Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.703.356 Produkten

Fabian A. Scherschel 230

Meltdown & Spectre: Google brüstet sich mit "unbemerkten" Cloud-Patches

Meltdown & Spectre: Google brüstet sich mit "unbemerkten" Cloud-Patches

Google hat die Super-GAU-Lücke nach eigenen Angaben schon vor Monaten gepatcht, ohne irgend jemandem was davon zu erzählen. Auch will man Spectre ohne Wenn und Aber gebannt haben, was den Aussagen der Entdeckern der Lücke widerspricht.

Forscher von Googles Project Zero waren maßgeblich an der Entdeckung und Erforschung der Sicherheitslücken Meltdown und Spectre beteiligt. Google wusste daher seit mindestens Mitte 2017 von den drei verschiedenen Sicherheitslücken und dem Einfluss der Patches auf die Performance der betroffenen Prozessoren. Nun brüstet sich die Firma damit, die ersten Patches schon im September, beziehungsweise im Oktober 2017 auf den eigenen Cloud-Servern ausgespielt zu haben. Kunden hätten dabei keine Performance-Verluste bemerkt ("no perceptible impact"). Der Allgemeinheit bekannt geworden waren die Lücken erst im Januar 2018.

Anzeige

Außerdem ist Google mächtig stolz auf seine Compiler-Modifikation Retpoline: Software, die mit Hilfe dieser Technik kompiliert wird, soll gegen die zweite Variante von Spectre komplett immun sein. Eine Behauptung, die den Einschätzungen in der akademischen Veröffentlichung der Entdecker der Lücken widerspricht. Google nennt seine Entdeckung einen "Moonshot" – eine unwahrscheinliche Entdeckung oder Leistung, in der viel Arbeit steckt und die revolutionäre Auswirkungen hat.

CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

Retpoline soll die spekulative Ausführung von Befehlen sicher und mit minimalen Performance-Verlusten ermöglichen; entgegen der früheren Vermutung der Google-Ingenieure, man müsse auf bestehender Hardware ganz auf spekulative Ausführung verzichten, um sicher zu sein. Im wissenschaftlichen Paper zu den Spectre-Lücken heißt es ebenfalls, man könne sich unmöglich sicher sein, ob man ein beliebiges Code-Konstrukt sicher auf aktuellen Prozessoren ausführen könne ("there is currently no way to know whether a particular code construction is, or is not, safe across today's processors").

Aber nicht nur Googles Behauptungen zur Retpoline-Technik widersprechen dem, was die Allgemeinheit bisher als gesichert angesehen hatte. Auch die Behauptung der Firma, die Patches hätten auf Produktiv-Servern zu keinen merklichen Performance-Verlusten geführt, decken sich nicht mit den Aussagen anderer Beobachter.

Nicht nur Microsoft sieht "signifikantere Verlangsamungen" bei Endnutzern und Servern. Auch High-End-Nutzer wie der Online-Spiele-Betreiber Epic Games und andere Firmen der selben Branche sehen deutliche negative Auswirkungen auf ihre Server. Ob Google diese Einbußen durch die eigene, bei Sysadmins legendäre, machtvolle Serverarchitektur auffängt, oder einfach nur besser patcht als andere Firmen, erklärt die Firma in ihrer Stellungnahme nicht.

Verwunderlich ist ebenfalls, dass Google offen zugibt, Patches für eine nicht öffentliche Lücke Monate vor deren Bekanntwerden eingespielt zu haben. Auf der einen Seite ist dies natürlich im Sinne der Google-Nutzer, auf der anderen Seite wirkt es unfair allen anderen Nutzern und den Mitbewerbern Googles gegenüber. Diese waren monatelang schutzlos, während Google die eigenen Systeme absichern konnte.

Natürlich liegt es in der Natur der Sache, dass der Entdecker einer Sicherheitslücke als erster Zugang zu Patches hat und es ist in der Security-Gemeinde auch Usus, Hersteller zu informieren, bevor eine Lücke öffentlich wird. Trotzdem hinterlässt Googles Stolz auf das eigene Können in diesem Fall wohl bei so manchem Beobachter einen üblen Nachgeschmack. Man fragt sich schon, ob die Entdecker der Lücke nicht lieber mehr Energie darauf verwendet hätten, Patches an die Allgemeinheit auszuliefern, anstatt die eigenen Server abzusichern.

Anzeige

(fab)

230 Kommentare

Themen:

Anzeige
  1. Microsoft-Browser Edge: Google veröffentlicht Zero-Day-Lücke, kein Patch in Sicht

    Microsoft-Browser Edge: Google veröffentlicht Zero-Day-Lücke, kein Patch in Sicht

    Der JIT-Compiler, der Microsofts Edge-Browser von Angriffscode aus dem Web isolieren soll, lässt sich selbst zum Einschleusen von Angriffscode missbrauchen. Google hat die dazugehörige Lücke nun veröffentlicht, ohne dass Microsoft Zeit zum Patchen hatte.

  2. Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

    Meltdown und Spectre: Link-Übersicht  zu Informationen von Hardware- und Software-Herstellern

    Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

  3. Meltdown und Spectre: Mitentdecker warnt vor erstem Schadcode

    Intels Co-Prozessor Xeon Phi

    Sicherheitsforscher Anders Fogh hat entscheidend zur Entdeckung von Meltdown und Spectre beigetragen. Er schätzt, dass es schon in Kürze erste Angriffe auf Computer geben wird. Funktionierende Werkzeuge dafür kursierten bereits im Netz.

  4. "Absoluter Müll": Linus Torvalds verliert die Geduld mit Spectre-Patches

    "Absoluter Müll": Linus Torvalds verliert die Geduld mit Spectre-Patches

    Nicht nur bei Intel sorgen die Sicherheitslücken Meltdown und Spectre nach wie vor für Kopfschmerzen: Auch Linux-Chef Torvalds verschickte jüngste eine mit Schimpfworten gespickte Mail. Die aktuellen Spectre-2-Patches gefallen ihm gar nicht.

  1. c't uplink 20.6: Meltdown und Spectre

    c't uplink 20.6: Meltdown und Spectre

    Großer Schwerpunkt in der aktuellen c't sind die Prozessor-Sicherheitslücken Meltdown und Spectre. In unserem Podcast aus Nerdistan widmen wir uns den Lücken und klären, was es damit auf sich hat und wie schlimm das alles wirklich ist.

  2. Kernel-Log: Neue Linux-Kernel verbessern Spectre- und Meltdown-Schutz

    Kernel-Log: Neue Linux-Kernel verbessern Spectre- und Meltdown-Schutz

    Neue Linux-Versionen der Stable- und Longterm-Kernel-Serien 4.15 und 4.14 verbessern vor allem den Schutz vor der Prozessorlücke Spectre. Vollständig sind die Gegenmaßnahmen der Kernel-Entwickler aber nach wie vor nicht.

  3. Die Neuerungen von Linux 4.15

    Linux-Kernel 4.15

    Mit einem neuen Ansatz versucht das jetzt erhältliche Linux 4.15 ein altbekanntes Stromsparproblem aus der Welt zu schaffen. Der neue Kernel verbessert den Support für AMDs aktuelle Grafikchips. Schutz vor Meltdown und Spectre ist auch dabei.

  1. Ermittlungen gegen Top-Manager aus VW-Motorentwicklung

    Auspuff, VW, Volkswagen, Abgas-Skandal

    Die Staatsanwaltschaft ermittelt im Rahmen des Dieselskandals gegen einen weiteren Manager von Volkswagen.

  2. Welt-Pressefoto des Jahres 2017: Die Nominierungen stehen fest

    Zivilisten während der Kämpfe um die irakische Stadt Mossul

    Bilder von Krieg und Frieden, Liebe und Hass, Natur und Naturzerstörung – mehr als 4500 Fotografen haben sich am World Press Photo Contest für das beste Pressefoto des Jahres 2017 beteiligt, nun steht die Vorauswahl für die besten Aufnahmen fest.

  3. Vorstellung: Volvo V60

    Volvo V60 2018

    Kurz vor dem Genfer Autosalon zeigt Volvo erste Bilder des zweiten V60. Der wird deutlich größer als sein Vorgänger und auch teurer. Bei der Gestaltung gibt es kaum neue Akzente: Der Kombi ist ganz im Stil der restlichen Modelle geformt

  4. Das Universum ist flach

    In den letzten Jahrzehnten haben Astronomen intensiv geprüft, ob wir in einem Universum leben, in dem sich die Lichtstrahlen geradeaus bzw. entlang einer Kurve fortsetzen. Auskunft darüber beantwortet die Frage nach der Geometrie des Universums - im großen Maßstab

Anzeige