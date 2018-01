Microsoft hat seinen C/C++Compiler um eine Option erweitert, mit der er Befehle in den erzeugten Code einbaut, die die übersetzte Anwendung vor Angriffen nach Spectre Variante 1 schützen soll.

Entwickler, deren Code mit Daten umgeht, die die Grenzen von Vertrauenszonen überschreiten, sollten sich die neueste Version von Microsofts C/C++-Compiler herunterladen, ihre Anwendung mit der Option / d2guardspecload neu übersetzen und ihren Kunden möglichst schnell die neuen Binaries zukommen lassen. Das empfiehlt Microsoft in einem Beitrag im Visual C++ Team Blog.

Der Schalter bewirkt, dass der Compiler den Code nach Passagen durchsucht, die Trittbrettfahrer für Angriffe benutzen könnten, die die kürzlich entdeckte Sicherheitslücke Spectre Variante 1 (Bounds Check Bypass, CVE-2017-5753) ausnutzen. An diesen Stellen fügt der Compiler dann Befehle in den Maschinencode ein, die der CPU verbieten, den folgenden Code spekulativ auszuführen. Eine solche Ausführung von Code "auf Verdacht", die eigentlich dazu dient, die Rechenleistung einer CPU möglichst optimal auszunutzen, ist das Einfallstor für Spectre-1-Angriffe.

Die Auswirkungen der Compiler-Option auf die Ausführungsgeschwindigkeit des erzeugten Codes ist Microsoft zufolge vernachlässigbar. Trotzdem lässt sich die Prüfung für besonders Performance-kritische Code-Passagen mit dem Befehl __declspec(spectre(nomitigation)) abschalten.