Sicherheitsrisiko Meltdown und Spectre
Ende letzten Jahres gab es vermehrt Gerüchte über eine massive Sicherheitslücke bei modernen Prozessoren. Betroffen seien Systeme (Linux, macOS, Windows und Hypervisors) sowie alle Prozessorarchitekturen (x86, x64, ARM, etc…)
Seit dem 4. Januar herrscht nun Gewissheit. Mit der Veröffentlichung von Meltdown/Spectre gibt es eine der grössten Schwachstellen in der IT-Infrastruktur seit langer Zeit. Dabei handelt es sich nicht um einen Software-Bug, sondern um einen «Designfehler» in den Prozessoren selbst. Die meisten heutigen Prozessoren haben in ihrer Architektur Gemeinsamkeiten, welche sich im Laufe der Jahre als quasi Standard etabliert haben. Unter Anderen handelt es sich dabei um die CPU-unterstützte Isolation von Prozessen und deren «Spekulative Ausführung». Die generelle Schwachstelle ist die implementation der Speicherisolation, damit die Prozessoren eine optimale Auslastung sprich Leistung haben.
Einfach gesagt erlaubt Meltdown es unprivilegierten Prozessen die Abgrenzung zwischen Kernel und Prozessspeicher zu umgehen und damit den vollständigen Kerneladressraum, der bei Linux und macOS basierten Betriebsystemen das komplette RAM und bei Windows einen großen Teil des physikalischen RAM umfasst, auszulesen. Spectre ist zwar verwandt mit Meltdown, nutzt jedoch einen Seitenkanal in der Mikroarchitektur, um Daten zu exfiltrieren.
Eine detaillierte Analyse des Problems findet man im Google Project Zero.
Das folgende Video von RedHat illustriert sehr gut und in nur 3 Minuten die Problematik.
Security Advisories
Fast sämtliche Hersteller in unserem Portfolio haben ein Security Advisory erstellt und teils auch bereits Patches für die Systeme bereitgestellt. Einige Patches können Leistungseinbrüche der Systeme von bis zu 30% zur Folge haben.
- Intel – https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html
- AMD – http://www.amd.com/en/corporate/speculative-execution
- ARM – https://developer.arm.com/support/security-update
- Microsoft – https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
- Apple – https://support.apple.com/en-us/HT208394
- Red Hat – https://access.redhat.com/security/vulnerabilities/speculativeexecution
- Check Point – https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122205
- Cisco – https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel
- F5 – https://support.f5.com/csp/article/K91229003
- RSA – https://community.rsa.com/docs/DOC-85418 (Auch als PDF Anhang, da nur mit Login verf�gbar)
- Dell – http://dell.to/2Fe4BIX
- Netapp – https://security.netapp.com/advisory/ntap-20180104-0001/
- VMware – https://www.vmware.com/
Sie dürfen uns bei Fragen auch gerne jederzeit kontaktieren.
- Published in News