Intels Hyper-Threading sorgt erneut für große bis riesige Sicherheitslücken. Neue CPUs sind zwar schon geschützt, denn das Problem ist schon ein Jahr bekannt. Doch ZombieLoad, wie das neueste Problem getauft wurde, geht auf alle Intel-CPUs seit Nehalem aus dem Jahr 2008 zurück.

Es ist eine Mischung aus Meltdown und Spectre, die auch im Jahr 2019 Intels Sicherheitsabteilung fordert. Das Microarchitectural Data Sampling (MDS) ist eine Untergruppe der vorherigen Probleme, die erneut mit Intels Hyper-Threading und SGX zu tun hat. Von den Forschern und Entwicklern wurde sie ZombieLoad getauft, denn es ist nach ForeShadow/L1TF die nächste Familie an Lücken, die unter Umständen dafür sorgen können, dass eigentlich geschützte Daten abgegriffen werden können. Dabei ist es erneut kein Problem in der Software, sondern nur des Prozessors, eines Intel-Prozessors.

Intel-Benchmarks zu ZombieLoad (Bild: Intel) Bild 1 von 4

Intel-Benchmarks zu ZombieLoad Intel-Benchmarks zu ZombieLoad Intel-Benchmarks zu ZombieLoad Intel-Benchmarks zu ZombieLoad

Wenngleich Intel den Einfluss der Patches klein redet und dies mit eigenen Benchmarks darlegt, sorgen sich andere Hersteller mehr. Denn Hyper-Threading und SGX sind seit dem vergangenen Jahr immer das Einfallstor für neue Probleme. Verschiedene Hersteller, beispielsweise von Linux-Distributionen, empfehlen deshalb bereits seit geraumer Zeit, dieses zu deaktivieren, weil niemand weiß, was da noch kommen mag. So lautet die Empfehlung, insbesondere beim Einsatz von Virtuellen Maschinen (VM), dort auch heute: If you have any untrusted code running in VMs, and need to prevent the risk of data leakage, the only available option at the moment is to disable hyper-threading. Im Zweifel sollte Hyper-Threading also deaktiviert und damit auf die Hälfte der Threads verzichtet werden.

Neue CPUs der Serien Core (8. und 9. Generation) wie der Coffee Lake Refresh oder auch Whiskey Lake-U sowie die neuen Xeon (Cascade Lake-SP) sind wie zuletzt bereits zum Teil über Hardware dagegen geschützt, aber auch nicht komplett, weshalb mitunter ein zusätzliches Handeln erforderlich ist. Ältere Modelle benötigen definitiv ein BIOS-Update, wobei aus dem Revisions Update mit dem Stand vom 14. Mai hervorgeht (PDF), dass auch in dem Fall bereits in vergangenen Versionen gegen die neuen Lücken vorgegangen wurde.

Noch mehr Probleme bei Intel

Intels Security Center zeigt am heutigen Tage aber noch viele weitere Problemstellen auf. Insgesamt zwölf Advisories sind dort gelistet, einige betreffen DoS-Attacken über Intels Management-Optionen und werden sogar als kritisch eingestuft.