Die Anfang des Monats entdeckten acht neuen Sicherheitslücken in Intel-CPUs, die unter dem Sammelbegriff Spectre-NG eingeführt wurden, wurden von Intel damals bestätigt. Bei den von mehreren Forscherteams entdeckten Lücken schätzt der Hersteller die Hälfte als »hochriskant« und den Rest mit der Gefährlichkeitsstufe »mittel« ein. Jetzt wurden zwei der Lücken offiziell mit Spectre 3a und 4 bezeichnet. Die US-Sicherheitsbehörde US-Cert bezeichnet sie offiziell als Side-Channel Vulnerability Variants 3a und 4, nachdem Intel sie am Pfingstmontag öffentlich gemacht hatte. Die neuen Verwundbarkeiten ähneln denen von Spectre, indem sie auch durch Lücken in der spekulativen Ausführung ausgenutzt werden können.

Nicht nur Intel

Bei Variante 3a handelt es sich um die als CVE-2018-3640 kategorisierte und in ihrer Gefählichkeit als »moderate« eingestufte »Rogue System Register Read«-Lücke (RSRE). Variante 4, auch »Speculative Store Bypass« (SSB) genannt, trägt die Kennung CVE-2018-3639 und ist als »important« gekennzeichnet. Intel kündigte Updates an und erklärte, die beiden Lücken beträfen wiederum fast alle CPUs des Herstellers aus den letzten zehn Jahren. Damit nicht genug, sind auch Prozessoren von AMD, ARM und IBMs Power8, Power9 und System Z betroffen. Intel hat inzwischen eine Liste seiner betroffenen Prozessoren veröffentlicht. Auch AMD und ARM haben Stellung bezogen.

Microcode-Updates in der Erprobung

Wann die Updates verfügbar sind, hat Intel bisher ebenso wenig verraten wie die anderen Hersteller. Es ist lediglich bekannt, dass Microcode-Updates in Beta-Versionen vorliegen, die in den nächsten Monaten stabil verfügbar werden sollen. Die Linux-Kernel-Entwickler haben bereits gestern Patches für Kernel 4.17 eingereicht. So reichte Thomas Gleixner Patches gegen SSB ein. Über Nacht folgten Patches für die PowerPC-Plattform. Die Patches sollen nun auf die weiteren unterstützten Kernel-Versionen rückportiert werden. Allerdings wird eine weitestgehende Entschärfung der Lücken auch diesmal nicht ohne neue Microcodes gehen.

Beitrag kommentieren