Sicherheitslücken: Deaktivierte Patches für Spectre 3 und 4 werden ausgeliefert

Mehr Sicherheitslücken in CPUs von Intel und AMD: Neue Seitenkanalangriffe ermöglichen das Auslesen von Registern und Ergebnissen der Sprungvorhersage. AMD und Intel haben Patches entwickelt, halten diese aber offenbar nicht für dringend notwendig.

Artikel veröffentlicht am ,
Es gibt neue CPU-Sicherheitslücken.
Es gibt neue CPU-Sicherheitslücken. (Bild: Marc Sauter/Golem.de)

Sicherheitsforscher haben neue Varianten der CPU-Sicherheitslücke Spectre entdeckt. Die Probleme mit den Namen Spectre 3 und 4 haben allerdings ein geringeres Gefährdungspotenzial als die ersten beiden Varianten und Meltdown. Intel und AMD haben Patches entwickelt, diese werden jedoch standardmäßig deaktiviert ausgeliefert.

Stellenmarkt
  1. Senior IT-Systemadministrator (m/w/d)
    ROMA KG, Burgau bei Ulm
  2. IT-Systemadministrator (m/w/d) Server & Cloud Management - Backup & Archive
    HÜBNER GmbH & Co. KG, Kassel Waldau
Detailsuche

Spectre in der Variante 3 (Rogue System Register Read) ermöglicht einem lokalen Angreifer, bestimmte Register der CPU über einen Seitenkanalangriff auszulesen. Die Sicherheitslücke hat die CVE 2018-3640, Intel stuft das Problem als "medium" ein. Die Schwachstelle wurde von Zdenek Sojka, Rudolf Marek und Alex Zuepke von der Sysgo AG gefunden und an Intel gemeldet.

Spectre 4 wurde von Google und Microsoft entdeckt

Die Sicherheitslücke mit der Bezeichnung Spectre 4 wurde von Googles Project Zero beschrieben und an die Chiphersteller und Microsoft gemeldet. Beteiligt war wie bei Meltdown und Spectre Jann Horn. Forscher von Microsoft hatten das Problem laut der Disclosure-Timeline ebenfalls gefunden und mit Partnern in der Industrie geteilt. Spectre in der Variante 4 wird als "Speculative Store Bypass" beschrieben und ist mit der CVE-Nummer 2018-3639 bezeichnet. Damit sei es in bestimmten Fällen möglich, die Inhalte eines Pointers auszulesen, auch wenn die Vorhersage durch den Prozessor noch nicht verifiziert wurde.

Hersteller wie Microsoft gehen davon aus, dass bestehende Mitigationen in Webbrowsern ausreichend vor der Ausnutzung der Probleme schützen. Anders als bei Meltdown und Spectre soll es auch nicht so einfach sein, vertrauliche Daten wie Passwörter auszulesen. AMD und Intel haben Patches entwickelt, diese müssen allerdings explizit aktiviert werden. Auf Grund des Performanceverlustes von 2 bis 8 Prozent stufen die Hersteller die Patches also offenbar als nicht dringend notwendig ein.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
  2. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    16./17.03.2023, Virtuell
Weitere IT-Trainings

Patches für den Linux-Kernel sind derzeit nicht geplant. Es wird auf möglicherweise in Zukunft erscheinende Microcode-Patches verwiesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Jahressteuergesetz
Homeoffice-Pauschale wird noch einmal erhöht

Wer im Homeoffice arbeitet, kann mehr von der Steuer absetzen als bislang geplant. Der Maximalbetrag steigt an.

Jahressteuergesetz: Homeoffice-Pauschale wird noch einmal erhöht
Artikel
  1. AVM Fritzbox: FritzOS 7.50 ist da
    AVM Fritzbox
    FritzOS 7.50 ist da

    Das neue Betriebssystem für Fritzboxen bringt viele Neuerungen beim Smart Home, führt Wireguard per QR-Code ein und verbessert IP-Sperren.

  2. Samsung-Tablet bei Amazon um 180 Euro reduziert
     
    Samsung-Tablet bei Amazon um 180 Euro reduziert

    Auch nach dem Black Friday gibt es bei Amazon günstige Samsung-Tablets. Je nach Modell sind derzeit bis zu 180 Euro Rabatt möglich.
    Ausgewählte Angebote des E-Commerce-Teams

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis 53% günstiger, u. a. Echo Dot 5. Gen. 29,99€ • Mindstar: AMD Ryzen 7 7700X Tray 369€ • Crucial-SSDs günstiger • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. E-Auto-Wallbox 399€ • LG OLED TV (2022) 55" 120Hz 949€ [Werbung]
    •  /