Spectre-NG: Intel- und AMD-Statements zu neuen Sicherheitslücken veröffentlicht

Update: Intel und AMD haben sich jeweils zu Spectre-NG geäußert. Bei Intel meldete sich Leslie Culbertson (Executive Vice President and General Manager of Product Assurance and Security) mit den folgenden Worten (übersetzt): "Der Schutz von Nutzerdaten und unsere eigene Produktsicherheit sind uns sehr wichtig. Wir arbeiten laufend mit Kunden, Partnern, anderen Chipherstelleren und Forschern zusammen, um Sicherheitsprobleme verstehen und lösen zu können. Das Reservieren von CVE-Nummern gehört dazu. Wir glauben fest an den Nutzen einer abgesprochenen Offenlegung. Details folgen, wenn unsere Arbeiten vor dem Abschluss stehen. Wir empfehlen Nutzern, ihre Systeme weiterhin aktuell zu halten."

Intel bestätigt also die Sicherheitslücken und arbeitet gegenwärtig an Updates. Ob diese separat oder zum kommenden Microsoft Patch Day am 8. Mai zur Verfügung stehen, bleibt abzuwarten. Wir erinnern uns: Windows Update übernahm die Verteilung der Sicherheits-Patches gegen Meltdown und Spectre.

AMD äußerte sich gegenüber c't im unten verlinkten Artikel ähnlich, mit folgenden Worten (übersetzt): Sicherheit und der Schutz von Nutzerdaten sind für uns von oberster Wichtigkeit. Wir arbeiten über unsere Produktabteilungen hinweg eng zusammen, analysieren potenzielle Sicherheitslücken und entwickeln schnellstmöglich Lösungen. Wir sind uns der aktuellen Berichte [siehe unten, Anm. d. Red.] bewusst. Wir schauen uns das Thema an und bringen zu gegebener Zeit neue Infos."

Originalmeldung vom 3. Mai 2018

Die Hardware-Sicherheitslücken Meltdown und Spectre schienen überstanden, nun sollen zumindest Intel-Prozessoren weitere Lecks aufweisen. Laut einem Bericht der c’t haben ungenannte Forscher acht weitere Sicherheitslücken in Chips des Prozessor-Herstellers gefunden, die auf Spectre basieren und teilweise noch gefährlicher sein sollen als das Original. Die Gefahren ließen sich laut c’t bestätigen, Zweifel an der Echtheit der Lücken gibt es also nicht.

Details zur Lücke halten die Autoren geheim, Intel arbeite aber bereits mit den Forschern und Herstellern zusammen, um schnellstmöglich Updates bereitzustellen. Die c’t taufte die Lücken zusammengefasst als Spectre-NG, bzw. Spectre Next Generation. Denn laut c’t sind die acht neuen Sicherheitslücken alle auf die gleichen Probleme zurückzuführen, die Angriffsszenarien über die ursprüngliche Variante von Spectre möglich machten.

Meltdown und Spectre sorgten Anfang 2018 für eine Reihe von Patches und Updates für verschiedene Systeme und Plattformen. Dass es genau so weitergehen könnte wie seit Anfang des Jahres, lassen Hinweise auf weitere betroffene Hersteller vermuten. Zumindest einige ARM-Chips sollen die gleichen Lücken aufweisen, AMD-Chips werden noch untersucht. Jede der acht gefundenen Sicherheitslücken soll einen eigenen Patch erhalten. An einigen davon arbeitet Intel bereits. Wann die ersten Downloads zur Verfügung stehen, bleibt abzuwarten.

Intel stuft vier der acht Lücken als „kritisch“ ein. Die verbleibenden vier Lecks tragen die Gefahreneinstufung „mittel“. Über eine der Lücken sollen sich Angreifer beispielsweise einen unerwünschten Zugriff über Systemgrenzen hinweg verschaffen können. So ließe sich beispielsweise einfach eine virtuelle Maschine manipulieren, um Zugriff auf den Host-Rechner zu erlangen. Für Cloud-Anbieter wäre das der Super-GAU. Mit Spectre selbst waren solche Angriffe auch möglich, sie erforderten jedoch deutlich mehr Vorarbeit und Fachwissen.

Lesetipp: PC-Hardware auf Fehler prüfen - so geht's

Das größte Risiko besteht aktuell für Cloud-Anbieter und deren Kunden. Privatrechner sollten ein geringeres Risiko haben, über Spectre-NG angegriffen zu werden. Das liegt aber nur daran, dass für Angriffe auf Privatrechner andere Sicherheitslücken bereitstehen und ausgenutzt werden.