No eXecute: CPU-Erweiterungen schützen vor Angriffen

Das neue NX-Bit im Speichermanagement aktueller AMD- und kommender Intel-Prozessoren soll Virenangriffe aktiv verhindern. Doch auch das Betriebssystem muss dabei mitspielen - und hier ist die Umsetzung noch halbherzig.

Mit Überschreiten der GHz-Grenze hat das Rennen um die reine Rechenleistung bei PCs an Bedeutung verloren. Durch die ständige Bedrohung von Viren und Trojanern ist die Sicherheit und Zuverlässigkeit von Computersystemen inzwischen zum Hauptinteresse des PC-Anwenders geworden. Die Fortschritte in der Absicherung eines PCs können mit den Fortschritten in der Rechenleistung jedoch nicht mithalten. Vor fast 20 Jahren hat Intel mit dem 80386 die Basis der gültigen x86-Prozessorarchitektur und deren Sicherheitsmechanismen gelegt. Doch seit 1985 hat es keine echte Weiterentwicklung für eine höhere Systemsicherheit gegeben, bis AMD 2003 mit dem Opteron vorpreschte.

AMD hat in alle Prozessoren der achten Generation ein neues Sicherheitsfeature implementiert: Das so genannte NX- (No-Execution-) Bit verspricht beim Opteron und Athlon 64 einen Schutz vor einem der häufigsten Angriffsvektoren von Schadprogrammen, dem Buffer Overflow mit Code auf dem Stack. Marketinggerecht bezeichnet AMD dieses Feature offiziell mit "Enhanced Virus Protection". Auch Intel hat diese Hardware-Erweiterung bei seinen neuen Prozessoren integriert, bezeichnet es aber als XD- (Execution-Disable-) Technologie.

Das NX-Bit liegt als zusätzliches Steuerbit in den Deskriptoren und Sicherungsbits für Speicherseiten. Setzt das Betriebssystem dieses Bit für den Stack-Bereich, erzeugt das Ausführen von Code auf dem Stack einen Ausnahmezustand in der CPU und informiert so das Betriebssystem. Ohne dessen Unterstützung bleibt das NX-Feature jedoch wertlos.

Microsofts Windows bietet den zusätzlichen Schutz optional mit dem SP2 für Windows XP und dem SP1 für Windows Server 2003. Hier sind die Schutzfunktionen unter dem Unwort "Datenausführungsverhinderung" zusammengefasst. Interessanterweise verbirgt sich dahinter weit mehr als nur das NX-Bit, so dass alle Benutzer von der erhöhten Sicherheit profitieren können - wenn sie den Schutz nur aktivieren würden. Auch etliche Linux-Distributionen unterstützen inzwischen das NX-Bit. Höchste Zeit also, sich die zu Grunde liegenden Techniken näher anzusehen und Marketing-Versprechen auf ihren Realitätsgehalt hin zu überprüfen.