Spectre Next Generation
Forscher-Teams haben nach derzeitigem Stand acht neue Sicherheitslücken in den CPUs von Intel entdeckt. Alle acht sind im Kern auf dasselbe Design-Problem zurückzuführen und werden deshalb „Spectre Next Generation“ genannt. Die Lücken werden momentan noch ‚geheim‘ gehalten – exklusive Informationen dazu liegen c’t vor.
Hochriskant für Clouds
Intel stuft vier dieser acht Sicherheitslücken als hochriskant ein – die anderen werden als ‚mittel‘ betitelt. Eine der Next Generation-Lücken ist laut c’t besonders bedrohlich: Sie lässt sich über die Grenzen virtueller Maschinen hinweg für Angriffe ausnutzen. Vor allem für Cloud-Hoster stellt das ein enorm hohes Sicherheitsrisiko dar, denn Passwörter und geheime Schlüssel für die Datenübertragung sind gefährdet. Darüber hinaus ist auch Intels Software Guard Extension zum Schutz von sensiblen Daten nicht gegen Spectre geschützt.
CPU-Patches in Arbeit
c’t liegen bislang nur Informationen von Intel und deren Patch-Plänen vor. Jede der acht Next-Generation-Lücken braucht eigene Patches, an denen Intel bereits arbeitet – teils auch gemeinsam mit Betriebssystemherstellern. Intel plant zwei Patch-Wellen: Die erste soll schon im Mai stattfinden, die zweite ist für August geplant. Es wird empfohlen diese Spectre-Next-Generation-Updates zügig einzuspielen.
Stellungnahme von Intel
"Der Schutz der Daten unserer Kunden sowie die Gewährleistung der Sicherheit unserer Produkte haben bei Intel höchste Priorität. Wir arbeiten ständig eng mit Kunden, Partnern, anderen Chipherstellern und Sicherheitsforschern zusammen, um Probleme zu verstehen und zu lösen. Zu diesem Prozess gehört es auch, Blöcke von CVE-Nummern zu reservieren. Wir stehen mit Überzeugung zum Konzept der koordinierten Offenlegung [von Schwachstellen] und werden zusätzliche Informationen zu potenziellen Problemen mitteilen, während wir Schutzmaßnahmen fertigstellen. Grundsätzlich empfehlen wir jedem, Systeme kontinuierlich mit Updates zu versorgen."
[UPDATE]: Ersten Patches verschoben
Wie oben im Text schon erwähnt, waren die ersten Patches für die Spectre-NG-Lücken bereits für diesen Mai geplant – um genau zu sein für Montag, den 7.Mai. Dieser ist nun vergangen und es gibt keine Patches: Intel bat um Aufschub.
Offensichtlich hat Intel Probleme, fristgerecht Updates bereitzustellen und nun die Veröffentlichung verschoben – vorerst für 2 Wochen, der neue Termin ist der 21.Mai. Dann sollen neue Microcode-Updates bereitgestellt werden und gleichzeitig will Intel Informationen zu zwei der Spectre Next Generation Lücken bekannt geben. Laut heise – mit exklusiven Informationen – soll aber auch dieser Termin noch nicht fix sein: Eine weitere Fristverlängerung bis zum 10. Juli soll Intel schon beantragt haben. [UPDATE/]
##Lesen Sie den letzten Artikel zu Intels Spectre und Meltdown
