MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick

[doelf]

Unter den kryptischen Kürzeln MFBDS, MSBDS, MLPDS und MDSUM hat Intel vier neue Sicherheitslücken in seiner Prozessorarchitektur dokumentiert, welche überarbeitete Microcode-Updates sowie Anpassungen der Betriebssysteme erfordern. Zudem wird geraten, auf Hyper-Threading zu verzichten. Zeitgleich geistern neue Begriffe wie ZombieLoad, RIDL, Fallout und YAM (Yet Another Meltdown) durchs Netz, die weitere Schwachstellen vermuten lassen. Wir erklären, worum es geht und was jetzt zu tun ist.



Soviel vorweg: Nach bisherigen Erkenntnissen ähneln die vier neuen MDS-Angriffe dem ursprünglichen Meltdown. Sie können dem Gastsystem einer virtuellen Maschine Zugriff auf Daten des Hosts geben sowie Intels "Software Guard eXtensions" (SGX) und die Adresswürfelung (ASLR) aushebeln. Zuweilen funktionieren die Angriffe auf neuen CPUs, welche Intel bereits mit ersten Schutzmaßnahmen versehen hat, besser als auf älteren Prozessoren. Die gute Nachricht: AMD, ARM und IBM sind diesmal nicht betroffen.

Zum Artikel: MDS-Angriffe - Die neuen CPU-Sicherheitslücken im Überblick

[Mausolos]

Danke. Ein sehr interessanter Artikel.
Da bin ich mal gespannt, wann das nächste Update für Kernel und Intel Microcode von den Linux-Distributionen verteilt wird und wie dann die neue Ausgabe der „CPU Vulnerabilities“ aussieht.

Code: Alles auswählen

grep . /sys/devices/system/cpu/vulnerabilities/*

Wahrscheinlich sind das noch längst nicht die letzten CPU-Sicherheitslücken, die veröffentlicht werden (müssen).

[Plutoman]

Hallo,

wenn keine Updates für Windows 7 kommen. Dann geht die ganze Geschichte, ehrlich gesagt "INTEL" am A... vorbei.

Siehe WoW. Druck gemacht, schon kam die DirectX 12 Unterstützung für Win 7.

Gruß
Waldemar

[doelf]

Für Intel ist das doch ein tolles Geschäft. Man muss gar nicht mehr schneller werden, sondern einfach nur etwas sicherer.

[Mausolos]

So schaut das jetzt unter Linux auf einer Intel Core i5 4xxx CPU aus:

Code: Alles auswählen

$ grep . /sys/devices/system/cpu/vulnerabilities/*

/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: SMT disabled, L1D conditional cache flushes
/sys/devices/system/cpu/vulnerabilities/mds:Mitigation:Clear CPU buffers; SMT disabled
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB, RSB filling

Interessant ist, dass das Paket für den neuen Intel-Microcode das Datum 14. Mai 2019 trägt. — Das war noch vor der offiziellen Veröffentlichung.
ucode-intel-20190514

Neu ist der Kernel-Bootparameter «mitigations=off», falls jemand ohnehin in einer sicheren Umgebung arbeitet und daher die gesamten Fixes der CPU-Sicherheitslücken auf einmal abschalten will. Allerdings funktioniert das beim Linux LTS-Kernel 4.4.179 anscheinend doch nicht vollständig:

/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: SMT disabled, L1D vulnerable
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable; SMT disabled
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: IBRS+IBPB