Seite 5: 5. Update: Weitere Analyse und die wichtigsten Fragen

Wer ist betroffen? Welche Systeme sind besonders anfällig? Wie kann eine Lösung aussehen? All das wollen wir uns nun etwas genauer anschauen. Zunächst einmal wollen wir uns die Unterschiede zwischen Spectre und Meltdown anschauen:

Meltdown bricht den Mechanismus, der Programme daran hindern soll auf anderen Speicherbereiche zuzugreifen. Solche Programme können dann auch auf den Systemspeicher zugreifen, in dem sich gegebenenfalls sensible Informationen befinden. Spectre bringt andere Programme dazu auf fremden Speicherbereich zuzugreifen. In beiden Fällen werden sogenannte Side Channels genutzt, die mitunter eines bestimmten Timings bedürfen. Ausführlich werden die technischen Hintergründe in den wissenschaftlichen Papers zu Meltdown und Spectre beschrieben.

Welche Systeme sind von Meltdown betroffen?

Alle Desktop-, Laptop- und Cloud-Rechner mit Intel-Prozessor sind davon betroffen. Genauer gesagt alle mit einer Out-of-Order Execution – das heißt alle ab dem Pentium Pro von 1995 bis auf die Itanium-Modelle und alle Atom-Variante vor 2013. Via Proof-of-Concept wurde Melton auf allen aktuellen CPU-Architekturen von Intel bis 2011 nachgestellt, ältere Modelle sind aber wie gesagt ebenso anfällig. Meltdown konnte derzeit nur auf Intel-Prozessoren verifiziert werden. Derzeit ist unklar, ob AMD- und ARM-Prozessoren davon gänzlich ausgenommen sind.

Alle Cloud-Provider sind von Meltdown betroffen, die Intel-Prozessoren einsetzen. Die virtuellen Instanzen bzw. die eingesetzte Software muss aktualisiert werden. Auch solche Cloud-Anbieter mit verschiedenen Containern, die sich einen Kernel teilen, sind betroffen. Dazu gehören Docker, LXC oder OpenVZ.

Meltdown in Aktion:

Können Systeme gegen Meltdown abgesichert werden?

Ja, können sie. Via Software-Patch und die beschriebene Kernel Page-Table Isolation ist dies möglich. Der Linux-Kernel 4.14.11 mit KPTI-Implementierung kann bereits heruntergeladen werden. Hier ist KPTI allerdings für alle Prozessoren aktiv, auch für solche von AMD. Für Windows ist der Patch bereits Bestandteil der Windows 10 Insieder Preview 17063 und dürfte in Kürze veröffentlicht werden. Das aktuelle macOS 10.13.2 enthält bereits den KPTI-Patch. Mit dem derzeit in der Beta-Phase befindlichen 10.13.3 soll es weitere Verbesserungen der Sicherheit geben. Details dazu stehen aber noch aus.

Welche Systeme sind von Spectre betroffen?

Für Spectre sind theoretisch alle aktuellen Prozessoren anfällig – Desktops, Laptops, Cloud-Server und auch Smartphones sowie Tablets. Spectre wurde bereits auf Intel-, AMD- und ARM-Prozessoren demonstriert, wenngleich hier zwischen den beiden Varianten unterschieden werden muss (siehe Tabelle).

Können Systeme gegen Spectre abgesichert werden?

Spectre ist schwieriger zu implementieren, kann aber auch nicht so einfach verhindert werden. Software-Patches können es hier nur schwerer machen die Sicherheitslücke auszunutzen, sie können sie aber nicht gänzlich verhindern. Erst zukünftige CPU-Architekturen sollen dahingehend abgesichert sein. ARM gibt ab, dass alle zukünftigen Architekturen gegen Spectre abgesichert sein werden. Im Investoren-Meeting soll Intel davon gesprochen haben, dass alle Produkte, die 2018 auf den Markt kommen werden, ebenfalls gegen Spectre abgesichert sind.

Diese Aussage muss allerdings etwas relativiert werden. Das Transkript der Investoren-Telefonkonferenz liest sich ganz anders:

"Your second, your earlier part of the question was, what's the time frame for implementing changes? And I'll just say that as part of the mitigation, as we learned the root causes of these issues, Ronak and his team are accountable for doing the microarchitecture of our cores and they started making the changes in the products for our future. And you can look at those as, I'll call it refinements, so that the OS and firmware have to do less heavy lifting. We just kind of build the updates into our hardware in a more -- in a way that's more transparent to software. And you'll start seeing the first of those products within this calendar year. We have a general direction that all of our products going forward that are not yet, if you will, in silicon and committed to launch in a very short period of time, all those future products will incorporate those enhancements as Ronak and team learn more. And that will just make the mitigations more efficient"

Demnach spricht Intel für 2018 nun von Produkten, die sich nicht schon in der Fertigung befinden – ob damit das erste Tape Out oder die Massenfertigung gemeint ist, bleibt unklar. Im Frühjahr werden die Core-H-Prozessoren erwartet, es dürften auch noch einige Coffee-Lake-Prozessoren folgen. All diese Modelle können noch nicht verbessert worden sein.