Abo
  • Services:

Mit Trampoline gegen Meltdown

Der Code gegen die Meltdown-Lücke wurde unter dem Namen Page Table Isolation (PTI) bereits Ende 2017 integriert - noch vor der vorzeitigen Bekanntgabe der Lücke. In die Patches flossen auch die sogenannten KAISER-Patches ein, die bereits im Herbst 2017 von Forschern an der Technischen Universität Graz veröffentlicht wurden. Sie waren an der Entdeckung der Sicherheitslücke Meltdown beteiligt.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. censhare AG, München, Zürich (Schweiz)

Meltdown kann allerdings bei Intel-CPUs, die die sogenannten Process Context Identifiers (PCID) nicht ordentlich unterstützen, einen deutlichen Leistungsverlust mit sich bringen. PCIDs werden erst ab Prozessoren mit Haswell-Architektur unterstützt, die es seit Mitte 2013 auf dem Markt gibt. Für AMDs Prozessoren Epyc, Ryzen und Athlon ist der Patch nicht nötig und sollte vom Kernel beim Start automatisch deaktiviert werden. Auch hier gibt es aber noch Nachholbedarf: ARM64 soll erst in der nächsten Kernel-Version unterstützt werden, und wann der Patch für 32-Bit-Systeme fertig sein wird, steht noch nicht fest. Der Befehl cat /sys/devices/system/cpu/vulnerabilities/meltdown zeigt, ob das aktuelle System gegen Meltdown gewappnet ist.

Gegen die erste Variante der Spectre-Schwachstelle gibt es indes überhaupt noch keine Patches, die sollen erst im nächsten Linux-Kernel 4.16 umgesetzt werden, dessen Entwicklungsphase mit der finalen Veröffentlichung von Linux 4.15 beginnt. Die Arbeit an diesem Patch ist äußerst aufwendig, denn der gesamte Code des Linux-Kernels muss nach kritischen Stellen durchforstet werden. Die Ausgabe von cat /sys/devices/system/cpu/vulnerabilities/spectre_v1 wird wohl noch eine Weile "Vulnerable" lauten.

Spectre bleibt ein Problem

Einer der Entdecker der Sicherheitslücken, Daniel Gruß, bezweifelt indes, dass sich die beiden Schwachstellen überhaupt durch Softwarepatches vollständig beheben lassen. Zumindest dürften Meltdown und Spectre die Kernel-Entwickler noch lange Zeit beschäftigen und vermutlich noch den einen oder anderen Wutausbruch Torvalds provozieren.

 Betriebssysteme: Patches für Meltdown und Spectre in Linux 4.15Endlich Treiber für AMDs Vega-Karten 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Blu-ray-Angebote
  1. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...
  2. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  3. (2 Monate Sky Ticket für nur 4,99€)

Folgen Sie uns
       


Huawei P20 Pro - Hands on

Huaweis neues Smartphone P20 Pro kommt mit drei Hauptkameras und einer Reihe von KI-Funktionen. Wir haben uns das Gerät in einem ersten Hands on angeschaut.

Huawei P20 Pro - Hands on Video aufrufen
Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

    •  /