch die Funktion array_index_nospec() und damit die Abschaltung der spekulativen Ausführung.
Schreibe einen Kommentar