MSI Assassins Bundle

Microsoft: Über Microcode-Updates und Leistungsverluste

reported by doelf, Mittwoch der 10.01.2018, 18:15:27 Uhr

Windows-Chef Terry Myerson hat sich zum Thema "Meltdown" und "Spectre" geäußert und dabei auch Microsofts Vorgehen bei Windows näher beleuchtet. Seinem Cloud-Blog-Beitrag lässt sich entnehmen, dass zum Abdichten der zweiten Spectre-Variante (CVE-2017-5715) Microcode-Updates benötigt werden. Und diese sind zugleich der große Leistungskiller für Intel-Prozessoren der Generation Haswell und älter.

Die Sicherheitslücken und ihre Lösungen
Die erste Spectre-Variante (CVE-2017-5753 betrifft Intel, AMD, NVIDIA und ARM) konnte Microsoft durch Änderungen im Compiler umschiffen. Die umfangreichen Patches, die derzeit über Windows Update ausgeliefert werden, enthalten bereits die neu compilierten Teile von Windows. Zusätzlich wurden Änderungen an den JavaScript-Engines der beiden Webbrowser Edge und Internet Explorer 11 vorgenommen, um Angriffe auf CVE-2017-5753 zu erschweren. Dieser Fix funktioniert ohne Microcode-Updates.

Die zweite Spectre-Variante (CVE-2017-5715 betrifft Intel, NVIDIA und ARM), welche auf die Sprungvorhersage abzielt, benötigt neue CPU-Befehle, die per Microcode-Update nachgerüstet werden müssen. Üblicherweise werden Microcode-Updates über ein UEFI-Update (BIOS) eingespielt, doch dies setzt voraus, dass der PC- oder Mainboard-Hersteller ein solches anbietet. Bei Produkten, die älter als drei Jahre sind, dürfte dies nur selten der Fall sein. Alternativ bieten auch einige Linux-Distributionen die Möglichkeit, Microcode-Updates durchzuführen.

Die Meltdown-Schwachstelle (CVE-2017-5754 betrifft Intel und ARM), die neben Prozessoren von Intel nun auch einige Modelle von ARM betrifft, wurde hingegen vollständig geschlossen. Windows sorgt hier mit seinen aktuellen Patches für eine bessere Isolierung der Seitentabellen von Kernel- und Programmspeicher, was diesen Angriffsvektor auch ohne Microcode-Update unterbindet.

CVE-2017-5715 ist der Leistungskiller
Laut Myerson hat CVE-2017-5715 die größten Auswirkungen auf die Leistung, da die Microcode-Updates bisher genutzte Optimierungen lahmlegen. Eine Beurteilung der Leistungseinbußen ist folglich erst möglich, wenn neben dem Betriebssystem auch der Prozessor aktualisiert wurde:

  • Bei der Kombination aus Windows 10 mit einer Intel-CPU der Generationen Skylake, Kaby Lake oder Coffee Lake bewegen sich die Einbrüche im einstelligen Prozentbereich und machen sich in der Praxis kaum bemerkbar.
  • Trifft Windows 10 auf einen Intel-Prozessor der Haswell-Baureihe oder älter, kommt es teilweise zu signifikanten Performance-Einbußen, die man im Alltagsbetrieb durchaus bemerken kann.
  • Läuft ein Haswell oder älter unter Windows 8.1 oder Windows 7, lässt sich die Bremswirkung der Sicherheitsflicken nur schwer übersehen. Dies liegt daran, dass hier mehr Aufgaben im Kontext des Kernels ausgeführt werden.
  • Bei Windows Server ist - ganz unabhängig vom eingesetzten Prozessor - besondere Vorsicht geboten, denn IO-intensive Aufgaben reagieren besonders heftig auf die Sicherheits-Updates. Hier muss man zwischen optimaler Sicherheit und unbedingt benötigter Leistung abwägen.

Terry Myerson merkt zudem an, dass die gesamte IT-Branche bei der Bekämpfung dieser Schwachstellen noch am Anfang stehe. Microsoft werde versuchen, die Auswirkungen durch weitere Optimierungen so gering wie möglich zu halten. Dennoch wird die Bekämpfung von Spectre ältere Systeme dauerhaft ausbremsen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]