CPU-Gate: Neue Spectre-Varianten betreffen Intel, AMD und Arm

22. Mai 2018, 13:06
  • security
  • intel
  • amd
  • arm
image

Google Project Zero und Microsoft haben die nächste CPU-Sicherheitslücke bekanntgegeben und Intel bestätigt, dass es sie gebe.

Google Project Zero und Microsoft haben die nächste CPU-Sicherheitslücke bekanntgegeben und Intel bestätigt, dass es sie gebe. Sie heisst Spectre V4 (Speculative Store Bypass) und trägt die Nummer CVE-2018-3639. Dies kommt zeitgleich zum Bekanntwerden von Variante 3a (CVE-2018-3640), Rogue System Register Read, die Arm publiziert. Über beide hatte 'c't' Anfang Mai geschrieben.
Man könne die V4-Lücke mit einer Seitenkanalattacke (Side-Channel Attack) ausnützen. Sie funktioniert also vergleichbar mit den schon bekannten Spectre-Lücken in Intel-Prozessoren aber auch solchen von anderen Herstellern.
"Wir haben bereits das Microcode-Update für Variante 4 in Beta-Form an OEM-Systemhersteller und Systemsoftwarehersteller geliefert." Intel geht davon aus, dass dieses "in den kommenden Wochen in Produktions-BIOS- und Software-Updates veröffentlicht wird", schreibt Intel-Vertreterin Leslie Culbertson in einem Blogpost.
Alles sei nicht so tragisch, das Risiko sei "mittel", wiegelt die Intel-Security-Expertin ab, hätten doch die meisten Browser-Hersteller mit ihren Updates zu "Variante 1" von Spectre die Risiken minimiert, dass die Lücke ausgenutzt werden könne.
Ist dies der Grund, warum der Microcode nicht einfach so aktiviert wird und jeder User für sich entscheiden muss, ob er diese laut Intel "Risikominderung" nutzt? Oder ist es, weil Intel laut Eigenaussagen herausgefunden hat, dass der aktivierte Fix eine Leistungsminderung von zwei bis acht Prozent zur Folge hat?
Offenbar geht Intel davon aus, das die meisten OEM denselben Entscheid – "Geschwindigkeit statt Sicherheit" – fällen werden.
Intel lobt sich selbst für das neue Bug-Bounty-Programm, bei welchem man bis zu 250'000 Dollar für das Melden einer Lücke erhält. In Relation zu den Umsätzen und Profiten von Intel ist das natürlich Trinkgeld.
AMD hat gleichentags einen ähnlichen Blogpost zur Spectre V3a und V4 publiziert.
In einem dritten Blogeintrag schreibt Arm, die Mehrzahl der Arm-Prozessoren sei von den neuen Varianten nicht betroffen. Es sei "wichtig zu beachten, dass diese Angriffsmethode von Malware abhängig ist, die lokal ausgeführt wird", schreibt Arm. Die Mehrheit von Arm-Prozessen ist nicht löchrig, aber drei, beziehungsweise vier sind es durchaus, dies zeigt der Post.
Zum Schluss noch eine gute, eine mittelschlechte und eine vielleicht schlechte Nachricht. Die Gute: Bis heute sind keine Angriffe bekannt, die Spectre-Lücken tatsächlich ausnutzen. Die mittelschlechte: US-CERT hat selbst eine Warnung publiziert, die auch aktuelle Infos von Microsoft und Red Hat beinhaltet. Aber die Behörde will nicht raten, was man tun solle, ausser die Hersteller um Rat zu fragen.
Die vielleicht schlechte News: Forscher haben laut 'c't' nicht nur zwei, sondern acht neue Schwachstellen in Intel-Prozessoren gefunden. (mag)

Loading

Mehr zum Thema

image

Chaos Computer Club hackt Verfahren zur Videoidentifikation

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

publiziert am 10.8.2022
image

Forscher machen CPU-Lücken publik

Nach Meltdown und Spectre finden Forschende neue CPU-Lücken. Beide werden mit mittlerem Risiko eingestuft.

publiziert am 10.8.2022
image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022