Linux: Kernel verschärft Schutz vor "Spectre"-Angriffen

    9. Februar 2018, 11:03
    6 Postings

    Mit Kernel 4.15.2 werden erstmals beide Varianten der Prozessorlücke adressiert

    Auch mehr als ein Monat nach der Enthüllung kritische Sicherheitsdefiziten in aktuellen Prozessoren ist die IT-Welt noch immer mit den Konsequenzen von "Meltdown" und "Spectre" beschäftigt. Ein aktuelles Update des Linux-Kernels verbessert den diesbezüglichen Schutz nun weiter, wie heise.de berichtet.

    Update

    Mit Linux 4.15.2 und 4.14.18 schützt der Kernel erstmals vor beiden Spectre-Varianten. Erst mit Linux 4.15 war eine Gegenmaßnahme gegen Spectre v2 eingezogen, nun folgt jene für Spectre v1. Zu diesem Zweck wurde ein Makro geschaffen, das an potentiell problematischen Stellen im Kernel eingefügt wird, und dort die spekulative Ausführung im Code unterbindet – die eben die Grundlage für alle Spectre-Attacken ist.

    Die Kernel-Entwickler geben sich dabei aber keinerlei Illusionen hin, dass damit ihre Arbeit bereits getan ist. Es gebe fraglos noch weitere Stellen im Kernel, die auf diese Weise abgesichert werden müssen, heißt es. Zu diesem Zweck wird derzeit auch ein neues Tool entwickelt, das eben solch problematische Stellen aufspüren soll.

    Komplizierte Situation

    Parallel dazu wurde auch beim Schutz vor Spectre v2 nachgebessert, in dem nun vermehrt die Möglichkeiten der neuen Microcode-Updates von Intel eingesetzt werden. All dies kommt aber nur auf jenen Systemen zum Einsatz, die nicht ohnehin über die von Google entwickelte Compiler-Härtung Retpoline vor Spectre v2 geschützt werden. Diese ist Teil der GCC 7.3 – die aber auf den meisten Distributionen noch nicht zum Einsatz kommt.

    Zudem schützt Retpoline auch nicht vor allen Spectre v2-Angriffen, hier ist man dann wieder von der aktualisierten Intel-Firmware abhängig – etwa wenn es um die Isolierung virtueller Maschinen geht. Vor welchen Spectre/Meltdown-Varianten das eigene System geschützt ist, lässt sich über diverse Parameter herausfinden, die in Unterverzeichnissen von /sys/devices/system/cpu/vulnerabilities/ ausgelesen werden können. (apo, 9.2.2018)

    • Das Linux-Maskottchen Tux.
      grafik: linux foundation

      Das Linux-Maskottchen Tux.

    Share if you care.