UPDATE: Hier die aktuellen Informationen zur Sicherheitslücke.
"The Register" berichtet von einem schwerwiegenden Designfehler, der alle Intel CPUs der letzten 10 Jahre betrifft. Der Fix der sich durch den Bug ergebenden massiven Sicherheitslücke macht signifikante Änderungen am Windows/Linux/macOS Kernel notwendig. Das Problem dabei ist - anders als bei bisherigen Sicherheitslücken und deren Patches - aufgrund seiner grundlegenden Natur ein ganz besonderes: die Behebung des Fehlers per OS führt zu dauerhaften massiven Performance-Einbussen von 5-30% (je nach Programm). Neuere Prozessoren sollen aufgrund ihrer Features geringere Einbussen durch den Patch aufweisen. Glücklich können sich Besitzer von AMD CPUs schätzen - deren Prozessoren sollen von dem Fehler aufgrund ihrer anderen Architektur nicht betroffen sein.
Da das Problem die Intel x86-64 Hardware angeht und nicht per Microcode-Patch (eine Art CPU Firmware) beseitigt werden kann, müssen Änderungen auf der Betriebssystemebene den Fehler umgehen. Die Änderungen am Kernel sollen von Microsoft am nächsten Patch-Dienstag an alle User verteilt werden - das Linux Team hat auch schon einen Patch fertig. Worin genau das Problem der Intel CPUs besteht, ist aufgrund des Sicherheits-Embargos noch nicht klar - bevor Details öffentlich gemacht werden und der Bug ausgenutzt werden kann, soll den Herstellern erst die Chance gegeben werden, ihn per Kernel-Patch zu beseitigen.
Klar ist aber schon, daß der Fehler es jedwedem Programm ermöglicht, auf eigentlich geschützte Kernel-Speicherbereiche zuzugreifen - eine schwere Sicherheitslücke, da so z.B. durch Malware andere Sicherheitslücken leichter ausgenützt werden können.
Im schlimmsten Fall können Programm die Daten anderer auf dem Prozessor laufenden Programme wie etwa Passwörter, Cache- oder sonstige Daten auslesen - das wäre ein besonders großes Problem für shared oder Cloud-Server, auf denen Prozesse verschiedenster User von der gleichen CPU abgearbeitet werden. Die großen Cloud-Anbieter Amazon und Microsoft haben schon Updates (samt Reboots) für die nächsten Tage angekündigt. Aber auch normale User wären leichte Opfer, falls ein Exploit über in Webseiten eingebettete Javascript-Programme laufen würde.
Die Geschwindigkeit mit der die Patches zur Verfügung gestellt werden, lassen leider vermuten, daß der Fehler sehr schwerwiegend ist. Der Fix ist so massiv (der Kernel wird in einen komplett anderen Adreßbereich verschoben, um ihn für laufende Programme unsichtbar zu machen), daß die Performance stark darunter leidet - Benchmarks mit der Datenbank PostgresSQL ergaben Performance-Einbußen zwischen 17 und 23%. Die Einbußen sollen aber stark schwanken je nach Programm und CPU-Modell. Worin der Fehler genau besteht und wie er sich auswirkt, wird wohl bald klarer sein, wenn Intel ein offizielles Statement abgibt.
UPDATE: Es gibt erste, interessante Benchmarks unter Linux für einen Intel i7 8700K und einen i7 6800K Prozessor - ein Geschwindigkeitsverlgeich zwischen gepatchtem und ungepatchten OS Versionen. Glücklicherweise scheinen für die Arbeit mit Video wichtige Operationen wie H.264/x264- und ffmpeg-Video-Encoding so gut wie keine Performanceeinbussen hinnehmen zu müssen - anders als etwa Datenbanken und Anwendungen die intensiv eine Hochgescheindigkeits-SSD nutzen. Weitere Benchmarks müssen zeigen, ob letztere Einbußen auch unter Windows laufenden Videoschnitttools beeinträchtigen werden.(Danke an rabe131 und mash_g4)
