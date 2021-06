Intel schlägt einen radikalen Weg bei der Schließung von Sicherheitslücken wie Zombieload v2 ein, welche die Befehlssatzerweiterungen Transactional Synchronization Extensions (TSX) ausnutzen: Microcode-Updates deaktivieren die verantwortliche Hardware-Funktion bei zahlreichen Notebook-, Desktop- und Serverprozessoren.

Betroffen sind alle Prozessoren der Generationen Skylake (Core i-6000), Kaby Lake (Core i-7000), Coffee Lake (Core i-8000) und Coffee Lake Refresh (Core i-9000) sowie deren Mobilableger wie etwa Whiskey Lake (Core i-8000U). Im Falle von Servern schaltet Intel TSX bei der ersten Xeon-Scalable-Processors-Generation (Skylake-SP) und den Xeon D ab. Die beiden Generationen Haswell (Core i-4000) und Broadwell (Core i-5000) enthalten zwar auch TSX-Hardware, allerdings hat Intel diese aufgrund von Problemen schon kurz nach dem Verkaufsstart abgeschaltet.

Die Deaktivierung von TSX fiel der Webseite Phoronix durch Linux-Kernel-Patches auf. Intel hat sie in einer PDF-Dokumentation angekündigt (Download). Microsoft verteilt entsprechenden Microcode üblicherweise mittels Windows-Updates.

Klaffende Sicherheitslücken

TSX beschreibt Befehlssatzerweiterungen, die Daten im RAM wie Datenbanken behandeln (transaktionaler Speicher) und so die Parallelisierung mehrerer Threads verbessern sollen. Da die Ausführung spekulativ ist, lassen sich Daten durch Manipulation auslesen. Die Sicherheitslücke Zombieload v2 ist schon seit 2018 bekannt, wurde seitdem aber nicht von Intel geschlossen. Im Falle der alternden Prozessoren bis Coffee Lake Refresh wird abseits der Deaktivierung kein Fix mehr erscheinen.

Auch wenn Intel Leistungsverbesserungen von bis zu 40 Prozent durch TSX in einzelnen Anwendungen in Aussicht stellte, hat sich die Befehlssatzerweiterungen nur in spezieller Datenbank-Software etabliert. Dort kann TSX die Performance mehr als verdoppeln. Wer die Funktion einsetzen möchte, sollte zu einem neuen Prozessor greifen und auf zeitnahe Sicherheits-Updates von Intel hoffen.

(mma)