zurück zum Artikel

Xen rüstete virtuelle Maschinen gegen Intel-Lücke Lazy FP State Restore Update

Xen rüstete virtuelle Maschinen gegen Intel-Lücke Lazy FP State Restore

(Bild: Pixabay )

Dank aktuellen Sicherheitsupdates ist der Hypervisor von Xen nicht mehr für den CPU-Bug Spectre-NG 3 anfällig.

Die Xen-Entwickler haben ihren Hypervisor zum Umgang mit virtuellen Maschinen gegen das Ausnutzen der Intel-CPU-Lücke Spectre-NG 3 gewappnet. Wer mit dem Virtual-Machine-Monitor von Xen arbeitet, sollte die verfügbaren Sicherheitsupdates installieren, raten die Entwickler [1].

Die jüngst enthüllte Lücke [2] trägt den Namen Lazy FP State Restore und Angreifer könnten per Seitenkanal-Attacke Informationen aus bestimmten Registern von betroffenen CPUs auslesen. Davon sind ausschließlich x86-Prozessoren der Core-Serie von Intel betroffen.

Im Fall von Xen sind das die Register AVX, AVX-512, MMX, SSE und x87. Das Auslesen von Zuständen kann entweder aus einem anderem Thread auf einem Gast-System oder sogar von einem anderen Gast-System erfolgen, erläutert Xen.

Als Workaround konnten der Hypervisor je nach Verfügbarkeit virtuelle CPUs via cpupools oder cpu pinning voneinander trennen, um das Auslesen von Registern zu unterbinden. Nun gibt es Patches, die das Problem lösen. Die abgesicherten Versionen sind in der Sicherheitswarnung aufgelistet [3]. Wie die Entwickler das Problem mit den Updates gelöst haben, ist bislang nicht bekannt.

[UPDATE, 15.06.2018 13:30 Uhr]

Letzten Absatz überarbeitet. (des [4])


URL dieses Artikels:
http://www.heise.de/-4079209

Links in diesem Artikel:
[1] https://xenbits.xen.org/xsa/advisory-267.html
[2] https://www.heise.de/meldung/CPU-Bug-Spectre-NG-Nr-3-Lazy-FP-State-Restore-4078222.html
[3] https://xenbits.xen.org/xsa/advisory-267.html
[4] mailto:des@heise.de