In den Chips von Intel klaffen laut einem Bericht des Computermagazins 'c't' weitere gravierende Sicherheitslücken. Forscher haben demnach acht neue Schwachstellen in Intel-Prozessoren gefunden.

Der Bericht kommt fünf Monate nach Bekanntwerden der schwerwiegenden Sicherheitslücken "Spectre" und "Meltdown". Intel halte die Informationen zu der neuen Generation der "Spectre"-Schwachstellen allerdings noch geheim, berichtete das Magazin.

Damit verdichtet sich der Verdacht nochmals, dass es sich bei den Lücken nicht um Einzelfälle handelt, sondern das Problem tiefer liegt: Insecurity by Design. Oder Schweizer Käse, wie 'c't' schreibt.

Nach Einschätzung von 'c't' sind die neuen Angriffsszenarien ähnlich einzustufen wie die Lücken, die im vergangenen Januar ans Licht der Öffentlichkeit kamen. "Eine der neuen Lücken vereinfacht jedoch Angriffe über Systemgrenzen hinweg so stark, dass wir das Bedrohungspotenzial deutlich höher einstufen als bei Spectre", so das Magazin. Kriminelle könnten Schadcode in einer VM ausführen und von dort das Wirts-System angreifen.

Besonders betroffen seien deshalb Anbieter von Cloud-Diensten wie Amazon oder Cloudflare und natürlich deren Kunden, erklärte Jürgen Schmidt, Sicherheitsexperte bei der 'c't'. "Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet."

Die konkrete Gefahr für Privatleute und Firmen-PCs sei hingegen eher gering, weil es dort in aller Regel andere, einfacher auszunutzende Schwachstellen gebe. "Auch wenn es keinen Grund zur Panik gibt, muss man die neuen Sicherheitslücken ernst nehmen."

Patches im Mai und August?

Konkrete Informationen lägen bislang nur zu Intels Prozessoren und deren Patch-Plänen vor, es gebe aber erste Hinweise, dass mindestens einzelne ARM-CPUs ebenfalls von "Spectre Next Generation" betroffen seien. Zudem würden Abklärungen laufen, ob auch AMD-Prozessoren anfällig seien.

Wann die ersten Patches für die neuen Spectre-Lücken kommen, ist bislang nicht klar. "Anscheinend plant Intel zwei Patch-Wellen", sagte Schmidt. "Eine erste soll bereits im Mai anrollen; eine zweite ist für August angedacht." Vier der neuen Sicherheitslücken stufe Intel selbst mit einem hohen Risiko ein, die Gefahr der anderen vier werde mit "mittel" bewertet. (sda/ts)