Scharfe Kritik an Intels späten Sicherheitsupdates

Am 12. November hat Intel eine lange Liste von Sicherheitsupdates angekündigt, darunter einen weiteren Patch gegen Zombieload v2. Diese auch als TSX Asynchronous Abort (TAA) bekannte Schwachstelle ist nach Aussage des Teams VUSec seit mehr als einem Jahr bekannt und noch immer nicht vollständig geschlossen. Das "schade Nutzern [der betroffenen Prozessoren], die unwissentlich schweren Sicherheitslücken ausgesetzt sind", meldet das VUSec-Team via Twitter und verweist auf einen Artikel der New York Times dazu.

Die Autoren von der Vrije Universiteit Amsterdam, die zu den Entdeckern von Zombieload/RIDL gehören, bemängeln zudem, dass Intel im Rahmen der koordinierten Veröffentlichung dieser Sicherheitslücken sehr lange Geheimhaltungsfristen durchgesetzt hat. In der Zwischenzeit hatte Intel sogar eine neue Generation von Serverprozessoren eingeführt, nämlich die zweite Generation der Xeon Scalable Processors (Xeon-SP Cascade Lake), die ebenfalls von TAA betroffen sind. Dabei hatte Intel jedoch den Eindruck erweckt, die wesentlichen Lücken durch Änderungen von Hardware und CPU-Microcode sowie durch Patches für Betriebssysteme geschlossen zu haben.

Wozu die Koordination?

Die Kritik an Intel wirft ein Schlaglicht auf das gängige Verfahren zur koordinierten Veröffentlichung von Sicherheitslücken (Coordinated Vulnerabilty Disclosure). Ziel ist es dabei meistens, nach einer vernünftigen Frist erst dann eine Schwachstelle zu veröffentlichen, wenn auch Patches dafür bereitstehen. Dadurch können Besitzer betroffener Systeme auch gleich reagieren.

Dass die jeweilige Lücke zunächst nur einem kleineren Kreis von Personen bekannt ist, soll zudem das Risiko mindern, dass Angreifer sie missbrauchen. Wie gut das funktioniert, ist allerdings umstritten: Für nicht öffentlich bekannte und noch offene Sicherheitslücken (Zero Day Exploits, 0days) gibt es Handelsplätze, auf denen sich viel Geld verdienen lässt. Und schon bei den Spectre-NG-Lücken scheiterte die koordinierte Veröffentlichung Mitte 2018.

Vor allem Datenbank-Server betroffen

Bei der Diskussion um Coordinated Disclosure im Allgemeinen und Intels späte Reaktion im Speziellen sollte man aber berücksichtigen, dass die Sicherheitslücke TAA (CVE-2019-11135) nur für vergleichsweise wenige Systeme relevant ist.

TAA betrifft nämlich die speziellen Befehle der Transactional Synchronization Extensions (TSX, früher auch Transactional Memory genannt). Diese wurden vor allem für die Beschleunigung bestimmter Datenbanken entwickelt, sind nur bei bestimmten Prozessoren aktivierbar (vor allem für Server) und lassen sich oft per BIOS-Setup abschalten.

Falls TSX bei einem bestimmten Server oder PC trotzdem aktiv sind, lassen sie sich auch noch im Betriebssystem abschalten, bei Linux mit dem Bootparameter "tsx=off" und unter Windows (Server) per Registry-Eingriff.

Angesichts dieser simplen Schutzmaßnahmen für den wohl größten Teil der von TAA betroffenen Rechner ist es aber umso unverständlicher, dass Intel nicht früher darüber informiert hat. Das steht im Kontrast zum Anfang 2018 nach Bekanntwerden von Spectre und Meltdown veröffentlichten Versprechen "Sicherheit zuerst" (Security First Pledge). (ciw)