zurück zum Artikel

Transmeta kündigt für Mitte des Jahres neue Versionen ihres Efficeon-Prozessors an, die Programmcode nur aus freigegebenen Speicherbereichen ausführen.

Transmeta kündigt für Mitte des Jahres neue Versionen ihres Efficeon-Prozessors [1] an, die Programmcode nur aus freigegebenen Speicherbereichen ausführen. Andere RAM-Adressen lassen sich mit einer No-Execute-Markierung (NX) schützen [2], sodass die Angriffe mancher Viren und Würmer ins Leere laufen. Das kommende Service Pack 2 [3] für Microsoft Windows XP soll Prozessoren mit NX-Fähigkeiten unterstützen.

Für Desktop-Rechner gibt es bisher nur die AMD64-Prozessoren mit NX-Technik, Intel will [4] aber bei Verfügbarkeit des Service Pack 2 ebenfalls Pentium-4-Versionen mit NX ausliefern können. Für Intels Mobilprozessor Pentium M ist NX erst später vorgesehen, sodass der Efficeon zunächst der einzige Stromspar-Prozessor mit NX-Fähigkeiten ist -- abgesehen von den AMD-Athlon-64-Mobilvarianten, die bisher allerdings noch deutlich mehr Energie umsetzen.

Um die NX-Funktion, die beispielsweise Buffer- oder Heap-Overflow-Angriffe verhindern kann, gibt es etwas Begriffsverwirrung. Je nach Hersteller steht NX für No Execute oder No Execution, AMD spricht von "Hardware-gestütztem Virenschutz [5]", "Enhanced Virus Protection" oder schlichtweg "verbessertem Virenschutz [6]".

Microsoft selbst fasst NX und andere Verfahren unter dem Begriff Data Execution Prevention (DEP) zusammen und verweist in einer detaillierten Funktionsbeschreibung [7] explizit auf eine Reihe von erwarteten Inkompatibilitäten. Demnach funktioniert DEP mit NX bei 32-Bit-Systemen nur dann, wenn Windows im PAE-Modus [8] läuft. Diese Physical Address Extension beherrschen schon jetzt die meisten Desktop-Prozessoren, das Verfahren ist eigentlich zur Adressierung von RAM-Bereichen oberhalb von 4 GByte gedacht und bisher erst in den teuren Windows-Server-Versionen [9] Enterprise und Datacenter nutzbar. Es gilt nicht nur als langsam, sondern es gibt offenbar auch eine Reihe von Inkompatibilitäten [10] mit Applikationen und Treibern. Dennoch verwendet Microsoft PAE, um die Kompatibilität der Execution-Prevention-Verfahren mit 64-Bit-Systemen zu wahren, die ohne PAE auskommen werden.

Microsoft erwähnt auch vorhersehbare Probleme mit Just-in-Time-Compilern und DEP. Im welchen Fällen unter den von Microsoft beschriebenen Umständen der Einsatz der NX-Technik mit 32-Bit-Prozessoren in der Praxis überhaupt sinnvoll ist, erscheint zurzeit unklar. Bei 64-Bit-Serverprozessoren ist die NX-Funktion schon lange üblich. Für Linux ist mit Exec Shield [11] ein Speicherschutz verfügbar, ebenso wie etwa für OpenBSD [12] ("Non-executable"), NetBSD [13] und den GCC [14].

Siehe auch bei Telepolis:

• Besserer Virenschutz durch neue Prozessoren [15]

(ciw [16])

URL dieses Artikels:
https://www.heise.de/-98735

Links in diesem Artikel:
[1] http://www.transmeta.com/efficeon/index.html
[2] https://www.heise.de/hintergrund/Vergitterte-Fenster-Teil-1-270418.html
[3] https://www.heise.de/news/Weitere-Details-zu-Service-Pack-2-fuer-Windows-XP-95671.html
[4] https://www.heise.de/news/IDF-No-Execution-Speicherschutz-kommt-auch-bei-Desktop-Prozessoren-93785.html
[5] http://www.amd.com/de-de/Processors/ProductInformation/0,,30_118_9485_9487%5E9505,00.html#76638
[6] http://www.amd.com/de-de/Processors/ProductInformation/0,,30_118_9485_9488%5E9537,00.html#76609
[7] http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx#XSLTsection124121120120
[8] http://support.microsoft.com/default.aspx?scid=kb;en-us;283037
[9] http://www.microsoft.com/windowsserver2003/evaluation/features/compareeditions.mspx
[10] http://support.microsoft.com/search/default.aspx?QuerySource=gASr_Query&Product=winsvr2003&Queryc=PAE&Query=PAE&KeywordType=ALL&maxResults=25&Titles=false&
[11] http://people.redhat.com/mingo/exec-shield/ANNOUNCE-exec-shield
[12] https://www.heise.de/news/OpenBSD-mit-neuem-Sicherheitskonzept-77689.html
[13] http://www.netbsd.org/guide/en/chap-whatsnew.html#id2905259
[14] http://www.trl.ibm.com/projects/security/ssp/
[15] http://www.heise.de/tp/artikel/17/17447/1.html
[16] mailto:ciw@ct.de

Copyright © 2004 Heise Medien