Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.683.110 Produkten

Olivia von Westernhagen 1401

Massive Lücke in Intel-CPUs erfordert umfassende Patches

Massive Schwachstelle in Intel-CPUs erfordert umfassende Patches

Derzeit arbeiten Linux- und Windows-Entwickler mit Hochdruck an umfangreichen Sicherheits-Patches, die Angriffe auf Kernel-Schwachstellen verhindern sollen. Grund für die Eile: eine Intel-spezifische Sicherheitslücke.

In Intel-CPUs steckt nach derzeit bereits kursierenden Informationen eine Sicherheitslücke, die nur aufwendige Sicherheits-Patches in Betriebssystemen schließen können. Auslöser für die Mutmaßungen ist unter anderem das außergewöhnlich hohe Tempo, in dem die Entwickler des Linux-Kernels derzeit an einem Feature namens "kernel page-table isolation" (KPTI) arbeiten. Es soll dem Ausnutzen von Kernel-Sicherheitslücken entgegenwirken, die auf der Kenntnis virtueller Speicheradressen basieren.

Anzeige

Das KPTI-Feature, das von seinen Erfindern zunächst die Bezeichnung KAISER erhielt, erfordert massive Umbaumaßnahmen des Kernels im Bereich der virtuellen Speicherverwaltung: Bereits vor zwei Wochen umfasste die Linux-KPTI-Patch-Serie laut LWN.net über 50 einzelne Patches. Das Sicherheits-Feature soll jedoch nicht nur Bestandteil der neuen Linux-Kernel-Version 4.15 sein, sondern auch in ältere stabile Kernel-Versionen rückportiert werden. Version 4.14.11 wurde bereits um KPTI aufgerüstet.

Massive Lücke in Intel-CPUs erfordert umfassende Patches
Windows-Experte Alex Ionescu veröffentlichte Screenshots von NT-Kernel-Patches (via Twitter)

Auch Microsoft hat auf die derzeit nicht näher bezeichnete Bedrohung reagiert: Windows-Experte Alex Ionescu veröffentlichte bereits im November 2017 zwei Screenshots von NT-Kernel-Patches, die das KPTI-Prinzip implementieren und die derzeit in Insider-Builds von Windows 10 erprobt werden.

Die so genannte "kernel address space layout randomization" (KASLR) ist bereits seit mehreren Jahren Bestandteil aller gängigen Betriebssysteme. Sie soll mittels zufälliger Zuordnung virtueller Adressen zu Betriebssystem-Prozessen bei jedem Reboot Angriffe auf Kernel-Schwachstellen erschweren. Allerdings wurden in den vergangenen Jahren schon mehrfach Techniken wie etwa Double-Page-Fault- und Sidechannel-Angriffe vorgestellt, die an KASLR vorbei Informationen über eigentlich geschützten Speicher beschaffen.

Vor diesen Angriffen soll KPTI schützen – durch konsequente Trennung der Seitentabellen für Kernel- und User-Space ("page table splitting"). Statt wie bislang mit nur einer (mehrstufigen) Seitentabelle pro Prozess zu arbeiten, wird hierzu eine Tabellen-Kopie ("shadow page table") angefertigt. Der laufende Prozess sieht auf dieser Kopie lediglich seinen eigenen Speicherbereich sowie einige wenige Speicheradressen des Kernel-Mode-Codes, die für Systemaufrufe und Interrupts benötigt werden. Die Originaltabelle samt Mapping des vollständigen Adressraums kommt hingegen nur im Kernel-Mode zum Einsatz.

Der Wechsel zwischen den Seitentabellen hat zur Folge, dass jeder Systemaufruf oder Interrupt mit Performance-Einbußen einhergeht. Diese können offenbar stark variieren: Die ursprünglichen KAISER/KPTI-Entwickler erwähnen in ihrem Whitepaper eine um 0.28 Prozent erhöhte Laufzeit; die Linux-Entwickler ermittelten Werte um die fünf Prozent.

Die Schwankungen dürften darauf beruhen, dass ältere Intel-Prozessoren bei jedem Seitentabellenwechsel den Translation Lookaside Buffer (TLB) – eine Art Zwischenspeicher für kürzliche referenzierte Speicheradressen – leeren. Neuere Prozessoren meistern dies dank so genannter process-context identifiers (PCIDs) besser.

Dass KASLR nicht mehr sicher ist, ist schon länger bekannt. Offen bleibt, welches konkrete Angriffsszenario auf Intel-CPUs für die derzeitige hektische Betriebsamkeit bei den Linux- und Windows-Entwicklern sorgt. AMD-Prozessoren sollen nach Aussage eines AMD-Entwicklers übrigens nicht anfällig sein.

Anzeige

Mit weiteren Informationen rechnet man in den nächsten Tagen: Die großen Cloud-Anbieter Microsoft und Amazon haben erzwungene Reboots ihrer VMs zwischen dem fünften und dem zehnten Januar angekündigt, um "Sicherheits- und Wartungs-Updates" einzuspielen. (ovw)

1401 Kommentare

Themen:

Anzeige
  1. Stack Clash: Schwachstelle führt zu Rechteausweitung auf Linux- und BSD-Systemen

    Stack Clash: Schwachstelle führt zu Rechteausweitung auf Linux- und BSD-Systemen

    Die Stack Guard Page sollte eigentlich Stack-Overflow-Angriffe verhindern. Nun haben Sicherheitsforscher herausgefunden, wie man diesen Schutz von Unix-Systemen umgehen, oder besser: überspringen, kann.

  2. Bericht: Intel-Chip-Lücke in macOS High Sierra bereits gefixt – teilweise

    High Sierra

    Version 10.13.2 des Betriebssystems soll eine schwerwiegende Schwachstelle im Kernel in einigen Bereichen beheben. Ob das auch Auswirkungen auf die Performance hat, ist noch unklar.

  3. Linus Torvalds explodiert: "Manche Sicherheitsleute sind verfickte Idioten"

    Linus Torvalds explodiert: "Manche Sicherheitsleute sind verfickte Idioten"

    Der Ton auf der Kernel-Mailingliste ist mal wieder eskaliert. Linux-Chef Torvalds belegte Sicherheitsleute mit deftigen Schimpfwörtern, nachdem Google-Entwickler Kees Cook versucht hatte, Sicherheitspatches bei ihm einzureichen.

  4. Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

    Meltdown und Spectre: Link-Übersicht  zu Informationen von Hardware- und Software-Herstellern

    Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

  1. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Der neue Kernel bringt eine Schnellverarbeitungsweg für Netzwerkpakete und Grundlagen für neue Dateisystemfunktionen bei XFS. Zahlreiche neuen und verbesserte Treiber bringen Unterstützung für Grafikchips von ARM, Intel und Nvidia. Ferner gab es einen ganzen Schwung von Änderungen, um die Sicherheit zu verbessern.

  2. Die Neuerungen von Linux 4.15

    Linux-Kernel 4.15

    Das noch diesen Monat erwartete Linux 4.15 schützt vor den Auswirkungen der Sicherheitslücken Meltdown und Spectre. Ohne Performance-Verlust geht das aber auch bei Linux nicht. An weiteren Gegenmaßnahmen schrauben die Kernel-Entwickler bereits.

  3. Die Neuerungen von Linux 4.14

    Linux-Kernel 4.14

    Die neue Kernel-Version bringt Speicherverschlüsselung, einen neuen Schlafmodus und einige Performance-Verbesserungen. Außerdem überwindet sie eine Grenze, die auf die ersten 64-Bit-x86-Prozessoren zurückgeht.

  1. Test: Peugeot 308 SW BlueHDi

    Peugeot 308

    Peugeot bietet bereits erste Euro 6d-Motoren, etwa im überarbeiteten 308 SW. Wir fuhren ihn nach seiner in optischer Hinsicht zum Glück nicht weiter erwähnenswerten Modellpflege mit der Zweiliter-Diesel-Motorisierung

  2. Im Test: Nissan Qashqai 1.6 dCi

    Nissan Qashqai

    Der aktuelle Bestseller der Marke Nissan ist der Qashqai, und das mit weitem Abstand. Wir waren mit dem gerade überarbeiteten SUV in der aktuell motorisch maximalen Ausbaustufe unterwegs: Dem 1,6-Liter-Diesel mit 130 PS

  3. iPhone-Akku für 29 Euro: (Kleine) Schäden können Austausch viel teurer machen

    iPhone 6

    Viele Nutzer wollen ihre alte Batterie im Moment von Apple für nur 29 Euro ersetzen lassen, um ihr iPhone wieder zu beschleunigen, allerdings bemängelt der Hersteller mitunter Vorschäden am Gerät – und will dann mehrere hundert Euro für die Akkutausch.

  4. c't zockt analog: "Doom - Das Brettspiel" – Baller-Action mit Würfeln und Karten

    c't zockt LIVE heute ab 17 Uhr: ARK: Survival Evolved

    "Doom - Das Brettspiel" bringt die Action des Shooter-Urgesteins auf den Tisch und würzt sie mit einer ordentlichen Prise Taktik. Ab 17 Uhr legen wir Maus und Gamepad aus der Hand und schlüpfen in die Miniaturrollen schwer gerüsteter Marines und fieser Dämonen.

Anzeige