MSI RTX 2080 Serie

UPDATE: Intels Lizenz für Microcode-Updates untersagt Benchmarks

Meldung von doelf, Donnerstag der 23.08.2018, 19:37:40 Uhr

Intel bietet einen "Linux Processor Microcode Data File" zum Download an, der Microcode-Updates gegen zahlreiche Sicherheitslücken in den Prozessoren des Marktführers enthält. Bei der neuesten Version 20180807 vom 7. August 2018 gibt es allerdings ein Problem mit der Lizenz, denn diese verbietet Leistungsmessungen.

Moderne CPUs: Schnell aber unsicher
Seit der Dokumentation der ersten Meltdown- und Spectre-Angriffe im Januar 2018 sind Sicherheitslücken in Prozessoren ein Dauerbrenner. Alleine die letzten 30 Tage brachten uns mit ret2spec, SpectreRSB, Spectre 1.1, NetSpectre, Foreshadow und Foreshadow-NG eine Fülle neuer Angriffsmethoden, die auch Cloud-Server bedrohen und spezielle Schutzmechanismen wie Intels "Software Guard eXtensions" (SGX) aushebeln können. Die große Angriffswelle wurde zwar noch nicht gesichtet, doch dies dürfte nur eine Frage der Zeit sein.

Microcode-Updates: Flicken für die CPU
Abhilfe versprechen Microcode-Updates und Software-Aktualisierungen, doch die Hersteller von Computern und Mainboards kommen mit neuen UEFI-Firmwares, welche auch die Microcode-Updates enthalten, nicht mehr nach. Zudem ist der Support für viele Produkte bereits abgelaufen, so dass die betroffenen Kunden gar keine UEFI- oder BIOS-Updates mehr erwarten sollten. In diesem Fall helfen nur noch Microcode-Updates, die vom Betriebssystem während des Bootvorgangs geladen werden. Unter Linux ist dieses Vorgehen üblich, unter Windows eher die Ausnahme. Aufgrund der Tragweite des Problems hat aber auch Microsoft entsprechende Update-Pakete für Windows geschnürt.

Intels Lizenz verbietet Leistungsmessungen
Intel entwickelt Microcode-Updates, um die Fehler in seinen Produkten auszubessern, und die Entwickler der Betriebssysteme geben diese an ihre Kunden weiter. So weit, so gut. Doch die neueste Fassung von Intels Lizenzbedingungen enthält einen Punkt, den man nur noch als unverschämt bezeichnen kann. Unter Punkt 3 mit dem Titel Lizenzeinschränkungen (License Restrictions) findet sich der folgende Satz:

"Unless expressly permitted under the Agreement, You will not, and will not allow any third party to... (v) publish or provide any Software benchmark or comparison test results."

Übersetzung: "Sofern nicht ausdrücklich im Rahmen der Vereinbarung erlaubt, werden weder sie selbst noch über irgendeinen einen Dritten... (v) Software-Benchmarks oder Ergebnisse von Vergleichstests veröffentlichen oder bereitstellen."

Wenn die Entwickler der Betriebssysteme Intels Microcode-Updates an ihre Nutzer weiterreichen wollen, dürfen sie diese nicht mehr über mögliche Leistungsänderungen informieren. Und sie müssen darüber hinaus sicherstellen, dass auch ihre Nutzer Intels Lizenzbedingungen akzeptieren und auf eigene Leistungsmessungen verzichten. Bei Gentoo will man den Benutzern vor der Installation der Microcode-Updates Intels Lizenzbedingungen zur Zustimmung präsentieren, während man bei Debian aufgrund der neuen Lizenzbedingungen bisher auf die Bereitstellung der neuen Microcode-Updates verzichtet hat.

UPDATE: Alles nur ein Missverständnis?
Ein Blick in ältere Microcode-Updates zeigt, dass Intel diese weiterhin ohne Lizenzhinweise (Datei: license) ausliefert. Möglicherweise liegen diese nur Vorabversionen, welche Intel seinen Partnerfirmen für Testzwecke überlässt, bei. Dies würde auch erklären, warum Intel in Punkt 7 die Nutzer der Updates zur Verschwiegenheit verpflichtet. Laut heise online will Intel die Lizenzbedingungen nun überarbeiten. Dies ist aber noch nicht geschehen, was wiederum verwundert, denn es müsste nur die Textdatei "license" aus dem Archiv entfernt werden.

Microcode-Updates: Letzte Änderungen
Die Version 20180807 der Microcode-Updates kümmert sich um Foreshadow und die Angriffe auf SGX. Zuletzt hatte Intel die Option "Speculative Store Bypass Disable" (SSBD, CVE-2018-3639) integriert und Maßnahmen gegen "Rogue System Register Read" (RSRR, CVE-2018-3640) ergriffen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]