Seite 16: 22. Update: Spectre laut Google komplett abgesichert

Wie nun bekannt wurde, hat Google nach eigenen Angaben bereits im September bzw. im Oktober die entsprechenden Patches eingespielt – lange bevor die Finder der Lücken dies gegenüber den Firmen öffentlich gemacht haben sollen. Die Kunden sollen von einem Leistungsverlust durch die Patches nichts gespürt haben. Googles Sicherheitsteam Project Zero war an der Erforschung der Lücken Spectre und Meltdown beteiligt, insofern hatte man recht früh Einblick.

Bisher deuten alle Erkenntnisse zu Spectre daraufhin, dass die beiden Variante nicht komplett geschlossen werden können. Die Angriffsvektoren können nur erschwert werden. Google will mit Retpoline eine Compiler-Modifikation entwickelt haben, die darauf kompilierte Software komplett gegen die beiden Spectre-Varianten immun machen soll. Damit wiederspricht Google auch den wissenschaftlichen Papieren zu Spectre. Natürlich ist Google stolz auf Retpoline, bisher gibt es aber keine gesicherten Erkenntnisse, ob damit wirklich jede spekulative Ausführung von Befehlen verhindert werden kann. Laut dem Spectre-Paper sie es unmöglich sicherzustellen, dass es nicht irgendwelchen Code gibt, der eine spekulative Ausführung ermöglicht.

Laut Google ist mit Retpoline nicht nur ein komplettes Schließen der Spectre-Sicherheitslücke möglich, auch sieht Google kaum Leistungseinbußen durch die eigenen Maßnahmen. Google bleibt damit beim eigenen Statement: "On most of our workloads, including our cloud infrastructure, we see negligible impact on performance."

Andere Unternehmen mit einem ähnlichen Anwendungsprofil sprechen von signifikanten Leistungseinbußen – wie es zu diesen unterschiedlichen Einschätzungen kommt, ist derzeit nicht bekannt. Womöglich hat Google einen besseren Weg der Implementation gefunden oder aber wirft einfach nur mehr Hardware-Ressourcen auf das Problem.

Googles Prioritäten nach der Entdeckung von Spectre und Meltdown stehen nun in der Kritik. Das Project-Zero-Team konnte natürlich recht schnell und einfach sicherstellen, dass Googles eigene Teams bereits an einem Fix arbeiten konnten. Damit hatte man einen Vorsprung gegenüber der Konkurrenz. Nun mehren sich die Stimmen, Google hätte mehr Energie in die Entwicklung einer allgemeinen Lösung stecken sollen, anstatt die eigenen Server abzusichern. Allerdings kann es auch als rechtens angesehen werden, das Google als einer der Entdecker sich zunächst um die eigenen Sicherheit kümmert. An die allgemeine Ethik des Responsible Disclosure hat sich Google gehalten. Die betroffenen Unternehmen hatten demnach Zeit ihre Systeme abzusichern, bevor Spectre Anfang des Jahres öffentlich gemacht wurde.