Die bisher im Linux-Kernel neben anderen Techniken als Spectre-Schutz eingesetzten Retpolines sollen schneller werden. Ermöglicht werden soll das mit ganz viel Assembler-Code, wobei aber auch alle indirekten Code-Branches gepatcht werden sollen, nicht nur ausgewählte. Von Golem:

Vor knapp einem Jahr sind die Sicherheitslücken Meltdown und Spectre bekanntgeworden. Während Patches gegen Meltdown vergleichsweise klar von der Linux-Kernel-Community umgesetzt werden konnten, gab es zunächst viele konkurrierende Ansätze gegen die Spectre-Variante 2. Eine dieser Varianten sind die sogenannten Retpolines, deren Idee nun anders umgesetzt und dadurch noch beschleunigt werden soll. Dazu hat der VMware-Entwickler Nadav Amit die zweite Serie seiner Patch-Serie auf der Mailingliste der Kernel-Hacker vorgestellt.

Die Patches von Amit hießen ursprünglich Relpoline, sind inzwischen aber in Optpoline umbenannt worden, um die Ähnlichkeit zu den Retpolines zu verringern. Der Vorteil dieser neuen Technik soll vor allem darin liegen, dass Entwickler ihren Code nicht wie bisher eigens für die Verwendung der Sicherheitspatches anpassen müssen. Bei den Optpolines werden die indirekten Funktionsaufrufe vielmehr ohne derartige Vorarbeiten automatisch optimiert.

Weiter lesen