Transmetas Efficeon-Prozessoren bald mit NX-Speicherschutz
Transmeta kündigt für Mitte des Jahres neue Versionen ihres Efficeon-Prozessors an, die Programmcode nur aus freigegebenen Speicherbereichen ausführen.
Transmeta kündigt für Mitte des Jahres neue Versionen ihres Efficeon-Prozessors an, die Programmcode nur aus freigegebenen Speicherbereichen ausführen. Andere RAM-Adressen lassen sich mit einer No-Execute-Markierung (NX) schützen, sodass die Angriffe mancher Viren und Würmer ins Leere laufen. Das kommende Service Pack 2 für Microsoft Windows XP soll Prozessoren mit NX-Fähigkeiten unterstützen.
Für Desktop-Rechner gibt es bisher nur die AMD64-Prozessoren mit NX-Technik, Intel will aber bei Verfügbarkeit des Service Pack 2 ebenfalls Pentium-4-Versionen mit NX ausliefern können. Für Intels Mobilprozessor Pentium M ist NX erst später vorgesehen, sodass der Efficeon zunächst der einzige Stromspar-Prozessor mit NX-Fähigkeiten ist -- abgesehen von den AMD-Athlon-64-Mobilvarianten, die bisher allerdings noch deutlich mehr Energie umsetzen.
Um die NX-Funktion, die beispielsweise Buffer- oder Heap-Overflow-Angriffe verhindern kann, gibt es etwas Begriffsverwirrung. Je nach Hersteller steht NX für No Execute oder No Execution, AMD spricht von "Hardware-gestütztem Virenschutz", "Enhanced Virus Protection" oder schlichtweg "verbessertem Virenschutz".
Microsoft selbst fasst NX und andere Verfahren unter dem Begriff Data Execution Prevention (DEP) zusammen und verweist in einer detaillierten Funktionsbeschreibung explizit auf eine Reihe von erwarteten Inkompatibilitäten. Demnach funktioniert DEP mit NX bei 32-Bit-Systemen nur dann, wenn Windows im PAE-Modus läuft. Diese Physical Address Extension beherrschen schon jetzt die meisten Desktop-Prozessoren, das Verfahren ist eigentlich zur Adressierung von RAM-Bereichen oberhalb von 4 GByte gedacht und bisher erst in den teuren Windows-Server-Versionen Enterprise und Datacenter nutzbar. Es gilt nicht nur als langsam, sondern es gibt offenbar auch eine Reihe von Inkompatibilitäten mit Applikationen und Treibern. Dennoch verwendet Microsoft PAE, um die Kompatibilität der Execution-Prevention-Verfahren mit 64-Bit-Systemen zu wahren, die ohne PAE auskommen werden.
Microsoft erwähnt auch vorhersehbare Probleme mit Just-in-Time-Compilern und DEP. Im welchen Fällen unter den von Microsoft beschriebenen Umständen der Einsatz der NX-Technik mit 32-Bit-Prozessoren in der Praxis überhaupt sinnvoll ist, erscheint zurzeit unklar. Bei 64-Bit-Serverprozessoren ist die NX-Funktion schon lange üblich. Für Linux ist mit Exec Shield ein Speicherschutz verfügbar, ebenso wie etwa für OpenBSD ("Non-executable"), NetBSD und den GCC.
Siehe auch bei Telepolis:
(ciw)
