Kommentar: Hallo Intel, mein Vertrauen schwindet!

Diesen Text schreibe ich an meinem BĂĽrocomputer mit Haswell-CPU: Er ist nicht gegen die Spectre-V2-LĂĽcke geschĂĽtzt - 11 Monate nach deren Entdeckung.

In Pocket speichern vorlesen Druckansicht 592 Kommentare lesen
Intel-Prozessor mit Spectre-LĂĽcke
Lesezeit: 4 Min.
Inhaltsverzeichnis

Moderne Prozessoren haben mehrere Milliarden Transistoren und tausende Seiten Dokumentation: Klar, dass in dermaĂźen komplizierten Systemen SicherheitslĂĽcken stecken. Genau deshalb sind automatische Updates wichtig. Doch die Patches mĂĽssen eben auch zĂĽgig kommen. Und das klappt bei Spectre noch immer nicht.

Ein Kommentar von Christof Windeck

Christof Windeck (ciw) schreibt fĂĽr c't und heise online ĂĽber PC- und Server-Hardware. Er kam nach einem Studium der Elektrotechnik und sieben Jahren in einem kleinen Industriebetrieb 1999 zur c't und ist heute leitender Redakteur des Ressorts PC-Hardware.

Das lässt mein Vertrauen in Intel, Microsoft und die großen PC-Hersteller bröckeln: Spectre und jetzt Spectre Next Generation zeigen, dass die IT-Branche die Sicherheit nicht im Griff hat. Wie Google Project Zero wohl sehr bewusst veröffentlichte, weiß Intel seit dem 1. Juni 2017 über die Sicherheitslücke Spectre Bescheid. Aber auf meinem Arbeitsplatzcomputer ist sie derzeit nicht geschlossen – nach 11 Monaten Vorarbeit. Das ist kaum zu fassen.

Intels Ankündigung "Sicherheit zuerst" vom 11. Januar hatte ich anders verstanden. Intel-CEO Brain Krzanich höchstpersönlich hatte seinerzeit versprochen, die Spectre-Lücken bei allen Intel-Prozessoren aus den vergangenen fünf Jahren bis Ende Januar zu schließen.

Offenbar war die Ankündigung aber anders gemeint. Mit "we will have issued updates..." (was bekanntlich nicht einmal geklappt hat) war bloß gemeint, dass Intel Updates an die Hersteller von PCs und Mainboards schickt – und nicht etwa an mich, den Endkunden. Dort sind sie tatsächlich auch nicht angekommen, beziehungsweise nur kurzzeitig.

Meinen Arbeitsplatz-PC habe ich zusammengestoppelt aus Restbeständen von Testberichten: Auf dem Fujitsu-Mainboard D3221-B1 sitzt ein Intel Core i7-4770 aus dem Jahr 2013. Laut Brian Krzanich sollte es hier seit Ende Januar keine Probleme mit Spectre mehr geben. Aber das stimmt nicht.

FĂĽr mein Fujitsu-Mainboard gibt es leider noch immer kein BIOS-Update, welches dem Prozessor per Microcode-Update die Hardware-UnterstĂĽtzung fĂĽr die Windows-10-Schutzfunktionen gegen Branch Target Injection (BTI, Spectre V2) bringt. Fujitsu hat zwar Ende 2017 das Update R1.44.0 herausgebracht, in dem auch neuer Haswell-Microcode steckt, aber das PowerShell-Skript SpeculationControl findet trotzdem keinen BTI-Schutz.

Ende April – rund drei Monate später als vom Intel-CEO versprochen – erbarmte sich dann Microsoft, Intels Microcode-Updates mit dem optionalen Patch KB4090007 nachzuliefern,. Der kam aber nicht automatisch, ich musste ihn von Hand einzeln einspielen.

CPU-SicherheitslĂĽcken Spectre-NG

Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-) Prozessoren gestoßen – Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.

Und nun, nach dem Funktions-Update auf Windows 10 1803, ist mein System aber wieder ungeschützt. Bei Windows 10 1709 zu bleiben, scheint aber auch keine Lösung zu sein: Wie der Sicherheitsforscher Alex Ionescu berichtet, klafft im Meltdown-Schutz von Windows 10 1709 ein gewaltiges Loch.

Vor dem Hintergrund dieses Update-Kuddelmuddels wirkt Intels heiĂźer Tipp von gestern, einfach immer alle Update einzuspielen, geradezu zynisch. Ich jedenfalls habe mit Windows 10 1803 nun vielleicht richtigen Meltdown-Schutz, aber keinen mehr gegen Spectre V2.

Nur drei Firmen müssten richtig zusammenarbeiten, damit mein PC geschützt wäre: Intel, Microsoft und Fujitsu. Aber sie bekommen es nicht hin. Dabei suggerieren alle Beteiligten, alles im Griff zu haben – genau so klingen nun auch wieder die Stellungnahmen zu Spectre Next Generation.

Hallo, bitte aufwachen: Vermutlich sind Millionen Rechner nicht gegen die bisher bekannten Spectre-Lücken geschützt, nach fast einem Jahr. Es ist derzeit nichts in Ordnung, es gibt konkrete Probleme! (Wer möchte, kann im Forum seine eigenen Erfahrungen mit den Spectre-Updates beschreiben.)

Statt hohler Versprechungen brauchen Endkunden jetzt praktische Hilfe – das würde mein Vertrauen stärken. Denn wenn schon bei Spectre nach elf Monaten noch Chaos herrscht: Wie soll das erst bei Spectre Next Generation laufen, wo es um acht statt bloß drei Lücken geht? (ciw)