Spectre-NG: Harte Kritik von OpenBSD-Entwickler Theo de Raadt

Die Veröffentlichung des jüngsten Spectre-NG-Bugs wurde hektisch vorgezogen, nachdem Theo de Raadt die Informationspolitik von Intel kritisierte.

In Pocket speichern vorlesen Druckansicht 138 Kommentare lesen
Spectre-NG
Lesezeit: 3 Min.

OpenBSD-Mastermind Theo de Raadt ist für klare Worte bekannt und hat Intels Umgang mit Meltdown, Spectre und Spectre-NG bereits deutlich kritisiert. Auf der Konferenz BSDCan 2018 in Kanada hatte de Raadt am vergangenen Samstag abermals Intel beschuldigt, mit Informationen zu Spectre-NG hinterm Berg zu halten. Dabei erwähnte er Details zu dem Bug Lazy FP State Restore (CVE-2018-3665), die letztlich dazu führten, dass dieser Fehler vorzeitig veröffentlicht wurde. De Raadt kritisiert auch, dass die Frist bis zur Veröffentlichung des Bugs viel zu lange angesetzt worden sei.

Eigentlich war – wie auch bei anderen Bugs üblich – eine koordinierte Veröffentlichung zu einem späteren Termin zwischen Intel, den Entdeckern der Lücke und anderen, von Intel ausgewählten Ansprechpartnern abgesprochen. Zu letzteren gehörten de Raadt beziehungsweise andere OpenBSD-Entwickler anscheinend nicht. Im Videomitschnitt auf YouTube erklärt er, dass Intel selbst auf Rückfragen nicht geantwortet habe.

Die koordinierte Veröffentlichung hat unter anderem das Ziel, potenziellen Angreifern die Arbeit zu erschweren und erst dann Details zu Sicherheitslücken bereitzustellen, wenn es auch alle nötigen Patches beziehungsweise Updates gibt. Der Blog-Post der deutschen Firma Cyberus Technology erklärt ohne Umschweife, dass die koordinierte Veröffentlichung gescheitert ist.

Sicherheitsexperte Colin Perceval, der einen Exploit für Lazy FP State Restore entwickelt hat, betont bei Twitter, dass er die Sicherheitslücke nach wenigen Stunden Programmierarbeit ausnutzen konnte. Er habe deshalb darauf gedrängt, Patches schneller zu veröffentlichen, als es im Rahmen der koordinierten Veröffentlichung geplant war. Für Linux und Xen gibt es Patches. Microsoft hingegen vertröstet im Advisory ADV180016 auf einen späteren Termin für Updates.

Sicherheitslücken müssen möglichst schnell geschlossen werden, wobei der Kreis der Mitwisser möglichst klein bleiben soll, damit möglichst wenige Angreifer an die Informationen gelangen. Welches die jeweils richtigen Ansprechpartner sind, die frühzeitig informiert werden müssen, hängt dabei von vielen Faktoren ab. Klar ist, dass Intel stets Microsoft und einige große Hersteller von PCs und Servern ins Boot holt, falls Updates für Betriebssysteme und BIOS/Firmware nötig werden. Google ist bei Spectre schon deshalb dabei, weil die Abteilung Google Project Zero (GPZ) viele der Spectre-Bugs entdeckt hat. An Lazy FP State Restore wiederum war beispielsweise Amazon beteiligt.

Cloud-Anbieter aus anderen Ländern als den USA, die ebenfalls Intel-Prozessoren einsetzen, scheinen bei der Verteilung geheimer Bug-Informationen von Intel aber nicht in der ersten Reihe zu sitzen – ebensowenig wie offenbar OpenBSD. Solche Organisationen haben folglich weniger Zeit, um auf Sicherheitslücken zu reagieren.

(ciw)