Abo
  • Services:

Sicherheitslücken: Deaktivierte Patches für Spectre 3 und 4 werden ausgeliefert

Mehr Sicherheitslücken in CPUs von Intel und AMD: Neue Seitenkanalangriffe ermöglichen das Auslesen von Registern und Ergebnissen der Sprungvorhersage. AMD und Intel haben Patches entwickelt, halten diese aber offenbar nicht für dringend notwendig.

Artikel veröffentlicht am ,
Es gibt neue CPU-Sicherheitslücken.
Es gibt neue CPU-Sicherheitslücken. (Bild: Marc Sauter/Golem.de)

Sicherheitsforscher haben neue Varianten der CPU-Sicherheitslücke Spectre entdeckt. Die Probleme mit den Namen Spectre 3 und 4 haben allerdings ein geringeres Gefährdungspotenzial als die ersten beiden Varianten und Meltdown. Intel und AMD haben Patches entwickelt, diese werden jedoch standardmäßig deaktiviert ausgeliefert.

Stellenmarkt
  1. Landesbank Hessen-Thüringen, Offenbach am Main
  2. Amprion GmbH, Pulheim

Spectre in der Variante 3 (Rogue System Register Read) ermöglicht einem lokalen Angreifer, bestimmte Register der CPU über einen Seitenkanalangriff auszulesen. Die Sicherheitslücke hat die CVE 2018-3640, Intel stuft das Problem als "medium" ein. Die Schwachstelle wurde von Zdenek Sojka, Rudolf Marek und Alex Zuepke von der Sysgo AG gefunden und an Intel gemeldet.

Spectre 4 wurde von Google und Microsoft entdeckt

Die Sicherheitslücke mit der Bezeichnung Spectre 4 wurde von Googles Project Zero beschrieben und an die Chiphersteller und Microsoft gemeldet. Beteiligt war wie bei Meltdown und Spectre Jann Horn. Forscher von Microsoft hatten das Problem laut der Disclosure-Timeline ebenfalls gefunden und mit Partnern in der Industrie geteilt. Spectre in der Variante 4 wird als "Speculative Store Bypass" beschrieben und ist mit der CVE-Nummer 2018-3639 bezeichnet. Damit sei es in bestimmten Fällen möglich, die Inhalte eines Pointers auszulesen, auch wenn die Vorhersage durch den Prozessor noch nicht verifiziert wurde.

Hersteller wie Microsoft gehen davon aus, dass bestehende Mitigationen in Webbrowsern ausreichend vor der Ausnutzung der Probleme schützen. Anders als bei Meltdown und Spectre soll es auch nicht so einfach sein, vertrauliche Daten wie Passwörter auszulesen. AMD und Intel haben Patches entwickelt, diese müssen allerdings explizit aktiviert werden. Auf Grund des Performanceverlustes von 2 bis 8 Prozent stufen die Hersteller die Patches also offenbar als nicht dringend notwendig ein.

Patches für den Linux-Kernel sind derzeit nicht geplant. Es wird auf möglicherweise in Zukunft erscheinende Microcode-Patches verwiesen.



Anzeige
Hardware-Angebote
  1. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)

notnagel 23. Mai 2018

Die betreffende Lücke lässt sich über Webbrowsern nutzen und dementsprechend reicht es...

RichardEb 22. Mai 2018

Funktionieren eigentlich die Microsoft Patches mit dem Intel Microcode wieder?


Folgen Sie uns
       


Amazons Echo Dot (2018) - Test

Echo Dot steht eigentlich für muffigen Klang. Das ändert sich grundlegend mit dem neuen Echo Dot. Amazons neuer Alexa-Lautsprecher ist damit durchaus zum Musikhören geeignet. Für einen 60 Euro teuren Lautsprecher bietet der neue Echo Dot eine gute Klangqualität.

Amazons Echo Dot (2018) - Test Video aufrufen
Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
  3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

    •  /