Open-BSD-Entwickler Theo de Raadt ruft Nutzer des Betriebssystems im Lichte von TL-Bleed und L1 Terminal Fault (L1TF, Foreshadow) dazu auf, SMT/Hyperthreading auf ihrer Intel-Hardware abzuschalten.
Open BSD gilt als Betriebssystem mit einem starken Fokus auf Sicherheit. Theo de Raadt begründet den drastischen Schritt in zwei weiteren kürzlich aufgedeckten Sicherheitslücken in Intel-CPUs.
Über TL-Bleed lassen sich Intel-Hyperthreading-CPUs, die Simultaneous Multithreading (SMT) verwenden, über eine Timing-Attacke angreifen. Beim Hyperthreading teilen sich auf einem Kern zwei Prozesse die Hardware einschließlich der Caches. Der (nicht-triviale) Angriff nutzt dabei den Translation Lookaside Buffer (daher TLB), um beispielsweise kryptografische Keys auszulesen. TL-Bleed steht dabei nicht in Verbindung mit Spectre und Meltdown.
Das sieht bei L1 Terminal Fault (L1TF) etwas anders aus. Hier handelt es sich um eine Gruppe von Schwachstellen, zu denen unter anderen Foreshadow und Foreshadow-NG gehören und die für potenzielle Angriffe die spekulative Ausführung auf Intel CPUs ausnutzen. Die Lücken ähneln denen von Spectre, sind seit Januar 2018 bekannt, wurden aber erst im August veröffentlicht.
“SMT ist fundamental kaputt”
Diese Bugs zu beheben, erfordert laut einem Post von Theo de Raadt nicht nur neuen CPU-Microcode und Code-Änderungen, sondern auch das Abschalten von SMT / Hyperthreading. Letzteres sei fundamental kaputt, weil es das Teilen von Ressourcen zwischen zwei CPU-Instanzen erlaube, ohne dabei die Sicherheit zu berücksichtigen. Hier bestehe die Gefahr, Kernel oder VM-übergreifende Speicherinhalte zu leaken.
Laut de Raadt werden noch weitere Hardware-Bugs ans Licht kommen und SMT werde seiner Einschätzung nach die Lage aufgrund seiner Interaktion mit Intels spekulativer Ausführung eher verschlimmern. Er ruft daher erneut dazu auf, Hyperthreading über das Bios abzuschalten. Open BSD 6.4 werde kein Hyperthreading verwenden und wo möglich, den CPU-Microcode aktualisieren.
Ältere BSD-Versionen
Für Open BSD 6.2 und 6.3 sehe die ohnehin komplexe Lage schwieriger aus, da Intel nicht sage, was als nächstes zu erwarten sei und nicht öffentlich dokumentiere, wie sich Betriebssysteme schützen lassen. Man werde die Änderungen aus Zeit und Personalgründen nicht zurück portieren, sondern sich auf Open BSD 6.4 konzentrieren. Er werde sein Geld künftig jedenfalls in einen vertrauenswürdigeren Anbieter stecken, beendet de Raadt seinen Aufruf.






