Die Entwickler von Googles Javascript-Engine V8 bezweifeln die Relevanz von Patches zur Schließung neuer und älterer Sicherheitslücken wie Zombieload oder Spectre in Prozessoren.
Apple aktiviert diese auf Mac-Systemen sogar nur teilweise, wie Der Standard berichtet - der Performance-Verlust durch die Patches stehe in keinem Verhältnis zur tatsächlichen Bedrohung durch die Lücken.
Seit ihrer ersten Entdeckung Anfang 2018 wurden immer mehr Sicherheitslücken auf Basis spekulativer Ausführungen aufgetan, die größtenteils Intel-CPUs betreffen. Auch AMD-CPUs sind teilweise angreifbar - wie es scheint aber lediglich von einigen Spectre-Varianten.
Neue Sicherheitslücken in Intel-CPUs - Hyperthreading deaktivieren hilft?
Zuletzt machten Zombieload, RIDL, Fallout, Store-to-Leak Forwarding und Meltdown UC von sich reden. Patches dagegen soweit überhaupt möglich) sollen mit besonders hohen Performance-Einbußen (30 - 50 Prozent) einhergehen.
Einige Softwarehersteller scheinen diesen Kampf nicht mehr führen zu können oder nicht länger führen zu wollen.
Googles Javascript-Engine-v8-Entwicklerteam hält die Maßnahmen in Bezug auf Spectre generell für überzogen. Der Aufwand, gegen die Sicherheitsprobleme vorzugehen, sei weit größer als die reale Gefährdung.
Sicherheitslücken in Browsern sollen demnach weit bedrohlicher sein, da sie leichter für Angreifer nutzbar sind als die komplexeren Prozessorschwachstellen.
Edge Chromium für Windows 10 - Neuer Microsoft-Browser startet in die offene Testphase
Die Schließung der Schwachstellen selbst soll zudem neue Angriffsmöglichkeiten schaffen, da Software durch den Schutz vor Spectre und Co deutlich umfangreicher und dadurch empfindlicher wird - gegen Spectre v4 soll sie ohnehin machtlos sein.
Nur neue Prozessoren helfen
Es sieht daher ganz so aus, als könne auf Dauer nur neue Hardware zuverlässig und ohne Leistungsverlust vor Spectre, Meltdown und deren Verwandten schützen.
Einige der jüngsten Intel-Chips sind vor der Zombieload-Attacke schon hardwareseitig geschützt - allerdings hängt das auch vom jeweiligen Stepping ab. Intel hat eine Webseite eingerichtet, die darüber genauer informiert.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.