Microarchitectural Data Sampling (MDS): Aktueller Patch-Status

Patches für zahlreiche Betriebssysteme zur Abwehr von MDS-Angriffen stehen bereit. Google deaktiviert unter Chrome OS zusätzlich Hyper-Threading: Kunden müssen mit einem erheblichen Leistungsverlust rechnen.

Nachdem Sicherheitsforscher Details zu neuen Lücken in Intel-Prozessoren veröffentlicht haben, sollten entsprechende Rechner aktualisiert werden. Die Details zu den mit Microarchitectural Data Sampling (MDS) bezeichneten Angriffsszenarien hatten die Forscher bereits vor einem Jahr an die Prozessor- und Betriebssystemhersteller übermittelt. Diese hatten also genügend Zeit, entsprechende Patches zu entwickeln.
Zombieload (Bild: Zombieload.com)
Insgesamt sind vier MDS-Angriffe bekannt, wobei Zombieload als der gefährlichste von allen gilt:

  • CVE-2018-12126 – Microarchitectural Store Buffer Data Sampling (MSBDS)[Codename Fallout]. 
  • CVE-2018-12127 – Mikroarchitektonische Lastportdatenerfassung (MLPDS)
  • CVE-2018-12130 – Microarchitectural Fill Buffer Data Sampling (MFBDS)[Codename Zombieload, oder RIDL] 
  • CVE-2019-11091 – Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

Sofern Patches noch nicht verfügbar sind, empfiehlt Intel die Deaktivierung von Simultaneous Multi-Threading (SMT), auch bekannt als Hyper-Threading. Dadurch sinkt allerdings die Performance des Intel-Prozessors erheblich.

Intel

Intel teilt mit, dass es aktualisierte Mikrocode-Updates für PC- und Motherboard-Hersteller veröffentlicht hat. Allerdings ist unklar, welche Mainboards und PCs in den Genuss neuer BIOS-Updates gelangen.

Außerdem hat Intel eine Liste der betroffenen Prozessoren veröffentlicht (PDF), die detaillierte Informationen über den Status der verfügbaren Mikrocode-Updates für jedes CPU-Modell enthält.

Microsoft

In einem Sicherheitshinweis beschreibt Microsoft, wie es mit Updates für seine Betriebssysteme vor den Gefahren der vier MDS-Schwachstellen schützt. Demnach stehen entsprechende Aktualisierungen für Windows und Windows Server, aber auch für SQL Server zur Verfügung.

Azure-Clients sind bereits geschützt, da Microsoft bereits Maßnahmen ergriffen hat, um seine Cloud-Infrastruktur zu patchen und die Bedrohung zu minimieren.

Apple

Mit der Bereitstellung von macOS Mojave 10.14.5 reagiert Apple auf die neuen Lücken in Intel-Prozessoren. „Dieses Update verhindert die Ausnutzung dieser Schwachstellen über JavaScript oder durch die Navigation zu einer bösartigen Website in Safari“, schreibt Apple. Der Fix hat keine „messbaren Auswirkungen auf die Leistung“, fügte das Unternehmen hinzu. iOS-Geräte verwenden CPUs, die nicht anfällig für MDS sind.

Linux

Redhat und Ubuntu haben bereits Patches ausgeliefert, sodass ein Großteil der Linux-Distributionen vor den Schwachstellen geschützt ist. Das gilt beispielsweise auch für die auf Ubuntu basierende und sehr beliebte Linux-Distribution Mint.

Linux Mint: Intel-Microcode-Update Mai 2019 (Screenshot: ZDNet.de)

Google

Google hat eine Hilfeseite veröffentlicht, die den Status jedes Produkts auflistet und aufzeigt, wie es von den MDS-Angriffen betroffen ist.

Für seine Cloud-Infrastruktur sind bereits alle erforderlichen Schutzmaßnahmen umgesetzt.

Ab Chrome OS 74 hat Google Hyper-Threading deaktiviert. Dies schützt vor MDS-Angriffen, sagte Google.

Wie bei iOS-Geräten sind auch die allermeisten Android-Smartphones oder Tablets von den Schwachstellen nicht betroffen, da in diesen kein Intel, sondern eine ARM-CPU zum Einsatz kommt. Nutzern eines Android-Smartphone mit einem Intel-Prozessor empfiehlt Google den Hersteller zu kontaktieren.

Amazon

Wie Google und Microsoft teilt Amazon mit, dass es bereits Patches für seine Cloud-Server eingspielt hat. Als allgemeine Best Practice im Bereich der Sicherheit empfiehlt Amazon seinen Kunden, ihre Betriebssysteme oder Software zu patchen, sobald relevante Patches verfügbar sind. Die fraglichen MDS-Patches stehen in aktualisierten Kernel und Mikrocode-Paketen für Amazon Linux AMI 2018.03 und Amazon Linux 2 in den jeweiligen Repositories (ALAS-2019-1205) zur Verfügung.

AMD

Prozessoren von AMD sind von den MDS-Schwachstellen nicht betroffen.

Themenseiten: AWS, Apple, Google, Intel, Meltdown, Microsoft, Spectre

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Microarchitectural Data Sampling (MDS): Aktueller Patch-Status

Kommentar hinzufügen
  • Am 18. Mai 2019 um 12:36 von C

    Es gibt weitere Exploits – insbesondere für die Intel ME (Management Engine). Diese sind auch Remote angreifbar. D. h. SOFORT alle Intel-Systeme in der DMZ Patchen!

    Das Intel überhaupt Schrott-Prozessoren liefert und noch verkauft, zeigt die Dummheit der Käufer auf.
    Das Intel keine Patches für ältere Prozessoren liefert ist ein Skandal sondersgleichen. Boykott ist die einzig richtige Antwort!

  • Am 15. Mai 2019 um 14:39 von Gast

    Für diejenigen, die Prozessoren besitzen, für welche Intel laut Liste keine Updates bereitstellen wird, bleibt also als eine Lösung, die Deaktivierung des Hyperthreading, so wie es schon bei Foreshadow geholfen hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *