Spectre: Google patcht CPU-Lücke ohne Performanceverlust

Der Retpoline genannte Fix führt Änderungen auf Softwareebene ein. Er macht die Deaktivierung der CPU-Funktion Speculative Execution überflüssig. Google implementiert den Fix erfolgreich und ohne Beschwerden von Kunden in seiner gesamten Cloud-Infrastruktur.

Google hat einen Patch entwickelt, der Spectre-Angriffe auf die Branch-Target-Injection-Lücke abwehren soll, ohne sich negativ auf die Performance eines Prozessors auszuwirken. Einem Blogeintrag zufolge handelt es sich bei dem Retpoline genannten Patch um eine neuartige Technik zur Modifizierung von Software Binaries. „Mit Retpoline mussten wir die spekulative Ausführung oder andere Hardware-Funktionen nicht abschalten.“

Meltdown Spectre (Bild: Google)Bisher war angenommen worden, dass sich die Angriffe auf die Branch-Target-Injection-Lücke nur durch die Deaktivierung der zugehörigen CPU-Funktion abwehren lassen – und zwar durch eine Mischung aus Software-Fix und CPU-Microcode-Update. Genau das führt jedoch dazu, dass Prozessoren unter bestimmten Umständen deutlich Leistung verlieren. Während Verbraucher mit aktuellem Windows-Betriebssystem und aktueller Hardware laut Microsoft keine spürbaren Einbußen haben, kann die Leistung bei bestimmten Server-Arbeitslasten jedoch deutlich abnehmen, weswegen Google bei seinen Cloud-Diensten bereits auf Retpoline setzt.

Retpoline schütze Googles Infrastruktur bereits bei der Kompilierung, ohne dass Veränderungen des Quellcodes erforderlich seien, schreibt Ben Treynor Sloss, Vice President bei Google, in seinem Blogeintrag. Tests hätten zudem gezeigt, dass der Patch zusammen mit bestimmten Software-Optimierungen nahezu keine Leistungsverluste habe.

Seit Dezember seien alle Dienste der Google Cloud Platform (GCP) vor Meltdown und Spectre geschützt. Kunden hätten jedoch von den Veränderungen nichts bemerkt. „Wir haben keine Kunden-Support-Tickets mit Bezug auf die Updates erhalten. Das bestätigt unsere Annahme, dass die performance-optimierten Updates keine deutlichen Auswirkungen auf Arbeitslasten haben“, ergänzte der Manager.

Google geht davon aus, dass Retpoline bezogen auf die CPU-Leistung der derzeit beste Patch für die Branch-Target-Injection-Lücke ist. „Wir hoffen, dass das universell eingesetzt werden kann, um das Cloud-Erlebnis branchenweit zu verbessern, weswegen wir unsere Ergebnisse öffentlich gemacht haben“, heißt es weiter in dem Blogeintrag. Google habe den Patch aber nicht nur mit seinen Partnern geteilt, sondern auch die eigene Compiler-Implementierung als Open Source bereitgestellt.

Unklar ist, inwieweit Googles Partner beziehungsweise andere Technikfirmen den Retpoline-Patch prüfen oder gar implementieren. Amazon hatte zuletzt eingeräumt, dass die Updates der eigenen Infrastruktur für geringeren Datendurchsatz und für einen höhere CPU-Auslastung sorgen können. Beides kann für Anwender des Public-Cloud-Service EC2 höhere Kosten nach sich ziehen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Cloud-Computing, Google, Prozessoren, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Spectre: Google patcht CPU-Lücke ohne Performanceverlust

Kommentar hinzufügen
  • Am 17. Januar 2018 um 0:22 von C

    Wenig hilfreich, was Google da PR mäßig macht…

    Spectre ist ein CPU HW-Design Problem. Das kann grundsätzlich nur in HW komplett eliminiert werden.

    Google meint, durch Neu-Kompilierung seiner Software (5 – 10% Performance-Verlust) gegen Spectre geschützt zu sein.
    Ob das alle Angriffs-Vektoren abdeckt – ist zum jetzigen Zeitpunkt unbekannt.

    Was ist mit dem darunterliegenden OS? Wird das wirklich durch Compiler-Switche und neue LibC Bibliotheken tatsächlich abgesichert? Ich wage es zu bezweifeln.

    Eine Industrieweite, konzertierte Aktion wäre hilfreicher als einzelne PR Maßnahmen, damit alle User (auch alte CPUs) entsprechende Absicherungen bekommen.

    • Am 17. Januar 2018 um 8:55 von Klaus

      Die Aussage ist auh wenig hilfreich: „Seit Dezember seien alle Dienste der Google Cloud Platform (GCP) vor Meltdown und Spectre geschützt. Kunden hätten jedoch von den Veränderungen nichts bemerkt.“

      Natürlich hat im Dezember das noch kein Kunde bemerkt, Spectre und Meltdown waren ja zu diesem Zeitpunkt nur den CPU Herstellern nebst Betriebssystem Entwicklern bekannt.

      Problematisch dürfte auch weniger die CPU Last, sondern eher der Durchsatz der Laufwerke sein. Was bei HDDs weniger Probleme zu machen scheint, soll wohl bei SSDs zu deutlichen Einbußen beim Durchsatz zur Folge haben.

      Am Ende des Tages ist das wirklich Dramatische nicht, dass Meltdown und Spectre nicht in den Griff zu kriegen waren, sondern dass nun bekannt ist, dass es auf Hardware Basis überhaupt derart schwerwiegende Bugs geben kann. Und das werden vermutlich nicht die letzten gewesen sein.

      Denn nun werden sich alle auf die Suche begeben, und jeder gefundene Bug wird ebenso dramatisch werden, wie Spectre und Meltdown.

      Vielleicht erhält Sicherheit ja dann endlich die angemessene Priorität, die sie verdient hätte. Also weg von Performance über Alles und hin zu performant und sicher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *