Spectre-NG-LĂĽcken: OpenBSD schaltet Hyper-Threading ab
Um das Risiko für Angriffe über Spectre-Lücken zu mindern, schaltet das Betriebssystem OpenBSD bei Intel-Prozessoren Multi-Threading jetzt standardmäßig ab.
Nach deutlicher Kritik an Intels Informationspolitik zu den Sicherheitslücken Spectre Next Generation haben sich die Entwickler des freien Betriebssystems OpenBSD zu einem radikalen Schritt entschlossen: Künftig schalten sie bei Intel-Prozessoren die Multihhreading-Funktion Hyper-Threading ab. Wer sie unter OpenBSD trotzdem nutzen möchte, kann sie mit dem neuen sysctl namens hw.smt einschalten.
OpenBSD-Entwickler Mark Kettenis erklärt in einem Log-Eintrag zum Quellcode, dass sich bei Intels Hyper-Threading als typische Implementierung von Simultaneous Multi-Threading (SMT) mehrere Threads bestimmte Hardware-Ressourcen teilen. Das trifft vor allem den L1-Cache und den Translation Lookaside Buffer (TLB).
Angriffsrisiken mindern
Dieser gemeinsame Zugriff mehrerer Threads auf dieselben Hardware-Ressourcen mache Seitenkanalangriffe per Cache-Timing sehr viel leichter. OpenBSD-Entwickler haben den "dringenden Verdacht" (strongly suspect), dass dadurch einige Schwachstellen vom Spectre-Typ ausnutzbar werden. Auf welche konkrete Sicherheitslücken unter den bereits veröffentlichten oder noch ausstehenden sich diese Vermutung bezieht, lässt Kettenis offen.
Unterschiedliche Auswirkungen
Welche Performance-Einbußen der Verzicht auf Hyper-Threading bringt, hängt sowohl vom Typ des Prozessors als auch von der laufenden Software ab. Bei den Desktop-Versionen von Core i5 und Celeron ist Hyper-Threading beispielsweise sowieso nicht aktivierbar. Beim HPC-Benchmark linpack, der mit hoch optimiertem AVX-Code sämtliche Recheneinheiten möglichst gut ausnutzt, kann Hyper-Threading sogar etwas bremsen. Im Rendering-Benchmark Cinebench R15 wiederum kann Hyper-Threading bis zu etwa 30 Prozent Mehrleistung bringen.
Die CPU-SicherheitslĂĽcken Meltdown und Spectre | ||
Google-Name | Kurzbezeichnung | CVE-Nummer |
Spectre Variante 1 | Bounds Check Bypass | CVE-2017-5753 |
Spectre Variante 2 | Branch Target Injection (BTI) | CVE-2017-5715 |
Meltdown (GPZ V3) | Rogue Data Cache Load | CVE-2017-5754 |
Spectre-NG: (zu fĂĽnf Spectre-NG-LĂĽcken fehlen noch Informationen) | ||
Spectre Variante 3a | Rogue System Register Read (RSRE) | CVE-2018-3640 |
Spectre Variante 4 | Speculative Store Bypass (SSB) | CVE-2018-3639 |
k.A. | Lazy FP State Restore | CVE-2018-3665 |
GPZ steht fĂĽr Google Project Zero, Spectre V1 und V2 werden auch GPZ V1 und GPZ V2 genannt |
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ciw)