Bericht: Patch für Sicherheitslücke in Intel-CPUs bremst Windows und Linux aus

Es handelt sich offenbar um einen Designfehler. Zu dessen Behebung sind Änderungen am Kernel erforderlich. Die wiederum reduzieren die CPU-Leistung nach ersten Tests je nach Arbeitslast um bis zu 30 Prozent.

In nicht näher genannten Prozessoren von Intel steckt offenbar eine schwerwiegende Sicherheitslücke. Da es sich wie The Register berichtet um einen Design-Fehler handelt, sollen umfangreiche Änderungen am Linux- und Windows-Kernel notwendig sein, um die Schwachstelle zu beseitigen. Die Updates sollen zudem eine unerwünschte Nebenwirkung haben: Ersten Benchmark-Tests zufolge können sie ein System unter Umständen um bis zu 30 Prozent verlangsamen.

Achte Core-Generation (Bild: Intel)Die Details zu der Anfälligkeit werden derzeit noch unter Verschluss gehalten. Microsoft soll seinen Patch am kommenden Dienstag im Rahmen des Januar-Patchdays bereitstellen. Die Korrekturen sollen aber bereits in Vorabversionen von Windows 10 eingeflossen sein, die im November und Dezember an Windows Insider verteilt wurden. Außerdem sollen schon Patches für den Linux-Kernel verfügbar sein – die Kommentare im Quellcode wurden jedoch unkenntlich gemacht, um keine Hinweise auf die Fehlerursache zu liefern.

Trotzdem sind dem Bericht zufolge einige Informationen über den Bug durchgesickert. Er soll Intel-Prozessoren betreffen, die in den vergangenen zehn Jahren hergestellt wurden. Anwendungen wie Datenbanken oder auch JavaScript sollen in der Lage sein, auf bestimmte geschützte Bereiche des Kernel-Speichers zuzugreifen. Als Fix soll nun der Kernel-Speicher vollständig von Nutzerprozessen getrennt werden.

Die Performanceverluste entstehen dabei, weil derzeit Kernel Mode und User Mode bestimmte Speicher-Adressbereiche gemeinsam nutzen, was den Wechsel zwischen Kernel Mode und User Mode beschleunigt. Der Kernel-Speicher ist dabei für den laufenden Prozess unsichtbar – was durch den Bug jedoch nicht mehr gewährleistet ist. Die Trennung der Adressbereiche hat zur Folge, dass beim Wechsel zwischen Kernel Mode und User Mode auch zwischen zwei Adressebereichen gewechselt werden muss. Das sei zeitaufwendig, weil der Prozessor zwischengespeicherte Daten ablegen und anschließend neu laden müsse.

Neben Windows und Linux soll auch Apples Mac OS X betroffen sein, das ebenfalls auf Intel-CPUs ausgeführt wird. Auch hier soll ein Software-Update auf OS-Ebene notwendig sein.

Wird die Schwachstelle nicht behoben, können Hacker laut The Register Inhalte des Kernel-Speichers auslesen und damit möglicherweise auch andere Sicherheitslücken leichter oder effektiver ausnutzen. Außerdem lasse sich unter Umständen die Sicherheitsfunktion Kernel Adress Space Layout Randomization aushebeln.

Ein Software-Entwickler, der sich selbst Python Sweetness nennt, weist zudem auf mögliche Folgen für Virtualisierungsumgebungen und auch Cloud-Plattformen wie Amazon EC2 und Google Compute Engine hin. „Im schlimmsten Fall verursacht der Software-Fix erhebliche Verzögerungen bei typischen Arbeitslasten“, schreibt er in seinem Blog.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Intel, Linux, Prozessoren, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Bericht: Patch für Sicherheitslücke in Intel-CPUs bremst Windows und Linux aus

Kommentar hinzufügen
  • Am 4. Januar 2018 um 0:32 von C

    Das wird teuer für Intel… auf die eine oder andere Weise. Sollte es kein CPU-Austausch-Programm geben, wird Intel massiv abrutschen.

    Google (Project Zero) behauptet, dass auch AMD & ARM generell betroffen sind. AMD hat dementiert. Mal sehen, was da nun wirklich stimmt.

    Die Intel-CPU-Performance geht in jedem Fall mit den I/O´s baden (-30% ist schon eine Haus-Nummer). Hier werden vor allem RZ-Betreiber achten müssen. HW-Bugs mit SW (OS-Patches) beheben zu wollen, ist nicht die schnellste Art – eben.

    Intel hat hier ein Deja-vu (siehe Pentium FDIV Bug) – und hat NICHTS daraus gelernt. Marge & Bonus für die Manager – eben. Die Aktionäre sollten lernen – tun sie aber nicht. Gier frisst Hirn. Und Marketing-Blender haben Konjunktur. Die User sollten lernen – und Intel daher meiden. Nur durch Schmerz lernen diese Leute, siehe Brent Spar.

    @Klaus – der Unwissende:
    Meine alten Rechner (Pentium-MMX – 1996 bzw. Pentium-III – 1999) sind NICHT davon betroffen. Du hattest ja stets & pauschal immer zu neueren CPUs geraten – auch wenn das gar nicht von der Anforderung her nötig war. Der Pentium-MMX hat den FDIV Bug nicht. Von daher: ALT muss nicht schlecht sein und kann noch leisten, auch wenn DU das nicht verstehen kannst.

  • Am 4. Januar 2018 um 1:40 von Gast

    Interessant ist ja die Stellungnahme Intels, dass auch andere Hersteller betroffen sein sollen (https://newsroom.intel.com/news/intel-responds-to-security-research-findings/) obwohl AMD dies irgendwie verneint (http://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/).
    Nun ja, vorerst mal alles mit VT-x, VT-d, Prefetch usw. im BIOS deaktiviert, falls es damit zusammenhängt.
    Privat kann man das ja machen…aber Azure, AWS,…..

  • Am 4. Januar 2018 um 4:38 von jochen

    es kommen immer neue Fehler zu tage und das auf kosten der Sicherheit und auf dem rücken der Konsumenten

  • Am 4. Januar 2018 um 8:59 von Klaus

    Einerseits werden die Systeme immer komplexer, andererseits die Innovationszyklen kürzer. Es muss daher immer ein Kompromiss zwischen Fehlerfreiheit und Geschwindigkeit gefunden werden. Das klassische Qualitätsdreieck. Auch ist klar, dass nicht jeder Fehler sofort entdeckt werden kann. Ich bin sicher, dass da noch Dutzende im Dornröschenschlaf sind. Ist halt unsere Welt, wir haben das gewollt – nobody is perfect, auch diejenigen nicht, die hier rummäkeln.

  • Am 4. Januar 2018 um 10:00 von ckOne

    soviel zu „sicheren Systemen“ !!!
    Das einzig sichere System ist eines ohne zugang von aussen und zwar weder über Netzanbindung noch durch User die sich zugang verschaffen könnten.
    Aber jetzt kommt bestimmt „Klaus der Appleanbeter“ und sagt das bei Apple alles sicher ist.

  • Am 4. Januar 2018 um 22:00 von Mac-Harry

    Bei Apple? Na ja, nicht sicher, aber sicherer. Ist doch auch was :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *