Es gibt etwas zu feiern im Land der nie enden wollenden bizarren Lust an der Selbstentmannung, nämlich in Linuxland, wo die meisten Sicherheitsforscher zu wohnen scheinen, sichtlich berauscht von Dingen, von denen ich lieber nichts abbekommen möchte: Es durften wieder bunte Bildchen gemalt und Wörter aus dem Englischwörterbuch einer Zweitverwendung zugeführt werden. Ich frage mich ja, wann wohl die erste Sicherheitslücke nur deshalb irgendwo absichtlich eingebaut wird, damit man auch mal so ein Logo bekommt.
Das Doppelloch aus „Meltdown“ und „Spectre“ hat die unfeine Eigenheit, dass es nicht etwa Betriebssysteme, sondern Prozessoren betrifft und vermutlich in Teilen bereits in den 1980er Jahren auf DEC-Systemen, von denen Intel sich manches abgeguckt zu haben scheint, zu finden war. Zu lösen ist das Problemchen letztlich also nur auf unterster Ebene, notdürftig geflickt werden die meisten Stellen, aus denen die Fehler heraustropfen, allerdings zunächst unter Windows, macOS und Linux.
Diese Reihenfolge überrascht, wenn man weiß, dass sich die Entwickler von OpenBSD schon vor über zehn Jahren der potenziellen Ärgernisse in wenigstens x86-kompatiblen CPUs bewusst waren. Die Gründe dafür sind allerdings rein ökonomischer Natur:
Details of the vulnerability within Intel’s silicon are under wraps: an embargo on the specifics is due to lift early this month, perhaps in time for Microsoft’s Patch Tuesday next week. Indeed, patches for the Linux kernel are available for all to see but comments in the source code have been redacted to obfuscate the issue.
Das heißt übersetzt und zusammengefasst: Derjenige Hersteller, der einen mit „Sicherheitslücke“ nur unzureichend beschriebenen Fehler in einer Kernkomponente der meisten derzeit verwendeten Computer verursacht hat, trifft allein die Entscheidung, welche Betriebssysteme vor ihr sicher sein dürfen und welche nicht, und verhängt auf der Grundlage reinen Bauchgefühls ein Embargo gegen die Veröffentlichung von Details. Wer sich an ein solches Embargo nicht hält, der darf beim nächsten Mal eben nicht mehr mitspielen; OpenBSD, dessen Projektleiter Theo de Raadt von irgendwelchen Geheimnissen auf Kosten einer möglichst breiten Computersicherheit ausdrücklich nichts hält, hat jetzt (wie auch andere BSDs) das Nachsehen.
Open Source ist sicher – wenn die Wirtschaft das so will. Aber Hauptsache, das Logo ist schick.
Nachtrag vom 5. Januar:
Der „heise“-Verlag bläst Alarm: Nicht nur gewöhnliche Intelprozessoren sind betroffen, sondern sogar die in Apple-Geräten!!!11!
Jehova! Jehova!
Ich geb dir ja recht, daß es nur absurd ist, daß Sicherheitslücken inzwischen schon Logos bekommen. Naja, das machen vermutlich irgendwelche Designer zur Zerstreuung so zwischendurch. Man bekommt aber fast den Eindruck, daß es cool ist, so ein Logo zu bekommen.
Auf der anderen Seite, daß sich jemand über solche Sicherheitslücken in Hardware wundert, ist fast noch peinlicher. Cisko baut seit Jahren Backdoors in ihre Router, Switches etc ein. Warum sollte das bei Intel anders sein? Geheimdienste werden sicher nicht tatenlos zusehen, während Firmen Hardware bauen, die abhörsicher ist…
Aluhut abduck…
Wie man es dreht und wendet – es wird jedes Mal ein Bisschen hässlicher
Habe ich Dich jetzt richtig verstanden: OpenBSD et al. (Open source) spielen beim Embargo nicht mit und bekommen keine „Vorabinfos“, Linux (Open source) hält sich (korrupter Weise?) an das Embargo und darf die Lücke zeitnah schließen (oder es zumindest versuchen)?
Was hat das mit Deiner provokanten Überschrift zu tun? Genau nichts!
Nein: Das korrumpierende Unternehmen Intel entscheidet, wann welcher Softwarehersteller die Lücke schließen darf.
Die bloße Existenz von „Bugfixembargos“ ist dermaßen widerlich, dass mir beim Schreiben des Artikels direkt ein bisschen Kotze hochgekommen ist.
Ja, das kann ich voll nachvollziehen. Ist aber wenig spezifisch für Open source, wie der Titel impliziert. Wenn man die Mitteilungen von Intel liest, scheinen sie ja auch nichts falsch gemacht zu haben.