Ernste Sicherheitslücke in Intel-CPUs betrifft alle Betriebssysteme

Ernste Sicherheitslücke in Intel-CPUs betrifft alle Betriebssysteme

Intel kommt mit seinen Prozessoren derzeit nicht aus den Sicherheits-Schlagzeilen. Im November und Dezember geriet der Chip-Produzent aufgrund von mehreren Anfälligkeiten in der Intel Management Suite in die Kritik. Microsoft versuchte seinerzeit die Besitzer von Surface-Geräten zu beruhigen, weil sie von den Problemen nicht oder nur teilweise betroffen waren. Die Angelegenheit weitet sich nun aber in bedrohlicher Art und Weise aus.

Die derzeit vorliegenden Informationen lesen sich wie ein schlechter Kettenbrief: In den Intel-CPUs steckt eine ernste Sicherheitslücke, welche die Nutzer aller Betriebssysteme gefährdet, egal ob Windows, Linux oder MacOS. Die Lücke selbst wird wegen ihres Schweregrads unter Verschluss gehalten und kann durch einen Patch nicht vollständig geschlossen werden.

Bevor man jetzt aber panisch wird, sollte man einfach in Ruhe abwarten, denn etwas anderes kann man derzeit ohnehin nicht tun. Nur Besitzer eines AMD-Systems dürfen sich unabhängig von Details bereits schadenfroh die Hände reiben, sie geht das alles nichts an.

Die Lücke kann es einem unprivilegierten Prozess ermöglichen – also einem, der mit normalen Nutzerrechten gestartet wurde – auf sensible Speicherinhalte zuzugreifen, zum Beispiel auch auf den besonders geschützten Kernel-Bereich. Es gibt Workarounds – Microsoft hat wohl bereits im November damit begonnen, die Schwachstelle abzufangen, und auch der Linux-Kernel wurde kürzlich aktualisiert, allerdings können diese ersten Schutzmaßnahmen zu erheblichen Performance-Einbußen führen. Eine effektive Beseitigung der Sicherheitslücke ist offenbar nur durch eine Änderung am Hardware-Design möglich.

Noch ist es natürlich viel zu früh, um darüber zu spekulieren, ob Intel womöglich eine groß angelegte Rückruf- und Umtauschaktion starten muss – am morgigen 4. Januar sollen ausführliche Informationen veröffentlicht werden, dann wird wohl auch Microsoft darlegen, wie sie Windows gegen diese Sicherheitslücke absichern wollen. Erste „Vorboten“ gibt es schon – für die Azure-VMs wurde für den 10. Januar ein wichtiges Sicherheitsupdate angekündigt, welches offenbar im Zusammenhang mit diesem Fall steht. Auch Amazon hat bereits eine vorsorgliche Warnung an seine Kunden verschickt, dass am Freitag ein wichtiges Sicherheitsupdate durchgeführt werden muss.

Wie Computerbase berichtet, wurde in der Nacht ein neuer Linux-Kernel (4.14.11) veröffentlicht, der über die Funktion Kernel Page Table Isolation (KPTI) verfügt. Ist diese aktiv, kann jeder Prozess nur noch seinen eigenen Speicherbereich sehen. Der weiterhin mögliche Durchgriff auf z.B. den Kernel-Speicher wird dadurch verhindert, dass die User-Prozesse diesen einfach nicht mehr sehen können.

Anders als sonst, wo Sicherheitslücken unabhängig von ihren tatsächlichen Auswirkungen gerne mal aufgebauscht werden, scheinen wir es hier den ersten Eindrücken nach mit einer wirklich ernsten und großen Sache zu tun zu haben.

Quelle: TheRegister via: BornCity

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. MSPU spricht in seinem Artikel zu diesem Thema, von Performance-Einbrüchen zwischen fünf und dreißig Prozent bei einem gepatchten Windows mit Intel-CPU.
    Oh mein Gott... Das klingt echt übel. Hoffentlich kann das mit einem Update gefixt werden. Ich habe gerade echt andere Sorgen, als mir ein neues Notebook zu kaufen. Oh man... :(
    Ach ne wie schön. Habe einen Skylake im PC, da zu der Zeit als ich Performance brauchte AMD nix anzubieten hatte. Erster Intel seit dem Pentium 3 und gleich mal schön auf die Nase fallen. Das gleiche Glück hatte ich mit meiner bisher einzigen Nvidia Grafikkarte. Naja, ich schweife ab.
    So oder so, schauen wir mal was die Woche noch so alles raus kommt. Ich hoffe Microsoft tut auf OS Ebene was getan werden muss, egal wie eng die Beziehungen zu Intel sind. Und normalerweise bekommen die Leute bei Fedora einen neuen Kernel auch schnell fertig für einen Stable Release.
    Schon jetzt kann man sich aber wieder auf die Top informierten Beiträge in den 8 Uhr Nachrichten und Lokalzeitungen freuen. Wird wie immer lustig.
    Ach ne wie schön. Habe einen Skylake im PC, da zu der Zeit als ich Performance brauchte AMD nix anzubieten hatte. Erster Intel seit dem Pentium 3 und gleich mal schön auf die Nase fallen. Das gleiche Glück hatte ich mit meiner bisher einzigen Nvidia Grafikkarte. Naja, ich schweife ab.
    So oder so, schauen wir mal was die Woche noch so alles raus kommt. Ich hoffe Microsoft tut auf OS Ebene was getan werden muss, egal wie eng die Beziehungen zu Intel sind. Und normalerweise bekommen die Leute bei Fedora einen neuen Kernel auch schnell fertig für einen Stable Release.
    Schon jetzt kann man sich aber wieder auf die Top informierten Beiträge in den 8 Uhr Nachrichten und Lokalzeitungen freuen. Wird wie immer lustig.

    Ja, da hast du recht, das wird wieder ein echter Zirkus
    Aber bin mal am Freitagabend auf die "aktuelle Stunde" gespannt. In der Rubrik "angeklickt (nur freitags) wird bestimmt auch darüber berichtet. Aber die berichten neutral über solche Themen und geben Tipps was man als Verbraucher machen kann.
    Mal schauen ob heute Abend in Stern TV was zu dem Thema kommt.
    Das ist nicht gut und kann jeden Hersteller treffen.
    Auf der anderen Seite hab ich meinen ersten AMD im PC verbaut und ich gestehe es juckt schon ein wenig in den Fingern die Intel Fanboys zu ärgern.
    Ne, mach ich eh nicht.-)
    heise hat Tests durchgeführt, die nach der Behebung der Schwachstelle gemacht wurden.
    Update vom 3.1.2018
    Mit dem nun verfügbaren Linux-Kernel 4.14.11, in dem PTI für betroffene Intel-Prozessoren (und vorläufig auch alle AMD-Prozessoren) nun aktiviert ist, wurden die ersten Benchmarks durchgeführt und die erwiesen sich bisher nicht als auffällig. Die Tests von Phoronix schwanken in der Messungenauigkeit. Teils sind gepatchte Systeme sogar einen Hauch schneller als ungepatchte Systeme. Die Befürchtung, dass sich der Patch zur Umschiffung der Sicherheitslücke in Intel-Prozessoren auch auf die (Spiele-)Leistung auswirkt, scheint sich also nicht zu bestätigen. Das muss aber nicht heißen, dass es nicht prinzipiell Einbußen unter Linux geben kann, denn im synthetischen Test der Aufsummierung aller Dateigrößen lieferte das System eine 28 Prozent schlechtere Performance. Der Unterschied zwischen 0,64 und 0,82 Sekunden ist kaum relevant, aber messbar. Ebenso wie es messbar war, dass eine SQL-Datenbank 7 Prozent langsamer arbeitet. Dahingegen ist das Videoencoding nicht messbar langsamer auf einem gepatchten System.
    Ach ne wie schön. Habe einen Skylake im PC, da zu der Zeit als ich Performance brauchte AMD nix anzubieten hatte. Erster Intel seit dem Pentium 3 und gleich mal schön auf die Nase fallen. Das gleiche Glück hatte ich mit meiner bisher einzigen Nvidia Grafikkarte. Naja, ich schweife ab.

    Macht nix die Lücke hatte schon der abgelegte Pentium 3. Als zahlender Kunde bist du halt jetzt in den Arsch gekniffen und musst dann mit den Geschwindigkeitseinbußen leben oder halt einen neuen Prozessor samt Mainboard kaufen. Ich stell mich jetzt schon mal auf die ganzen Hilfe mein PC ist seit dem update langsam Threads ein. Wird eh jetzt erst interessant intel wollte die aktuelle Architektur nämlich noch ein paar Jährchen mitnehmen
    Mein nächster PC wird dann wohl AMD. Anfang des letzten Jahres die AMT Lücke, jetzt wieder Intel mit Sicherheitslücken. Nicht gut.
    So wie ich es verstanden habe, könnte man die Sicherheitslücke schon im Mikrocode schließen, also nahe an der Hardwarebene, nur lässt Intel das aus Betriebsgeheimnisgründen nicht zu. Nur deswegen müssen nun alle Betriebssystemhersteller dieses Problem selbst angehen bzw. umgehen. Ich stecke da aber auch technisch zu wenig drin, um es wirklich beurteilen zu können. Gut ist es auf jeden Fall nicht.
    Wobei zumindest bisher unter gepatchen Linux-Systemen kaum bis keine Performanceeinbrüche zu beobachten waren. Im messbaren Bereich, aber nicht spürbar in der Anwendung. Bleibt abzuwarten, wie es unter Windows aussehen wird.
    Davon aber abgesehen: Das ist schon ein Hammer. Über Jahre unentdeckt?
    Ist davon jetzt eigentlich wirklich jeder Intel-Prozessor und jede Generation des letzten Jahrzehnts betroffen, oder "nur" einige? Klar eingegrenzt ist das bisher noch nicht, oder?
    @NurEinUser: Welche Linuxversionen sind denn offizielschon gepatcht?
    Nach
    https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-EPYC-Linux-4.15-Test
    gibt es den Patch seit 1 Woche. Er wurde aber noch n keine Distri gepatcht.
    Nach Larabel ist die Aussage "kaum bis keine Performanceeinbrüche zu beobachten waren" so nicht richtig.
    Es gibt deutliche Einbussen bei der Performance und weiterführende Benchmarks müssen noch gemacht werden.
    Sein ersten Benchmarks zeigten Leistungseinbrüche um die 15%.
    https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=2
    @NurEinUser: Welche Linuxversionen sind denn schon gepatch?

    Das kann ich dir im Detail auch nicht sagen. Ich berufe mich da nur auf einige Meldungen, die sich auf den schon gepatchten Kernel 4.14.11 beziehen.
    Noch als Nachtrag: Die genannten starken Performanceeinbußen scheinen sich "nur" bei bestimmten Rechenoperation zu zeigen, die besonders auf Servern und bei Datenbanken zum Einsatz kommen. Der normale Heimanwender wird davon voraussichtlich nicht viel merken.
    So oder so, ein kleiner (vielleicht sogar großer) Gau ist das schon. Mal sehen, was die nächsten Tage noch für Informationen an die Öffentlichkeit gelangen und wie es sich real dann wirklich auswirken wird...
    Bei meinem Hp Spectre x360 (2015) kam an Silvester ein Bios Update. Hoffe, dass die Lücke geschlossen wurde.
    Aber wie verhält es sich bei meinem Samsung R730 i3, der mit Sicherheit kein Update von Samsung bekommen wird, da er zu alt ist?
    Bei meinem Hp Spectre x360 (2015) kam an Silvester ein Bios Update. Hoffe, dass die Lücke geschlossen wurde.

    Nein, mit dem Bios hat das in diesem Fall nichts zu tun. Die Lücke muss auf der Betriebssystemebene abgefangen werden.
    Das Timing ist perfekt, um die Sicherheit bei always connected PCs hervorzuheben... Scherz ;-)

    :D
    also ehrlich gesagt klingt das alles ziemlich beunruhigend, bei uns läuft zur zeit alles auf Intel und ich hab keine Lust auf performance-Einbußen...
    Noch als Nachtrag: Die genannten starken Performanceeinbußen scheinen sich "nur" bei bestimmten Rechenoperation zu zeigen, die besonders auf Servern und bei Datenbanken zum Einsatz kommen. Der normale Heimanwender wird davon voraussichtlich nicht viel merken.
    So oder so, ein kleiner (vielleicht sogar großer) Gau ist das schon. Mal sehen, was die nächsten Tage noch für Informationen an die Öffentlichkeit gelangen und wie es sich real dann wirklich auswirken wird...

    Das ist sogar der Super-GAU schlechthin. Wenn man bedenkt, wie viel Kohle in Rechenzentren dadurch möglicherweise versenkt wurde, will ich gar nicht wissen, was da für eine Welle auf Intel zuschippert. Zumal das Problem anscheinend alles andere als neu ist und, wie nicht anders zu erwarten war, versucht wurde, das alles ganz merkelesk auszusitzen.
    Im Update zum Artikel von Computer Base https://www.borncity.com/blog/2018/01/03/sicherheitslcke-bug-in-intel-cpus-bedroht-betriebssysteme/
    findet sich so wie ich das verstehe der test auf einer Windowsmaschine W10 17063. Die Leistungseinbussen liegen hier im selben Rahmen wie beim Linuxkernel 4.14.11
    Noch mehr Polemik!
    Mein Intel ist befähigt, einen Schadcode in seiner FPU auszuführen - SACRE BLEU!
    Was bewirkt er denn!? - 25% zügigere Elektromigration? Huhu~ Intel zwingt mich in die Konsequenz zum schnellen Neukauf!
    Meine Herren, ihr habt vielleicht Probleme... wir reden von High Tech, und Technik an sich, die stets Fehler hat, auch kritische. Mal die Release Notes der letzten Jahrzehnte von allen Betriebssystemen und Programmen gelesen? Und die Erde dreht sich trotzdem noch. Einfach mal selber an so etwas komplexem mitarbeiten und dann urteilen...
    Vor allem können so viele Hobbyisten alles so viel besser als die echten Profis... vor allem schön deutsch jammern.
    Ich kratze mich ein wenig ratlos am Kopf: welche Intel-CPUs sind denn wohl gemeint, wenn es erste Sicherheitsupdates für VMs geben wird. Server-CPUs oder alles vom ATOM bis dorthin. Und welche Generationen? Und die Management Suite ist bei meinem Desktop sowieso nicht installiert. Und dessen Celeron N3150 ist auch nicht auszutauschen...
    Für mich als Laie liest sich das alles schon ziemlich ärgerlich.
    Blöd ist, dass ich 2016 (weil das Angebot damals einfach so günstig war) auf Sockel 1150 gesetzt habe. Hätte vielleicht doch 1151 nehmen sollen. Nun habe ich 32 GB DDR3 RAM (und ich brauche wirklich so viel), den ich - sollte wirklich ein Upgrade nötig werden - nicht weiterverwenden kann. Schiet, ich hab damals unter 90,00 € inkl. Versand für die vier Riegel gezahlt. Mit den aktuellen Preisen nicht zu vergleichen.
    Naja. Vielleicht wird's am Ende ja gar nicht so schlimm. Ich hab keine Ahnung von der Materie, aber wäre es nicht möglich, den Sicherheit-vor-Performance-Code nur in Anwendungen einzusetzen, für die der wirklich nötig ist? Quasi als Zusatz zum "Gaming Mode" einen "Safety Mode" einführen?
    Die Schlagzeilen, die heute die Runde machen, sind natürlich nur bedingt geeignet, erst mal Ruhe zu bewahren, so wie ich das gefordert habe. "Riesen-Sicherheitslücke bei Intel, und der Patch wird deinen Rechner unbrauchbar machen" - meine Güte, es geht anscheinend nur noch um Klicks und nicht mehr um Information. Wie die Tests von heise und Computerbase zeigen, liegt die Performance-Einbußen in einem Bereich, der in der täglichen Nutzung vermutlich nicht mal spürbar ist.
    Mal sehen, wie sich die Lage darstellt, wenn alle Informationen vorliegen und die finalen Patches zur Verfügung stehen. Ich hatte daher gezögert, ob ich das Thema heute überhaupt schon anfassen soll.
    @Martin: Dein Artikel hat gepasst, hat nicht wie Clickbait gewirkt. Auf den bin ich eh längst bei anderen Publikationen angesprungen.
    :)
    Als Privatnutzer ist dann wohl erstmal "Abwarten und Tee/Bier/Wasauchimmer trinken" angesagt. Mich hat bei diesen News vorhin bloß wieder der Ärger über die derzeitigen RAM-Preise angesprungen. Meiner inneren Stimme der Vernunft und des Geldbeutels ("pufaxx braucht eigentlich kein Upgrade") wurden kurzzeitig gewichtige Gegenargumente geliefert.
    Naja. Richtig "Spaß" haben wahrscheinlich momentan diverse Server-Betreiber, Admins, kommerzielle Anbieter etc. ...
    Nachtrag: Hey, eventuell bringt mir das @work am Ende sogar einen anständigen Rechner ein. Was ich dem ollen Celeron dort mit meinen mega cleveren Excel-Kreuz-Quer-Verknüpfungen zumute, verträgt die Kiste nicht mehr lange. Meine Gesamtübersicht hat heute (hab's gestoppt) 35 Sekunden zum Laden gebraucht. Dabei hat die bloß 16 Megabyte.
    SSD zeigt geringere Leistung
    Einen größeren Ausschlag gibt es dann aber doch noch zu sehen. Auf einer zweiten SSD im System in Form einer Samsung 960 Pro im M.2-Speicherplatz zeigt sich im CrystalDiskMark in zwei von acht ermittelten Werten (Screenshot) ein Unterschied von knapp sieben Prozent, weitere liegen zwei bis vier Prozent zurück. Das deckt sich mit den oben verlinkten Datenbanken-Benchmarks.

    Das spüre ich schon seit langem - seitdem RS3 draußen ist. Besonders auffällig ist die gesunkene IOCTL-Performance. Generell können RS3 und RS2 es nicht aufnehmen mit der guten Performance von RS1. Microsoft suboptimiert auf den Desktop- und Workstation-Plattformen nur noch alles, stets zugunsten der Minderheit von mobilen Plattformen. Zuerst kriegt RS2 die Intel Speed Shift Technology integriert, welche die Performance und das Leistungsgefälle der FinFETs über deren Phasenregelschleife negativ beeinträchtigt und plötzlich wird 's mit der Einführung von RS3 entfernt. Na, wie findet man denn so etwas? Microsoft ...
    OliverL
    Meine Herren, ihr habt vielleicht Probleme... wir reden von High Tech, und Technik an sich, die stets Fehler hat, auch kritische. Mal die Release Notes der letzten Jahrzehnte von allen Betriebssystemen und Programmen gelesen?
    Da liegt auch das Problem. Denn die Einstufungen der Sicherheitslücken nach Schweregrad in den Dokumentationen sind weder über einen noch über alle Hersteller (von Software und Hardware) betrachtet konsistent. Da gibt es Sicherheislücken, die sich nur theoretisch mittels "Nippel durch die Lasche ziehen und mit der kleinen Kurbel ganz nach oben drehen" ausnutzen lassen und die als schwerwiegend bezeichnet werden und dann gibt es Lücken, die tatsächlich eine Gefahr darstellen, aber mit "Ist keine Lücke", "by Design", etc. abgetan werden.
    Bisher ist kaum etwas bekannt. Weder die wenigen Infos über die Lücke noch über die Updates eignen sich zu den in allen (Fach-)Medien gemachten Prognosen. Selbst wenn es derzeit zu Geschwindigkeitseinbußen kommt, muß das nicht so bleiben. Auch kann aus den angeblich hektischen Arbeiten von Linux- und Microsoft-Entwicklern nicht unbedingt auf den Schweregrad der Lücke geschlossen werden.
    Diese Sicherheitslücke wird mich nicht davon abhalten nach 31 Jahren mit CPUs von intel auch in Zukunft weiterhin auf diesen Hersteller zu setzen.
    Laut "Hardware Unboxed" hat das aktuelle Patch von Microsoft kaum Einfluss auf normale Desktopanwendungen und sogar mitunter positiven Einfluss auf die Gaming-Performance: https://www.youtube.com/watch?v=_qZksorJAuY
    Nachdem die normale Update-Funktion noch kein Update gefunden hat, hab ich's mir aus dem Microsoft Katalog heruntergeladen: Microsoft Update Catalog
    Installiert gerade. Mal schauen, was passiert. Wahrscheinlich werde ich nichts merken.
    andy1954
    Diese Sicherheitslücke wird mich nicht davon abhalten nach 31 Jahren mit CPUs von intel auch in Zukunft weiterhin auf diesen Hersteller zu setzen.

    Es ist doch alles bloß Publicity und Marketing seitens der Gegenfraktionen: Die üble Polemik, um die naive Käuferschicht auf eine Seite zu ziehen. Die sogenannte Sicherheitslücke mit ihrer angeblichen Verlustleistung von bis zu 30% hat bisher niemandem der Intel-Nutzer gejuckt und das nach einem Jahrzehnt derer Existenz, weil sie bloß in der Theorie aufrechterhalten bleiben kann. Im Übrigen habe ich die Zahlen gesehen ... Sie sind so etwas von zu vernachlässigen, dass diejenigen 3% geradezu lächerlich aussehen, da hat Haswell einen größeren Sprung in der IPC zu Ivy Bridge hingelegt und das will schon was heißen, weil es tendenziell zu vernachlässigen ist. Und selbst wenn es so ist ... Wen juckt 's? Es bedeute doch bloß, dass in einem Core i-Prozessor noch mehr Dampf stecke als er liefert und Ryzen sieht trotz 1/3 mehr Cores dennoch mit weitem Abstand nur die Rücklichter in der Gaming-Performance - Intel ist absolut konkurrenzlos! Qualcomm ist der einzige Mitstreiter, wer Intel in den kommenden Jahren in den A-A treten kann!
Nach oben