Kommentar: Hallo Intel, mein Vertrauen schwindet!
Diesen Text schreibe ich an meinem Bürocomputer mit Haswell-CPU: Er ist nicht gegen die Spectre-V2-Lücke geschützt - 11 Monate nach deren Entdeckung.
Moderne Prozessoren haben mehrere Milliarden Transistoren und tausende Seiten Dokumentation: Klar, dass in dermaßen komplizierten Systemen Sicherheitslücken stecken. Genau deshalb sind automatische Updates wichtig. Doch die Patches müssen eben auch zügig kommen. Und das klappt bei Spectre noch immer nicht.
Das lässt mein Vertrauen in Intel, Microsoft und die großen PC-Hersteller bröckeln: Spectre und jetzt Spectre Next Generation zeigen, dass die IT-Branche die Sicherheit nicht im Griff hat. Wie Google Project Zero wohl sehr bewusst veröffentlichte, weiß Intel seit dem 1. Juni 2017 über die Sicherheitslücke Spectre Bescheid. Aber auf meinem Arbeitsplatzcomputer ist sie derzeit nicht geschlossen – nach 11 Monaten Vorarbeit. Das ist kaum zu fassen.
Vertrauen verstolpert
Intels Ankündigung "Sicherheit zuerst" vom 11. Januar hatte ich anders verstanden. Intel-CEO Brain Krzanich höchstpersönlich hatte seinerzeit versprochen, die Spectre-Lücken bei allen Intel-Prozessoren aus den vergangenen fünf Jahren bis Ende Januar zu schließen.
Offenbar war die Ankündigung aber anders gemeint. Mit "we will have issued updates..." (was bekanntlich nicht einmal geklappt hat) war bloß gemeint, dass Intel Updates an die Hersteller von PCs und Mainboards schickt – und nicht etwa an mich, den Endkunden. Dort sind sie tatsächlich auch nicht angekommen, beziehungsweise nur kurzzeitig.
Mehrfach verbockt
Meinen Arbeitsplatz-PC habe ich zusammengestoppelt aus Restbeständen von Testberichten: Auf dem Fujitsu-Mainboard D3221-B1 sitzt ein Intel Core i7-4770 aus dem Jahr 2013. Laut Brian Krzanich sollte es hier seit Ende Januar keine Probleme mit Spectre mehr geben. Aber das stimmt nicht.
Für mein Fujitsu-Mainboard gibt es leider noch immer kein BIOS-Update, welches dem Prozessor per Microcode-Update die Hardware-Unterstützung für die Windows-10-Schutzfunktionen gegen Branch Target Injection (BTI, Spectre V2) bringt. Fujitsu hat zwar Ende 2017 das Update R1.44.0 herausgebracht, in dem auch neuer Haswell-Microcode steckt, aber das PowerShell-Skript SpeculationControl findet trotzdem keinen BTI-Schutz.
Ende April – rund drei Monate später als vom Intel-CEO versprochen – erbarmte sich dann Microsoft, Intels Microcode-Updates mit dem optionalen Patch KB4090007 nachzuliefern,. Der kam aber nicht automatisch, ich musste ihn von Hand einzeln einspielen.
Und nun, nach dem Funktions-Update auf Windows 10 1803, ist mein System aber wieder ungeschützt. Bei Windows 10 1709 zu bleiben, scheint aber auch keine Lösung zu sein: Wie der Sicherheitsforscher Alex Ionescu berichtet, klafft im Meltdown-Schutz von Windows 10 1709 ein gewaltiges Loch.
Vor dem Hintergrund dieses Update-Kuddelmuddels wirkt Intels heißer Tipp von gestern, einfach immer alle Update einzuspielen, geradezu zynisch. Ich jedenfalls habe mit Windows 10 1803 nun vielleicht richtigen Meltdown-Schutz, aber keinen mehr gegen Spectre V2.
Vertrauen aufbauen
Nur drei Firmen müssten richtig zusammenarbeiten, damit mein PC geschützt wäre: Intel, Microsoft und Fujitsu. Aber sie bekommen es nicht hin. Dabei suggerieren alle Beteiligten, alles im Griff zu haben – genau so klingen nun auch wieder die Stellungnahmen zu Spectre Next Generation.
Hallo, bitte aufwachen: Vermutlich sind Millionen Rechner nicht gegen die bisher bekannten Spectre-Lücken geschützt, nach fast einem Jahr. Es ist derzeit nichts in Ordnung, es gibt konkrete Probleme! (Wer möchte, kann im Forum seine eigenen Erfahrungen mit den Spectre-Updates beschreiben.)
Statt hohler Versprechungen brauchen Endkunden jetzt praktische Hilfe – das würde mein Vertrauen stärken. Denn wenn schon bei Spectre nach elf Monaten noch Chaos herrscht: Wie soll das erst bei Spectre Next Generation laufen, wo es um acht statt bloß drei Lücken geht? (ciw)
