NerdkramsIn den Nachrichten
„Melt­down“ und „Spect­re“ bewei­sen: Open Source bedeu­tet Korruption.

Es gibt etwas zu fei­ern im Land der nie enden wol­len­den bizar­ren Lust an der Selbst­ent­man­nung, näm­lich in Linux­land, wo die mei­sten Sicher­heits­for­scher zu woh­nen schei­nen, sicht­lich berauscht von Din­gen, von denen ich lie­ber nichts abbe­kom­men möch­te: Es durf­ten wie­der bun­te Bild­chen gemalt und Wör­ter aus dem Eng­lisch­wör­ter­buch einer Zweit­ver­wen­dung zuge­führt wer­den. Ich fra­ge mich ja, wann wohl die erste Sicher­heits­lücke nur des­halb irgend­wo absicht­lich ein­ge­baut wird, damit man auch mal so ein Logo bekommt.

Das Dop­pel­loch aus „Melt­down“ und „Spect­re“ hat die unfei­ne Eigen­heit, dass es nicht etwa Betriebs­sy­ste­me, son­dern Pro­zes­so­ren betrifft und ver­mut­lich in Tei­len bereits in den 1980er Jah­ren auf DEC-Syste­men, von denen Intel sich man­ches abge­guckt zu haben scheint, zu fin­den war. Zu lösen ist das Pro­blem­chen letzt­lich also nur auf unter­ster Ebe­ne, not­dürf­tig geflickt wer­den die mei­sten Stel­len, aus denen die Feh­ler her­aus­trop­fen, aller­dings zunächst unter Win­dows, macOS und Linux.

Die­se Rei­hen­fol­ge über­rascht, wenn man weiß, dass sich die Ent­wick­ler von Open­BSD schon vor über zehn Jah­ren der poten­zi­el­len Ärger­nis­se in wenig­stens x86-kom­pa­ti­blen CPUs bewusst waren. Die Grün­de dafür sind aller­dings rein öko­no­mi­scher Natur:

Details of the vul­nerabi­li­ty within Intel’s sili­con are under wraps: an embar­go on the spe­ci­fics is due to lift ear­ly this month, per­haps in time for Microsoft’s Patch Tues­day next week. Inde­ed, patches for the Linux ker­nel are available for all to see but comm­ents in the source code have been redac­ted to obfusca­te the issue.

Das heißt über­setzt und zusam­men­ge­fasst: Der­je­ni­ge Her­stel­ler, der einen mit „Sicher­heits­lücke“ nur unzu­rei­chend beschrie­be­nen Feh­ler in einer Kern­kom­po­nen­te der mei­sten der­zeit ver­wen­de­ten Com­pu­ter ver­ur­sacht hat, trifft allein die Ent­schei­dung, wel­che Betriebs­sy­ste­me vor ihr sicher sein dür­fen und wel­che nicht, und ver­hängt auf der Grund­la­ge rei­nen Bauch­ge­fühls ein Embar­go gegen die Ver­öf­fent­li­chung von Details. Wer sich an ein sol­ches Embar­go nicht hält, der darf beim näch­sten Mal eben nicht mehr mit­spie­len; Open­BSD, des­sen Pro­jekt­lei­ter Theo de Raadt von irgend­wel­chen Geheim­nis­sen auf Kosten einer mög­lichst brei­ten Com­pu­ter­si­cher­heit aus­drück­lich nichts hält, hat jetzt (wie auch ande­re BSDs) das Nachsehen.

Open Source ist sicher – wenn die Wirt­schaft das so will. Aber Haupt­sa­che, das Logo ist schick.


Nach­trag vom 5. Januar:
Der „heise“-Verlag bläst Alarm: Nicht nur gewöhn­li­che Intel­pro­zes­so­ren sind betrof­fen, son­dern sogar die in Apple-Geräten!!!11!

Senfecke:

  1. Ich geb dir ja recht, daß es nur absurd ist, daß Sicher­heits­lücken inzwi­schen schon Logos bekom­men. Naja, das machen ver­mut­lich irgend­wel­che Desi­gner zur Zer­streu­ung so zwi­schen­durch. Man bekommt aber fast den Ein­druck, daß es cool ist, so ein Logo zu bekommen.

    Auf der ande­ren Sei­te, daß sich jemand über sol­che Sicher­heits­lücken in Hard­ware wun­dert, ist fast noch pein­li­cher. Cis­ko baut seit Jah­ren Back­doors in ihre Rou­ter, Swit­ches etc ein. War­um soll­te das bei Intel anders sein? Geheim­dien­ste wer­den sicher nicht taten­los zuse­hen, wäh­rend Fir­men Hard­ware bau­en, die abhör­si­cher ist…

    Alu­hut abduck…

  2. Habe ich Dich jetzt rich­tig ver­stan­den: Open­BSD et al. (Open source) spie­len beim Embar­go nicht mit und bekom­men kei­ne „Vor­ab­in­fos“, Linux (Open source) hält sich (kor­rup­ter Wei­se?) an das Embar­go und darf die Lücke zeit­nah schlie­ßen (oder es zumin­dest versuchen)?
    Was hat das mit Dei­ner pro­vo­kan­ten Über­schrift zu tun? Genau nichts!

    • Nein: Das kor­rum­pie­ren­de Unter­neh­men Intel ent­schei­det, wann wel­cher Soft­ware­her­stel­ler die Lücke schlie­ßen darf.

      Die blo­ße Exi­stenz von „Bug­fi­xem­bar­gos“ ist der­ma­ßen wider­lich, dass mir beim Schrei­ben des Arti­kels direkt ein biss­chen Kot­ze hoch­ge­kom­men ist.

      • Ja, das kann ich voll nach­voll­zie­hen. Ist aber wenig spe­zi­fisch für Open source, wie der Titel impli­ziert. Wenn man die Mit­tei­lun­gen von Intel liest, schei­nen sie ja auch nichts falsch gemacht zu haben.

Comments are closed.

https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_smilenew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_biggrin2.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_sadnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_eek.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_shocked.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_confusednew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_coolnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_lol.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_madnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_aufsmaul.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_seb_zunge.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_blushnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_frown.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_twistedevil1.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_twistedevil2.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/icon_mad.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_rolleyesnew.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_wink2.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_idea2.gif  https://tuxproject.de/blog/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_arrow2.gif 
mehr...
 
 

Erlaubte Tags:
<strong> <em> <pre> <code> <a href="" title=""> <img src="" title="" alt=""> <blockquote> <q> <b> <i> <del> <span style=""> <strike>

Datenschutzhinweis: Deine IP-Adresse wird nicht gespeichert. Details findest du hier.