Die Anfang des Monats entdeckten acht neuen Sicherheitslücken in Intel-CPUs, die unter dem Sammelbegriff Spectre-NG eingeführt wurden, wurden von Intel damals bestätigt. Bei den von mehreren Forscherteams entdeckten Lücken schätzt der Hersteller die Hälfte als »hochriskant« und den Rest mit der Gefährlichkeitsstufe »mittel« ein. Jetzt wurden zwei der Lücken offiziell mit Spectre 3a und 4 bezeichnet. Die US-Sicherheitsbehörde US-Cert bezeichnet sie offiziell als Side-Channel Vulnerability Variants 3a und 4, nachdem Intel sie am Pfingstmontag öffentlich gemacht hatte. Die neuen Verwundbarkeiten ähneln denen von Spectre, indem sie auch durch Lücken in der spekulativen Ausführung ausgenutzt werden können.

Nicht nur Intel

Bei Variante 3a handelt es sich um die als CVE-2018-3640 kategorisierte und in ihrer Gefählichkeit als »moderate« eingestufte »Rogue System Register Read«-Lücke (RSRE). Variante 4, auch »Speculative Store Bypass« (SSB) genannt, trägt die Kennung CVE-2018-3639 und ist als »important« gekennzeichnet. Intel kündigte Updates an und erklärte, die beiden Lücken beträfen wiederum fast alle CPUs des Herstellers aus den letzten zehn Jahren. Damit nicht genug, sind auch Prozessoren von AMD, ARM und IBMs Power8, Power9 und System Z betroffen. Intel hat inzwischen eine Liste seiner betroffenen Prozessoren veröffentlicht. Auch AMD und ARM haben Stellung bezogen.

Microcode-Updates in der Erprobung

Wann die Updates verfügbar sind, hat Intel bisher ebenso wenig verraten wie die anderen Hersteller. Es ist lediglich bekannt, dass Microcode-Updates in Beta-Versionen vorliegen, die in den nächsten Monaten stabil verfügbar werden sollen. Die Linux-Kernel-Entwickler haben bereits gestern Patches für Kernel 4.17 eingereicht. So reichte Thomas Gleixner Patches gegen SSB ein. Über Nacht folgten Patches für die PowerPC-Plattform. Die Patches sollen nun auf die weiteren unterstützten Kernel-Versionen rückportiert werden. Allerdings wird eine weitestgehende Entschärfung der Lücken auch diesmal nicht ohne neue Microcodes gehen.

Verwandte Themen

PortSmash: Erneut Sicherheitslücke bei Intel
views 679
Bild: Hacker | Quelle: The Presier Project | Lizenz: CC BY 2.0   Forscher an Universitäten in Finnland und Kuba haben unter der Leitung vo...
Intel Microcode für Debian Stable aktualisiert
views 334
Screenshot: ft   Für Debian GNU/Linux 9 »Stretch« steht ein aktualisierter Intel Microcode zum Schutz vor Angriffen durch die Sicherheitsl...
Intel wegen Meltdown und Spectre in der Kritik
views 293
Bild: Penguins |  Quelle: pxhere | Lizenz: CC0   Der Linux-Kernel-Entwickler Greg Kroah-Hartman übte in dieser Woche in Vancouver in eine...
Intel kündigt halbherzige Fixes für Whiskey Lake a...
views 218
Bild: Public Domain Intel hat vor wenigen Tagen die neue Prozessor-Reihe Whiskey Lake vorgestellt, ließ dabei aber völlig unerwähnt, dass die für ...
Intel lenkt ein bei Lizenz zu Microcode
views 512
Bild: "Intel" von Christian Rasmussen Lizenz: CC By-SA 2.0   In den letzten Tagen wurde einmal wieder Kritik an Intel laut, da die Veröffe...

Beitrag kommentieren