• IT-Karriere:
  • Services:

Sicherheitsupdate: Microsoft-Compiler baut Schutz gegen Spectre

Eine neue Funktion in Microsofts Compiler für C und C++ soll Schutzmaßnahmen gegen eine Variante des Spectre-Angriffs in Code einbauen. Diese Vorgehen wird zwar von Intel empfohlen, hat aber offensichtlich Grenzen und wird deshalb von der Linux-Community kritisiert.

Artikel veröffentlicht am ,
Beispielcode, der mit dem Spectre-Schutz erstellt worden ist.
Beispielcode, der mit dem Spectre-Schutz erstellt worden ist. (Bild: Microsoft)

Wie bereits von Microsoft angekündigt muss Code mit bestimmten Compiler-Optionen neu erstellt werden, um Schutzmaßnahmen gegen die Variante 1 des Spectre-Angriffs (CVE-2017-5753) erhalten zu können. Das Compiler-Team von Microsoft erklärt nun die Verfügbarkeit und Funktionsweise dieser Option in seinem eigenen Compiler MSVC für C und C++.

Stellenmarkt
  1. ZfP Südwürttemberg, Bad Schussenried
  2. DRÄXLMAIER Group, Vilsbiburg bei Landshut

Demnach enthalten aktuelle Versionen des Compilers die Option /Qspectre, die bisher aber nur für optimierten Code funktioniere (/O2 oder /O1). Ältere Compiler-Versionen enthalten die undokumentierte Option /d2guardspecload, die gleichbedeutend sei zu /Qspectre. Nutzer sollten aber auf /Qspectre wechseln, sobald diese in ihren Compilern verfügbar sei.

Die neue Option bewirkt das von Chiphersteller Intel empfohlene Vorgehen gegen diesen Spectre-Angriff. Dabei fügt der Compiler den Befehl LFENCE in die Codeabschnitte ein, die möglicherweise von dem Angriff betroffen sind. Das sorgt für eine direkte Barriere im Code. Sie unterbindet die für den Angriff genutzte spekulative Ausführung auf der CPU.

LFENCE hat Grenzen

Microsoft zufolge ist es wichtig zu beachten, dass es Grenzen für die Analyse gibt, die MSVC und Compiler im Allgemeinen durchführen können, wenn versucht wird, Instanzen von Variante 1 von Spectre zu identifizieren. "Daher gibt es keine Garantie, dass alle möglichen Instanzen von Variante 1 unter /Qspectre richtig behandelt werden", schreibt Microsoft.

Das sehen auch die Entwickler des Linux-Kernels, die ebenfalls vor dem Problem stehen, Schutzmaßnahmen gegen den Angriff umzusetzen. Darüber hinaus fürchten diese aber Leistungseinbußen durch die Verwendung von LFENCE, auch wenn etwa Microsoft sagt, dass diese in ihrem Fall vernachlässigbar sein sollten. Die Entwickler des Linux-Kernels arbeiten deshalb an alternativen Lösungen, die den Code vor Spectre schützen sollen. Das erfordert aber wohl größere konzeptionelle Umbauarbeiten am Code.

Einer der Entdecker von Spectre, Daniel Gruß, sagte im Interview mit Golem.de, dass er nur ein "geringes Vertrauen" in die Softwarelösungen zum Beheben von Spectre habe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 71,71€
  2. (u. a. Asus Zenbook 14 für 1.049,00€, Lenovo Ideapad 330 für 439,00€, MSI Trident 3 für 759...
  3. (u. a. Foscam Outdoor Netzwerk-Kamera für 69,90€, HP 15s Power Notebook für 629,00€, LG 27...
  4. 139,99€

Mr Miyagi 25. Jan 2018

Doch wird, sie schap23 hat da schon recht. Der Compiler fügt dann an Stellen die er für...

Mr Miyagi 25. Jan 2018

Ich denke die haben wir vor sehr langer Zeit überschritten, ungefähr seit der MOS 6502...

Mr Miyagi 25. Jan 2018

Software die mit dem Compiler genaut wurde, bei der die Option eingeschaltet war ist...

anonym 19. Jan 2018

vllt das gute alte phoronix? https://www.phoronix.com/scan.php?page=news_item&px=GCC-7.3...

1st1 18. Jan 2018

Siehe https://skyfallattack.com/ - es geht weiter...


Folgen Sie uns
       


Google Stadia - Test

Beim Test haben wir verschiedene Spiele auf Stadia von Google ausprobiert und uns mit der Einrichtung und dem Zugang beschäftigt.

Google Stadia - Test Video aufrufen
Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


      •  /