Neue Sicherheitslücke in Intel-CPUs - Hyperthreading deaktivieren hilft ?

In fast allen Intel-CPUs seit 2008 wurde eine neue Sicherheitslücke gefunden, die durch spekulative Operationen hervorgerufen werden kann - selbst Intel rät teils, Hyperthreading zu deaktivieren.

von Manuel Schulz,
15.05.2019 19:15 Uhr

In Intel-CPUs wurden wieder neue Sicherheitslücken gefunden, die praktisch alle Prozessoren seit 2008 betreffen.In Intel-CPUs wurden wieder neue Sicherheitslücken gefunden, die praktisch alle Prozessoren seit 2008 betreffen.

Nach Meltdown und Spectre werden Intel-Nutzer von den nächsten Sicherheitslücken. Betroffen sind fast alle Intel-Prozessoren seit 2008. Erst die kommende Generation mit Whiskey-Lake-Architektur ist bereits hardwareseitig gegen Angriffe dieser Art geschützt.

Erneut wird das Problem durch spekulative Operationen verursacht. Die Lücke ähnelt damit sehr der Spectre-Schwachstelle, allerdings hilft gegen diese neue Angriffsvariante, Hyperthreading zu deaktivieren - die virtuelle Kernverdoppelung, mit Hilfe derer jeder CPU-Kern zwei Aufgaben (Threads) gleichzeitig bearbeiten kann.

Die besten Prozessoren für Spieler

Allerdings empfiehlt Intel nur in gewissen Situationen, Hyperthreading zu deaktivieren, nämlich wenn die Sicherheit von Daten (unbedingt) gewährleistet werden muss und es keine andere Möglichkeit gibt, die Daten zu schützen.

Zusätzlich betont Intel, dass auch ein deaktiviertes Hyperthreading nicht gegen alle Angriffe über spekulative Operationen hilft.

Selbst der Core i9 9900K aus der neuesten Generation ist betroffenSelbst der Core i9 9900K aus der neuesten Generation ist betroffen

Die Namen der neuen Sicherheitslücken sind Fallout, ZombieLoad und Rogue In-Flight Data Load, kurz RIDL. Sie alle funktionieren ähnlich wie Spectre und machen sich spekulative Operationen im Hyperthreading zu nutze.

Der Angriffspunkt ist daher bei allen Sicherheitslücken gleich, nur die angestrebten Daten sind verschieden. Dabei zielt ZombieLoad auf private Browserdaten ab, Fallout und RIDL versuchen geschützte Programmdaten zu erbeuten.

Google ergreift erste Maßnahmen

Um die Sicherheit von Passwörtern zu gewährleisten, wurde beim ChromeOS 74 bereits die Standardeinstellung für Hyperthreading deaktiviert. Für ChromeOS 75 kündigte Google bereits an, dass weitere Sicherheitsmaßnahmen eingeführt werden.

AMD-Prozessoren sind laut AMD nicht von Fallout, ZombieLoad und RIDL betroffen.AMD-Prozessoren sind laut AMD nicht von Fallout, ZombieLoad und RIDL betroffen.

AMD-Nutzer können unterdessen beruhigt sein. In einer Presseaussendung erklärte der Chip-Hersteller, dass AMD-Prozessoren aufgrund der Hardware-Schutzprüfungen in der Architektur nicht anfällig für die neuen Sicherheitslücken sind.

Die besten AM4-Mainboards für Ryzen-CPUs

Erneut Leistungsverlust zu befürchten

Die Lösung dieser neuen Lücke wird laut Intel erneut Performance-Einbußen zur Folge haben. Denn um sicherzustellen, dass die Daten beim Wechsel zwischen Programmen mit unterschiedlicher Sicherheitseinstufung nicht ausgelesen werden können, muss der Zwischenspeicher jedes Mal geleert werden.

Besitzer von Sandy-Bridge CPUs und ähnlich alten Prozessoren werden noch Updates bekommenBesitzer von Sandy-Bridge CPUs und ähnlich alten Prozessoren werden noch Updates bekommen

Das versagt die Möglichkeit, ohne ein erneutes Laden der Daten im anderen Thread weiterzumachen. Ein weiterer Ansatz wäre es, einzelnen Kernen nur noch Prozesse gleicher Sicherheitseinstufung zuzuweisen, was aber je nach Situation auch zu viel ungenutzter Rechenleistung führen würde.

So oder so werden die Schutzmaßnahmen die Nutzer erneut Leistung kosten. Nach aktuellem Stand ist dabei nicht klar, um wie viel Leistung es sich tatsächlich handeln wird. Bei Meltdown und Spectre hielt sich die Performance-Einbuße bei aktuellen Prozessoren bei den meisten Anwendungen in Grenzen.

Benchmarks zu Meltdown und Spectre - Wie groß ist der Leistungsverlust?

Viele betroffene Prozessoren

Aufgrund der sich häufenden Sicherheitslücken plant Intel bereits, zukünftige Prozessoren mit hardwareseitigen Schutzmaßnahmen auszustatten, denn betroffen sind nahezu alle Intel-Chips seit 2008.

Für fast alle Prozessoren ab der zweiten Core-i-Generation wird es auch Microcode-Updates geben, die die Sicherheit verbessern sollen.

Die Core-i-CPUs der ersten Generation mit dreistelliger Modellnummer aus dem Jahr 2008 erhalten kein Update mehrDie Core-i-CPUs der ersten Generation mit dreistelliger Modellnummer aus dem Jahr 2008 erhalten kein Update mehr

Nur wer noch einen Core i7 aus der ersten Generation hat, schaut in die Röhre. Bloomfield, Nehalem, Arrandale, Clarkdale, Gulftown, Lynnfield, Penryn und Wolfdale sind die bekanntesten Architekturen für die es keine Updates zu diesem Problem wird.

zur Sicherheitslücke selbst und für welche Prozessoren es bereits Updates gibt hat Intel auf seiner Internetseite bereitgestellt.


Kommentare(47)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen