Besonders betroffen: Seine VMware-Umgebung vor Foreshadow schützen
Die Foreshadow-Lücke betrifft insbesondere VMware-Anwender. Es gibt zwar schon einige Patches, doch manche ziehen massive Leistungseinbußen nach sich.
Zu Anfang des Jahres entdeckten Forscher die Schwachstelle Foreshadow in Intel-Prozessoren, mit der sich der L1-Cache der CPU auslesen lässt. Insbesondere Betreiber von Rechenzentren und virtualisierter Systeme müssen sich um ihre Sicherheit sorgen. Jörg Riether untersucht in der aktuellen iX 10/2018, wie VMware die Lücken angeht und welche Auswirkungen die Patches haben.
Während die zweite der drei Foreshadow-Varianten ebenfalls Updates nach sich zieht, sorgt VMware insbesondere die dritte Variante. Sie unterteilt der Konzern in zwei Angriffsvektoren. Für den ersten hat Intel bereits einen CPU-Microcode-Patch veröffentlicht, der in regelmäßigen Abständen den L1-Cache leert. So sinkt zumindest die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Für den zweiten Angriffsvektor entwickelt VMware den ESXi Side-Channel-Aware Scheduler, kurz SCA-Scheduler. Er stellt sicher, dass VM oder Hypervisor zu jeder Zeit genau einen logischen Prozessor eines Hyperthreading-aktivierten Kerns verwenden können. Allerdings geht das auf Kosten der Leistung: Im schlimmsten Fall müssen sich Nutzer aus Einbußen von 32 Prozent einstellen.
Details zu den Angriffsvarianten, Patches und Auswirkungen auf die Performance, finden Interessierte im kostenlosen Artikel.
Siehe dazu auch:
- Virtualisierung: Foreshadow in VMware-Umgebungen, iX 10/2018, S. 98
(fo)
