Meltdown-Spectre-Patches – Microsoft detailliert Leistungseinbußen

Terry Myerson, Executive Vice President der Windows and Devices Group bei Microsoft, hat in einem Blogeintrag bestätigt, dass sich die in der vergangenen Woche veröffentlichten Patches für die CPU-Sicherheitslücken Meltdown und Spectre negativ auf die Performance von Windows-Systemen auswirken. Demnach sollen vor allem Nutzer älterer Systeme die Einbußen spüren – generell nehmen die Auswirkungen offenbar mit dem Alter des Systems zu.

Bei Windows-10-Rechnern mit Haswell-CPUs (vierte Core-Generation) oder älteren Prozessoren sollen die Einbußen zumindest für einige Nutzer spürbar sein. Läuft auf Rechnern dieses Alters noch Windows 8 oder gar Windows 7, sollen sogar die meisten Nutzer einen Rückgang der Performance feststellen.

Besser sieht es bei Systemen mit Skylake (fünfte Core-Generation), Kaby Lake oder gar neueren CPUs aus, die ab etwa 2016 angeschafft wurden. Hier sollen Benchmarks unter Windows 10 lediglich Einbußen im einstelligen Prozentbereich belegen. “Aber wir glauben, dass die meisten Nutzer keine Veränderung feststellen werden, da diese Prozentsätze Millisekunden entsprechen”, schreibt Myerson. Auf neuere Intel-basierte PCs mit Windows 8 oder Windows 7 ging der Manager nicht ein.

Anders verhält es sich bei Windows Server. Hier sind ihm zufolge vor allem IO-intensive Applikationen betroffen, falls die Abschwächungen für die Isolierung von nicht vertrauenswürdigem Code innerhalb einer Windows-Server-Instanz aktiviert werden. Myerson rät deswegen, das Risiko einer Ausführung von nicht vertrauenswürdigem Code für jede Windows-Server-Instanz zu prüfen, um die richtige Balance zwischen Sicherheit und Performance für die eigene Umgebung zu finden.

Skylake und neuere Intel-CPUs verfügen über neuere Befehlssätze, die eine gezieltere Deaktivierung von Branch Speculation ermöglichen, was die Auswirkungen der Spectre-Patches reduzieren soll. Ältere Windows-Versionen sollen mehr User-Kernel-Übergänge haben, die der eigentliche Auslöser der Schwachstellen sind, und deswegen stärker von den Einbußen betroffen sein. Beispielsweise sollen Windows 7 und Windows 8 alle Schriften im Kernel rendern. Detaillierte Benchmarks will Microsoft in den kommenden Wochen veröffentlichen.

Zudem fasste Myerson die Änderungen zusammen, die die Patches für Meltdown und Spectre mit sich bringen. So wurden für den Spectre Bounds Check Bypass (CVE-2017-5753) Änderungen am Compiler durchgeführt und Schutzmaßnahmen gegen Angriffe per JavaScript zu Edge und Internet Explorer 11 hinzugefügt.

Für die zweite Spectre-Lücke (Branch Target Injection, CVE-2017-5715) werden neue CPU-Befehle zur Eliminierung von Branch Speculation in risikoreichen Situationen benötigt. Dafür ist ein Microcode-Update erforderlich, das Intel nach eigenen Angaben zumindest für in den vergangenen fünf Jahren entwickelte Prozessoren bereitstellen will. Jedoch ist offen, ob alle PC- und Mainboard-Hersteller diese Updates auch für ihre Produkte anbieten werden. Asus beispielsweise beschränkt die Patches für seine Mainboards auf Intel-Prozessoren der sechsten, siebten und achten Generation – die Generation 4 Haswell und 5 Skylake gehen demnach zumindest bei Asus leer aus.

Der Windows-Patch für die Meltdown-Lücke (CVE-2017-5754) schließlich isoliert die Seitentabellen für Kernel-Mode und User-Mode. Er soll sich jedoch kaum auf die Performance auswirken – die größten Folgen sollen Myerson zufolge die Kombination von Software-Patch und Microcode-Update für die zweite Spectre-Lücke haben.

Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!