Hersteller haben das letzte Wort
14.05.2018, 11:08 Uhr
Prozessor-Desaster: Und die Kunden stehen im Regen
Spectre Next Generation lässt grüssen. Und das Vertrauen in Intel und Partner schwindet, solange jeder Hersteller das letzte Wort haben will.
Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-)Prozessoren gestossen. Man spricht bereits von Spectre Next Generation (Spectre-NG). Zwar lieferten bisher wenigstens einige PC- und Mainboard-Hersteller zügig Microcode-Updates nach, nachdem Intel anfangs sogar einige Hardware-Abdichtungen vermasselte, die zu plötzlichen Neustarts führten. Doch es dauerte zum Beispiel auch bei mir auf meinem Asus-Haswell-E-Mainboard (2013) mehrere Monate, bis die zum Schutz von Spectre Variante 2 nötigen Microcode-Updates fürs BIOS eingetroffen waren. Dabei frage ich mich immer wieder, welcher Otto Normalverbraucher überhaupt BIOS-Updates einspielt. Alleine dieses zusätzliche Flickprozedere überfordert manchen Anwender.
Hersteller dokumentieren ungenau
Man weiss aber auch bei all den anderen Herstellern nicht, wo man sich die Informationen zusammensuchen kann. Firmen wie Qualcomm, Samsung und Google haben zig Millionen Geräte verkauft, die ebenfalls betroffen sind. Besonders schwer wiegt dabei, dass die Hersteller bis heute nicht genau dokumentieren, welche Geräte von welchen Lücken betroffen sind. Und Google sieht sich als Friedensrichter, weil die Sicherheitsabteilung des Suchmaschinenkonzerns massgeblich an der Entdeckung der CPU-Lücke beteiligt war. Dabei muss man wissen, dass der Suchmaschinist auch einer der grössten Intel-Kunden und gleichzeitig ein starker Konkurrent von Microsoft ist.
Ich frage mich zum Beispiel auch, warum das Windows-10-April-Update auf einigen Systemen auf einmal wieder die Microcode-Updates gegen Spectre V2 verdrängt? Und welche Geräte, ausser der Surface-Reihe, will Microsoft nun (weil es die Linux-Entwickler schon länger tun?) seit März auf eigene Faust mit Microcode-Updates über optionale Windows-Updates beliefern?
Solange es zu all diesen Fragen keine zentrale Koordinationsstelle gibt, welche die Informationen für mehrere Kundenportale der Chip-Partner kanalisieren kann, herrscht ein hoffnungsloses Chaos. Vielleicht bräuchte es sogar ein Gremium mehrerer Security-Firmen, das bei neuen Beschlüssen das letzte Wort hat. Solange nämlich die Hersteller ihre Bedeutungsrivalitäten über die Kundenbedürfnisse stellen, werden nur die wenigsten Anwender wichtige Updates einspielen.