Categories: Sicherheit

Windows 10 19H1 verhindert Spectre-Performanceverluste durch Retpoline-Patch

Das für kommendes Frühjahr erwartete Funktionsupdate von Windows 10, bislang unter dem internen Codenamen 19H1 bekannt, wird auch Googles Retpoline-Patch gegen Spectre-Angriffe auf die Branch-Target-Injection-Lücke integrieren. Das soll der Performance zugutekommen, denn dieser Patch erfordert nicht, die spekulative Ausführung oder andere Hardware-Funktionen abzuschalten, was die CPU-Performance stark beeinträchtigen kann.

Schon zuvor angewandte Methoden zum Schutz vor Spectre-Attacken sind Indirect Branch Restricted Speculation (IBRS) und Indirect Branch Predictor Barrier (IBPB), aber diese sind mit möglichen Performanceverlusten von 5 bis 30 Prozent verbunden. Google hingegen gelang mit einem Software-basierten Ansatz ein wirksamer Schutz vor der Spectre-Variante 2, der praktisch keine spürbaren Leistungseinbußen zur Folge hat. Retpoline bewährte sich schon länger in Googles Cloud-Infrastruktur und wurde bereits in Linux-Distributionen wie Red Hat, SUSE und Oracle Linux implementiert.

Mit dem Windows-10-Update wird auch Microsoft im nächsten Jahr den leistungsfreundlichen Fix übernehmen, bemerkte zuerst Sicherheitsexperte Alex Ionescu von Crowdstrike und machte es mit einem Tweet bekannt. Auf seinem Windows-19H1-System fiel ihm auf, dass jetzt „Retpoline Kernel“ aktiviert ist. Er ließ daraufhin auf seinem Surface Pro 4 ein Dateisystem-Benchmark laufen und bemerkte erheblich verbesserte Übertragungsgeschwindigkeiten, insbesondere bei kleineren Blockgrößen.

Ionescu zufolge kommt das zusätzliche Retpoline sowohl Systemen mit IBRS als auch IBPB zugute. Das auch auf Systemen mit nur IBPB aktivierte Retpoline sorge endlich für einen vollständigen Schutz vor Spectre-2-Attacken. IBRS-Systeme hingegen erlebten einen Leistungssprung.

Daraufhin bestätigte Mehmet Iyigun von Microsofts Kernel-Team für Windows und Azure den Retpoline-Einsatz: „Ja, wir haben Retpoline standardmäßig bei unseren 19H1-Testversionen aktiviert zusammen mit dem, was wir ‚Import-Aktivierung‘ nennen, um die Performance-Beeinträchtigung durch indirekte Aufrufe im Kernel-Modus weiter zu verringern. In der Kombination verringert das die Performanceverluste durch Spectre-2-Schutzmaßnahmen bei den meisten Szenarios auf ein Hintergrundrauschen.“

Ionesco meint allerdings, Microsoft hätte den eleganten Retpoline-Fix auch problemlos für das Oktober-2018-Update von Windows 10 übernehmen können, auch als Redstone 5 oder RS5 bekannt. Zusammen mit anderen empfiehlt er Microsoft dringend die Patch-Rückportierung zum aktuellen Windows 10, damit die schützende und leistungssteigernde Wirkung früher bei den Anwendern ankommt. „Warum wartet Microsoft weitere sechs Monate mit der Freigabe, nachdem das bereits auf BlueHat präsentiert wurde und wirklich gut auf 19H1 funktioniert?“ fragt er.

[mit Material von Liam Tung, ZDNet.com]

Bernd Kling

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

7 Stunden ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

7 Stunden ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

8 Stunden ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

8 Stunden ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

12 Stunden ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

13 Stunden ago