Skip to content

Drucksache: Windows Developer 3.19 - CPU-Schwachstellen im Überblick

Im Windows Developer 3.19 ist ein Artikel über CPU-Schwachstellen erschienen. Spectre und Meltdown sind zwar die bekanntesten, aber leider nicht die einzigen.

Die Anfang 2018 bekannt gewordenen CPU-Schwachstellen Spectre und Meltdown sind ein großes Problem. Und nachdem immer mehr Spectre-Varianten auftauchen sieht es fast so aus, als wäre das nicht nur die Spitze des sprichwörtlichen Eisbergs. Aber auch wenn es scheinen mag: Es gibt noch ein paar andere Schwachstellen in den CPUs.

Haben Sie vor 2018 schon mal was von CPU-Schwachstellen gehört?

Klar, es gab 1994 den FDVI-Bug im Intel Pentium, durch den der sich bei bestimmten Gleitkomma-Divisionen verrechnete. Aber das war ein Fehler, keine Schwachstelle - darüber ließ sich kein Schaden anrichten.

Es gab Schwachstellen in der Intel Management Engine und der Firmware (siehe z.B. meinen Artikel im Windows Developer 5.2018 [63]), aber in der CPU selbst kann ich mich nur an Fehler erinnern. Und Google liefert da auch nicht so besonders viel zu, wenn man die Suche auf die Zeit vor Januar 2018 beschränkt.

Und jetzt haben wir Spectre und Meltdown, dazu im Fall von Spectre in zig Varianten. Und ein paar weitere, davon unabhängige Schwachstellen. Und das alles innerhalb eines Jahres. Und ich fürchte wie anfangs schon geschrieben, dass da noch viele weitere Schwachstellen und Angriffe folgen werden.

Das alles musste ja nun wirklich nicht sein. Aber wenn man es realistisch betrachtet, musste es irgendwann so kommen.

Schwachstellen sind immer auch Fehler, sie unterscheiden sich davon nur dadurch, dass ein Angreifer sie für seine Zwecke ausnutzen kann. Und Fehler in Software werden ja gerne damit erklärt, dass die so komplex ist, dass sie sich einfach nicht vermeiden lassen.

CPUs sind noch viel komplexer, warum sollten sie also keine Fehler enthalten? Und warum sollten diese Fehler alle "nur" Fehler sein und nicht einige davon ausnutzbare Schwachstellen? Nur hat sich halt bisher niemand näher damit beschäftigt.

Aber es ist gut, dass sich das geändert hat. Es ist immer noch besser, die Sicherheitsforscher finden die Schwachstellen und melden sie zur Korrektor an die Hersteller, als wenn Cyberkriminelle oder Geheimdienste sie finden, geheim halten und für ihre Angriffe ausnutzen.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache

Trackbacks

Keine Trackbacks