CleanPress

Schlagwort: Spectre

  • ZombieLoad: neue Lücken bei Intel CPUs

    ZombieLoad
    Logo: Natascha Eibl Lizenz: CCO

    Intel hat weitere Sicherheitslücken in fast allen Core-i- und Xeon-CPUs seit 2011 mit Ausnahme einiger aktueller Modelle bekanntgegeben. Diesmal ist nur Intel betroffen, AMD oder ARM bleiben außen vor. Die Lücken wurden von Forschern der TU Graz, der KU Leuven und dem Worcester Polytechnic Institute entdeckt, von denen einige bereits an der Entdeckung von Meltdown & Spectre im Januar 2018 beteiligt waren.

    ZombieLoad

    Bei Intel werden die Lücken als »Microarchitectural Data Sampling« (MDS) geführt. Wie bei solch eklatanten Lücken seit einigen Jahren üblich, wird ihnen ein Codename zugedacht. So erhielten sie von den Entdeckern den martialischen Namen ZombieLoad. Nicht betroffen sind Core i-8000U und Core i-9000, letzterer ab Stepping 13, sowie Xeon-SP Cascade Lake. Für alle anderen Prozessoren hat Intel bereits neuen Microcode zur Verfügung gestellt. Linux, Apple und Microsoft haben Patches veröffentlicht.

    Mit Spectre und Meltdown verwandt

    Es handelt sich bei den Lücken um nahe Verwandte von Meltdown und Spectre, wobei aber die Maßnahmen dagegen hier nicht greifen. Die Verwandschaft besteht darin, dass auch ZombieLoad zu den Seitenkanalattacken zählt, die die spekulative Ausführung moderner Prozessoren nutzen. Ein Video der Cyberus Technology GmbH demonstriert einen Angriff mit Protokollierung eines Tor-Browserverlaufs unter der Linux-Anonymisierungs-Distribution Tails und zeigt damit die Brisanz dieser Lücken auf.

    Spekulative Ausführung

    ZombieLoad benutzt einen ähnlichen Ansatz wie Meltdown und liest Daten aus, die der Prozessor im Voraus berechnet, aber alle außer den im Endeffekt zur Anwendung kommenden Arbeitsschritten wieder verwirft. Während der spekulativen Ausführung laufen mehrere Prozesse gleichzeitig auf einem physischen Prozessorkern. Die Forscher haben drei Angriffsvektoren entdeckt, die verschiedene Puffer auszulesen und so an Daten, Passwörter und Schlüssel gelangen können.

    Für Linux hat Greg Kroah-Hartman bereits gestern Kernel-Updates verkündet. Die Patches für Kernel 5.1.2 sowie 5.0, 4.19, 4.14 und 4.9 seien erst der Anfang, so GKH, weitere Anpassungen seien zu erwarten.

    As I said before just over a year ago, Intel once again owes a bunch of
    people a lot of drinks for fixing their hardware bugs in our
    software.

    GKH

    Heimanwender nicht im Visier

    Die neu entdeckten Angriffsvektoren sollten Heimanwendern keine schlaflosen Nächte bereiten. Die Angriffsziele dieser neuen Verwundbarkeiten liegen, wie schon Meltdown und Spectre, eher bei Servern, der Cloud und bei virtuellen Maschinen. Eine Maßnahme gegen solche Angriffe kann das Abschalten von Hyperthreading sein. Google hat dies für Chrome OS bereits vollzogen. Apple legt es seinen Kunden nahe.

  • Meltdown und Spectre: weiter verbreitet als gedacht

    Meltdown & Spectre im Embedded-Bereich
    Bild: Meltdown & Spectre | by Natascha Eibl | License: CC0

    Forscher der Technischen Universität Kaiserslautern (TUK) gaben in einer Pressemitteilung bekannt, dass Seitenkanalattacken weit mehr verbreitet sind als zunächst angenommen. Die 2018 entdeckten Sicherheitslücken in der Prozessorarchitektur von Intel, AMD und ARM sind laut einer Studie, die unter der Leitung von Professor Dr. Wolfgang Kunz an der TUK erstellt wurde, auch auf viel einfacher gestrickten Prozessoren im Embedded-Bereich zu finden.

    Studie vorgestellt

    Die Studie, (PDF) die Kunz zusammen mit Mohammad R. Fadiheh, und Dominik Stoffel sowie Kollegen der Stanford-Universität erarbeitet hat, wurde jetzt von Kunz, der an der TUK den Lehrstuhl für den Entwurf Informationstechnischer Systeme innehat, auf der Fachkonferenz »Design Automation and Test in Europe 2019« (DATE 2019) im italienischen Florenz vorgestellt.

    Nicht nur High-End-Prozessoren

    Demnach gibt es ähnliche Lücken auch bei Prozessoren, die eine einfachere Hardware-Architektur besitzen. Die Forscher entwickelten ein Angriffsszenario, dass sie Orc-Angriff nennen. »Dadurch ist es im Prinzip möglich, auch bei der Programmausführung auf einfachen Prozessoren, wie sie in vielen Anwendungen des täglichen Lebens weit verbreitet sind, vertrauliche Daten abzugreifen«, sagte Kunz dazu.

    Sicherheitskritische Bereiche

    Betroffen sind laut der Studie Chips in eingebetteten Umgebungen, die technische Systeme in den verschiedensten Anwendungsgebieten steuern. Das reicht von der Unterhaltungselektronik, der Medizintechnik, der Telekommunikation, der Gebäude- (Smart Home) oder der Produktionsautomatisierung (Smart Factory) bis hin zu sicherheitskritischen Bereichen wie dem Internet der Dinge und dem Autonomen Fahren.

    UPEC soll helfen

    Abhilfe soll ein neues Rechenverfahren bieten, dass die Wissenschaftler der TUK mit ihren amerikanischen Kollegen entwickelt haben. Es spürt solche Schwachstellen in der Hardware auf. Designer und Entwickler von Prozessoren könnten die »Unique Program Execution Checking« (UPEC) getaufte Methode künftig bereits nutzen, wenn sie an der Architektur künftiger Chips arbeiten.

    Wie viele Chips betroffen sind ist nicht bekannt und wird vermutlich ein Geheimnis der Hersteller bleiben, die sich jetzt mit UPEC selbst ein Bild von der Sicherheit ihrer verschaffen können.

  • Meltdown & Spectre 2019

    Spectre & Meltdown
    Bild: Meltdown & Spectre | by Natascha Eibl | License: CC0

    Vor über einem Jahr mussten Prozessorhersteller wie AMD und ARM, aber vor allem Intel eingestehen, dass das Rennen um immer schnellere Prozessoren in den letzten 20 Jahren an den Abgrund geführt hatte. Wo stehen wir heute?

    Pipeline immer gefüllt

    Eine der fortgeschrittenen Techniken moderner CPUs, die Sprungvorhersage ist verwundbar und erlaubt, wenn auch nur mit viel Aufwand, das Auslesen von Daten aus dem virtuellen Speicher. Bei der auf Englisch branch prediction geheißenen Funktion geht es darum, möglichst immer alle Stufen der Pipeline eines Microprozessors sinnvoll auszulasten.

    Verspekuliert

    Die dabei angewendete spekulative Ausführung erlaubt zwar eine hohe Effizienz, ist bei den verschiedenen Varianten von Spectre aber das Einfallstor für mögliche Angriffe. Wird die Spekulation der CPU verworfen und das Ergebnis einer anderen Stufe der Pipeline gewählt, ergibt das minimale Änderungen etwa im Cache, die über eine Seitenkanalattacke ausgelesen und genutzt werden können, um Seiten im virtuellen Speicher zu lesen und zu kopieren.

    Nur im Silizium zu beheben

    Dass es bis heute keinen bekannten Fall eines Angriffs per Spectre gegeben hat, ist bei der Beurteilung der Schwere des Fehlers unmaßgeblich. Tatsache ist, die Fehler sind endgültig nur im Silizium zu beheben. Die ergriffenen Maßnahmen, sei es im Microcode oder in den Betriebssystemen, führte zu teils hohen Leistungseinbußen. somit werden diese Maßnahmen von vielen Administratoren gar nicht angewendet.

    Spekulative Ausführung muss weg

    Ein Team von Google-Sicherheitsexperten hat jetzt ein Papier unter dem Titel Spectre is here to stay vorgelegt, in dem sie erklären, Spectre werde uns so lange begleiten, bis einschneidende Änderungen am CPU-Design umgesetzt werden. Die Kernaussagen sind, dass auch künftig weitere Spectre-Varianten auftauchen werden und das sich das nicht ändert, bis die spekulative Ausführung aus den CPU-Architekturen entfernt wird.

    Das Papier kommt zu dem Schluss, dass das aktuelle CPU- und Architekturdesign mit drei ungelösten Problemen konfrontiert ist: weitere Schwachstellen im Seitenkanal zu finden, sie zu verstehen und sie auf effiziente und umfassende Weise zu mildern. Das Papier endet mit einer Erklärung, in der die Sicherheit für die Leistung von CPUs beleuchtet und festgestellt wird, dass Seitenkanal-Angriffsvektoren so lange bestehen bleiben, wie die CPU-Architektur unverändert bleibt.

    Schritt zurück?

    Die offensichtlichste Lösung ist die Beseitigung der spekulativen Ausführung, wie es im Papier heißt. Spekulative Ausführung ist jedoch eine wichtige Technik zur Leistungsoptimierung, die von den meisten x86-Prozessoren verwendet wird, weshalb CPU-Hersteller Schwachstellen lieber auf andere Weise minimieren würden, anstatt diesen radikalen Schritt zurück zu gehen, der mit schwer bis gar nicht zu umgehenden Leistungsminderungen einhergehen würde.

  • PortSmash: Erneut Sicherheitslücke bei Intel

    PortSmash
    Bild: Hacker | Quelle: The Presier Project | Lizenz: CC BY 2.0

     

    Forscher an Universitäten in Finnland und Kuba haben unter der Leitung von Billy Brumley eine neue Sicherheitslücke entdeckt, die auf den Namen PortSmash getauft wurde. Die neue Lücke ist, wie auch schon Meltdown und Spectre zu Jahresbeginn, eine Seitenkanalattacke.

    PortSmash erlaubt es einem versierten Angreifer, verschlüsselte Daten wie etwa kryptografische Schlüssel oder andere privilegierte Informationen von internen CPU-Prozessen auszulesen. Die Lücke wurde bisher für CPUs der Baureihen Skylake und Kaby Lake bestätigt. PortSmash ist zudem das erste Ergebnis einer auf fünf Jahre ausgelegten Forschungsreihe in Sachen Seitenkanalattacken, die vom Europäischen Forschungsrat finanziell ausgestattet ist.

    Seitenkanalattacke

    Eine Seitenkanalattacke stellt eine Technik dar, die verwendet wird, um verschlüsselte Daten aus dem Speicher oder der CPU eines Computers auszulesen. Von den verschiedenen Formen der Seitenkanalattacke bedient sich PortSmash der Timing Attack.

    Dazu werden minimale Diskrepanzen bei den Laufzeiten eines Algorithmus, des Energieverbrauchs des Prozessors während der Berechnungen oder der elektromagnetischen Ausstrahlung beobachtet und analysiert, um zusätzliche Informationen zu erhalten, die helfen können, Verschlüsselungsalgorithmen zu brechen und die verarbeiteten Daten der CPU wiederherzustellen.

    Hyper-Threading ermöglicht Angriff

    Anders als Meltdown und Spectre nutzt PortSmash nicht das Speicher-Subsystem oder die Caching-Mechanismen der CPUs aus. Die Forscher fanden heraus, dass PortSmash CPUs betrifft, die die SMT-Architektur verwenden, die es ermöglicht, mehrere Threads in der Form von Multithreading gleichzeitig auf einem CPU-Kern auszuführen. Intel setzt  SMT als Hyper-Threading (HT) um.

    PoC auf GitHub

    Gelingt es einem Angreifer, einen präparierten Prozess im Rahmen von SMT neben einem legitimen Prozess laufen zu lassen, so kann er kleine Mengen an Daten des legitimen Prozesses auslesen, die dann bei der Rekonstruktion der verschlüsselten Daten hilfreich sein können. Ein Proof-of-Concept (PoC) des keinesfalls trivialen Angriffs ist von den Forschern auf GitHub eingestellt worden. Dabei werden OpenSSL-Schlüssel von einem TLS-Server entwendet. Ein ausführliches Papier soll in den nächsten Tagen folgen.

    Intel arbeitet an Patch

    Intel ist die Lücke vor rund einem Monat bekannt gemacht worden, bisher liegt noch kein Patch dagegen vor. Intel teilte gestern abwiegelnd mit, die Lücke habe nichts mit Spectre, Meltdown oder L1 Terminal Fault gemeinsam. Man werde weiter »mit Kunden, Partnern und Forschern zusammenarbeiten, um die identifizierten Schwachstellen zu verstehen und zu beheben«.

    Vermutlich auch AMD betroffen

    Die Forscher gehen davon aus, dass auch CPUs von AMD, die SMT verwenden, von PortSmash betroffen sind. Bereits letztes Jahr war mit TLBleed eine ähnliche Lücke entdeckt worden, die ebenfalls HT ausnutzt und die das OpenBSD-Projekt veranlasste, die Unterstützung für Intels HT-Technologie in ihren Kerneln zu deaktivieren.

     

  • Intel kündigt halbherzige Fixes für Whiskey Lake an

    Whiskey Lake
    Bild: Public Domain

    Intel hat vor wenigen Tagen die neue Prozessor-Reihe Whiskey Lake vorgestellt, ließ dabei aber völlig unerwähnt, dass die für Mainstream-Notebooks ausgelegten Whiskey-Lake-CPUs die erste Prozessor-Reihe für den Endverbraucherbereich sein wird, die im Silizium Maßnahmen gegen die eklatanten Sicherheitslücken in Intels CPUs  mitbringt.

    Stillschweigen

    Das Verschweigen einer eigentlich doch sehr berichtenswerten Maßnahme hat natürlich seinen Grund: Die Umsetzung für Whiskey Lake ist bestenfalls als halbherzig zu bezeichnen. Die gleichzeitig vorgestellte Amber-Lake-Reihe erhält keine Bereinigung im Silizium. Beide Plattformen stellen optimierte Varianten der Kaby-Lake-Microarchitektur dar. Intels Entschuldigung für das Verschweigen der Informationen war, man habe das Interesse der Öffentlichkeit hieran unterschätzt.

    Halbherziger Whiskey Lake

    Der Industrieanalyst Ashraf Eassa hat die Nachricht gestern als erster verbreitet, Tom’s Hardware holte dann von Intel die Bestätigung ein. Intel-Vertreter bestätigten daraufhin, dass Whiskey-Lake-Chips die ersten In-Silizium-Mitigationen auf den Verbrauchermarkt bringen.  Dabei erhalten die Whiskey-Lake-CPUs lediglich Mitigationen für Meltdown und L1TF, die eigentlich viel gefährlicheren Spectre-Varianten bleiben völlig außen vor.

    Cascade-X kann mehr

    Warum das der Fall ist, bleibt vorerst Intels Geheimnis. Das auch zumindest die Spectre-Variante 2 im Silizium zu beheben ist, belegen die Server-CPUs der Cascade-Lake-X-Baureihe, die noch 2018 erscheinen sollen. Intel sagt dazu, die Mitigationen gegen Spectre v2 sollen mit der Zeit auch auf die Consumer-Chips ausgeweitet werden. Genauere Informationen über die Natur der Änderungen im Silizium hat Intel bisher nicht preisgegeben. Ob die Intel CPUs der neunten Generation, die gerüchteweise im Oktober angekündigt werden sollen, auch Mitigationen auf Hardware-Ebene bieten werden, unde wenn ja, wie weit, ist bisher nicht bekannt.

    Abwarten oder zur Konkurrenz

    Da seit der ersten Veröffentlichung der katastrophalen Sicherheitslücken im Januar ständig neue Lücken aufgetaucht sind, wergibt es vermutlich wenig Sinn, sich bereits bei den jetzt angekündigten Prozessorreihen neu einzudecken. Das gilt natürlich nur dann, wenn Intel als CPU-Lieferant überhaupt noch in Frage kommt.

  • Intel lenkt ein bei Lizenz zu Microcode

    Intel lenkt ein
    Bild: „Intel“ von Christian Rasmussen Lizenz: CC By-SA 2.0
      In den letzten Tagen wurde einmal wieder Kritik an Intel laut, da die Veröffentlichung eines neuen Microcodes gegen die L1 Terminal Fault-Lücke sowie gegen Speculative Store Bypassing (SSB) an Lizenzbedingungen geknüpft war, die zumindest für Debian nicht akzeptabel waren.

    Debian verweigerte die Auslieferung

    Wie aus der Antwort auf einen Debian-Bugreport hervorging, hielt der Debian-Kernel-Maintainer Henrique de Moraes Holschuh den seit Wochen bereits paketierten Microcode mit der Bezeichnung intel-microcode 3.20180807.1 aufgrund der zum im Juli ausgelieferten Vorgänger intel-microcode 3.20180703.2. geänderten Lizenz zurück, ohne dass Holschuh jedoch zunächst auf den genauen Grund einging.

    Perens benennt Ross und Reiter

    Den lieferte dann Open-Source-Urgestein Bruce Perens in seinem Blog. Die Lizenzbestimmungen waren, wie Perens darlegt, um einen Zusatz ergänzt worden, der es untersagte, Benchmarks oder Vergleiche, die auf der Grundlage des eingespielten Microcodes entstanden sind, zu veröffentlichen.

    »You will not, and will not allow any third party to … publish or provide any Software benchmark or comparison test results.» – Intel Lizenzbedingung

    Maulkorb für die Kunden

    Dabei ging es Intel wohl darum, zu verhindern, dass die zu erwartenden Leistungseinbußen, die bei virtuellen Maschinen angeblich bis zu 50 Prozent betragen können und beim Desktop immer noch 5 – 10 Prozent ausmachen sollen, öffentlich belegt werden. Bereits bei den vorangegangenen Spectre-Lücken war Intel mehrfach, hauptsächlich von Unternehmen, verklagt worden, da die zugesagten Eigenschaften der Prozessoren aufgrund der Leistungseinbußen nicht erfüllt wurden. Da der Mikrocode für jede Anweisung der CPU gilt, scheint dies eine Nutzungseinschränkung durch die hinzugefügte Lizenzklausel für den gesamten Prozessor zu sein, folgert Perens.

    Nichts gelernt

    Damit hat Intel mal wieder gezeigt, dass die Verantwortlichen seit Januar, der ersten Veröffentlichung der Meltdown- und Spectre-Lücken, nichts dazugelernt haben. Anstatt Kritik zu unterdrücken, sollte das Unternehmen zu den Fehlern stehen und seine Kunden möglichst umfassend über deren Asuswirkungen informieren.

    Kommando zurück

    Mittlerweile hat Intel zurückgerudert und die zusätzliche Klausel wieder entfernt. Warum diese überhaupt aufgenommen wurde bleibt unklar. Es kann nicht gänzlich ausgeschlossen werden, dass es ein Versehen war und der Text für eine Beta-Version verwendet wurde. Jedoch passt der Vorfall genau in das bereits bekannte Schema, sodass es wahrscheinlicher ist, das es darum ging, den Kunden einen Knebel zu verpassen. Jedenfalls zeigt sich wieder einmal, dass öffentliche Kritik zum Umdenken führt.
  • Debian schließt Intel-Lücken

    Debian schließt Intel-Lücken

    Debian schließt Intel-Lücken
    Screenshot: ft

    Debian weist im aktuellen Security Advisory DSA-4279-1 auf die Schließung der kürzlich unter der Bezeichnung Foreshadow beziehungsweise L1 Terminal Fault (L1TF) bekannt gewordenen Sicherheitslücken in Intel-CPUs hin. Die geschlossenen Lücken beziehen sich  auf die Kennnummern CVE-2018-3620 und CVE-2018-3646. Von den Lücken sind sowohl auf realer Hardware laufende als auch virtualisierte Systeme betroffen.

    Bereits länger bekannt

    Mehrere Forscher hatten die Schwachstellen in der Art, wie Intel-CPUs bei der spekulativen Ausführung von Anweisungen private Daten zugreifbar machen kann bereits vor Monaten entdeckt. Diese Fehler ähneln der Meltdown-Attacke und betreffen speziell die virtuelle Speicherverwaltung über Pagetables.

    Kernel und Microcode

    Um diese Schwachstellen vollständig zu schließen, ist es neben dem veröffentlichten Debian-Kernel 4.9.110-3+deb9u3 erforderlich, dass unter Debian »Stretch« der aktualisierte CPU-Microcode in Version 3.20180703.2~deb9u1 aus dem unfreien Repository non-free eingespielt wird. Dazu müssen Anwender kurzzeitig ihre Quellenliste erweitern. Dieser Microcode schließt durch Speculative Store Bypass Disable (SSBD) zusätzlich auch die Lücken Spectre Variante 3a und Variante 4 (CVE-2018-3639).

    Anwender von Debian Stable sind aufgerufen, die aktualisierten Pakete schnellstmöglich einzuspielen, um gegen die Lücken geschützt zu sein.

  • Foreshadow: Intel gibt weitere Spectre/Meltdown-Lücken bekannt

    Foreshadow
    Bild: Public Domain

    Intel hat drei neue Sicherheitslücken in den Prozessoren der Baureihen Skylake und Kaby Lake bekannt gegeben. Eine der Lücken wurde vor Monaten von Forschern entdeckt und bekam den Namen Foreshadow. Die beiden anderen Lücken entdeckte Intel selbst während der Untersuchung von Foreshadow. Intel bezeichnet die Lücken als L1 Terminal Fault (L1TF), da sie den Inhalt des Level-1-Cache der Prozessoren gefährden.  Die drei neuen Lücken wurden als CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646 katalogisiert. Es sind davon nur Intel-Prozessoren betroffen.

    Foreshadow betrifft nur Intel

    Auch hier handelt es sich, wie bereits bei den anderen bekannten Spectre-Lücken, um Seitenkanal-Attacken. In einem Papier der Entdecker der ersten Lücken im Januar 2018 heißt es dazu, diese Angriffe veranlassten die CPU zu spekulativen Operationen, die während der korrekten Programmausführung so nicht stattfinden würden. Die so abgegriffenen Informationen werden dann über einen Seitenkanal exfiltriert.

    Tatort Pagetables

    Die neuen Lücken ähneln der Meltdown-Attacke und betreffen die virtuelle Speicherverwaltung über Seitentabellen. Diese Tabellen übernehmen die Zuweisung virtueller und realer Speicheradressen, denn in einem virtuellen Speichersystem zeigen die Speicheradressen, die sowohl vom Userspace als auch vom Kernel verwendet werden, nicht direkt auf den physischen Speicher.

    Bis zu 50 Prozent langsamer

    Besonders betroffen von den neuen Angriffsvektoren sind Cloud-Anbieter. Um sich gegen die neuen Angriffe zu schützen, reicht es nicht, auf Software-Ebene Patches einzuspielen. Es muss, wenn es um virtuelle Maschinen geht, auch das Hyperthreading abgeschaltet werden, da sich diese Threads teils den gleichen L1-Daten-Cache teilen. Das Abschalten kann zu großen Performance-Verlusten führt. Im Endeffekt wird Intel, wie bereits gehabt, neue Microcodes zur Verfügung stellen, um die Patches zu ergänzen.

    Die unbeabsichtigte Offenlegung von Speicherinhalten des Level-1-Datencache kann zwischen Userspace-Prozessen, zwischen Kernel und Userspace, zwischen virtuellen Maschinen und zwischen VMs und dem Gastsystem stattfinden.

    Kernel bereits gepatched

    Linus Torvalds hat den Linux-Kernel bereits gestern, zeitgleich mit Intels Bekanntgabe der Lücken, mit Patches gegen L1TF versehen. Neben dem im Oktober erwarteten Kernel 4.19 wurden die Patches von Greg Kroah-Hartman auch in die noch unterstützten Kernel-Versionen 4.18.1, 4.17.15, 4.14.63, 4.9.120 und 4.4.148 rückportiert.

    Die Distributionen arbeiten bereits an der Umsetzung auf die jeweiligen Distributionskernel. Red Hat hat sich sehr ausführlich zu L1TF geäußert. Im Ubuntu-Wiki gibt es ebenfalls ausführliche Informationen sowie Verweise auf bereits gepatchte Kernel. Auch auf Kernel.org selbst gibt es Informationen zu den Lücken.

  • Chrome 67 verstärkt die Sicherheit mit Seiten-Isolierung

    Chrome 67
    Bild: google_chrome | Quelle jibunkaiwai | Lizenz: CC BY 2.0

     

    Mit Chrome 67 dreht Google weiter an der Sicherheitsschraube. Das neueste Feature im Kampf gegen Spectre & Co. heißt Site Isolation, zu deutsch Seiten-Isolierung. Mit der Sicherheit erhöht sich allerdings auch der RAM-Bedarf des Browsers.

    Verschärfte Trennung

    Mit Site Isolation verschärft Google die Trennung von Inhalten im Browser. Galt bisher die Maxime, dass jeder Tab in einem eigenen Prozess läuft, so verfeinert Google nun diese Aufteilung weiter. Mit der bisherigen Lösung liefen etwa Cross-Site-Iframes oder -Pop-Ups im gleichen Prozess wie die Seite, die sie erzeugt hatte. Das erlaubte einem erfolgreichen Spectre-Angriff unter Umständen, Daten wie unter anderem Cookies oder Passwörter anderer Frames oder Pop-ups zu lesen.

    Spectre-Angriffe erschweren

    An Site Isolation arbeitete Google schon lange, bevor die Spectre-Angriffe Furore machten. Dabei geht es um eine einschneidende Änderung der Chrome-Architektur, die jeden Rendering-Prozess auf Dokumente von einer einzigen Seite beschränkt. Dies bedeutet, dass alle Navigation zu Cross-Site-Inhalten den jeweiligen Tab zum Wechseln der Prozesse veranlasst. Es bedeutet auch, dass alle Cross-Site-Iframes in einen anderen Prozess als ihr übergeordnetes Frame gesetzt werden, indem out-of-process iframes verwendet werden.

    Site Isolation für (fast) alle

    Mit Chrome 67 ist Site Isolation für 99 Prozent der Nutzer auf allen Betriebssystemen aktiviert, das verbleibende eine Prozent dient als Kontrollgruppe. Mit der Aktivierung reduziert sich die Datenmenge, die ein Angreifer stehlen könnte, und »reduziert die Bedrohung durch Spectre erheblich«, so Google.

    Kehrseite der Medaille

    Google plant, die Site Isolation auf Chrome für Android auszudehnen und arbeitet an der Lösung bekannter Probleme. Mit Chrome 68 kann die Seiten-Isolierung sowohl manuell auf dem Handy über ein Flag als auch über Unternehmensrichtlinien aktiviert werden. Wie so oft, hat aber auch diese Verbesserung einen Pferdefuß: Dadurch, dass mehr Rendering-Prozesse erzeugt werden, erhöht sich der RAM-Verbrauch des beliebtesten Browsers weiter. Google-Entwickler Charlie Reis führte das im Sicherheitsblog des Unternehmens aus:

    Site Isolation führt dazu, dass Chrome mehr Rendering-Prozesse erstellt, was mit Leistungseinbußen verbunden ist: Auf der positiven Seite ist jeder Rendering-Prozess kleiner, kurzlebiger und hat intern weniger Konkurrenz, aber es gibt aufgrund der größeren Anzahl von Prozessen etwa 10-13 Prozent Gesamtspeicher-Overhead in realen Workloads. Unser Team arbeitet weiterhin hart daran, dieses Verhalten zu optimieren, um Chrome schnell und sicher zu halten.

  • Spectre-NG: 8 neue brisante Sicherheitslücken in Intel-CPUs entdeckt

    Bild: Public Domain

    Nach Informationen, die c’t exklusiv vorliegen, haben Forscher acht weitere Lücken in Intel-CPUs entdeckt, die teils gefährlicher sind als die im Januar bekannt gewordenen Meltdown & Spectre. Kaum sind diese Lücken einigermaßen gepatched, droht bereits neues Unheil.

    Spectre-NG

    Die neuen Lücken, die noch keine dedizierten Namen haben und deshalb derzeit unter dem Sammelbegriff Spectre-NG (für Next Generation) laufen, sind derzeit noch geheim. Die von mehreren Forscherteams entdeckten Lücken sind aber von Intel bestätigt worden, wobei der Hersteller die Hälfte als »hochriskant«  und den Rest mit der Gefährlichkeitsstufe »mittel« einschätzt. Die c’t, die nach eigenen Angaben bereits über verifizierte, aber noch nicht veröffentlichte technische Einzelheiten verfügt, schätzt eine der Lücken als gefährlicher ein als die bereits katastrophalen Vorgängerlücken Meltdown & Spectre.

    Cloud-Anbieter besonders gefährdet

    Die Lücke soll Angreifer befähigen, Schadcode in einer virtuellen Maschine auszuführen und darüber das Wirtssystem angreifen. Das kann fatale Probleme besonders für Cloud-Anbieter bedeuten. Es bleibt abzuwarten, ob Intel dazugelernt hat und diesmal die Öffentlichkeitsarbeit besser im Griff hat. Für Anwender bleibt lediglich, auf Patches zu warten, wobei die ersten noch im Mai erwartet werden, eine zweite Welle ist für August geplant. Mit den ersten Patches sollen auch technische Einzelheiten des erneuten Sicherheitsdebakels veröffentlicht werden. Klar ist aber, dass die Probleme ihren Ursprung wieder im Design der CPU-Architektur haben und somit nur mit einem neuen CPU-Design wirklich geschlossen werden können.

    Wie bei den Vorgängern ist die Wahrscheinlichkeit, dass Heimanwender angegriffen werden, relativ gering. Trotzdem sollten die Patches, wenn sie denn verfügbar sind, von allen Computeranwendern installiert werden. Linux-Nutzer werden dabei vermutlich wieder schneller und mit weniger Aufwand versorgt als die Windows-Welt. Die Kernel-Entwickler werden allerdings keineswegs erfreut sein über die erneute zusätzliche Belastung.