Sicherheitslücken: Deaktivierte Patches für Spectre 3 und 4 werden ausgeliefert

Mehr Sicherheitslücken in CPUs von Intel und AMD: Neue Seitenkanalangriffe ermöglichen das Auslesen von Registern und Ergebnissen der Sprungvorhersage. AMD und Intel haben Patches entwickelt, halten diese aber offenbar nicht für dringend notwendig.

Artikel veröffentlicht am ,
Es gibt neue CPU-Sicherheitslücken.
Es gibt neue CPU-Sicherheitslücken. (Bild: Marc Sauter/Golem.de)

Sicherheitsforscher haben neue Varianten der CPU-Sicherheitslücke Spectre entdeckt. Die Probleme mit den Namen Spectre 3 und 4 haben allerdings ein geringeres Gefährdungspotenzial als die ersten beiden Varianten und Meltdown. Intel und AMD haben Patches entwickelt, diese werden jedoch standardmäßig deaktiviert ausgeliefert.

Stellenmarkt
  1. Informatiker (w/m/d) für elektronische Formularverarbeitung
    Stadt Erlangen, Erlangen
  2. Softwareentwickler:in Java / Selenium / Cloud
    HUK-COBURG Versicherungsgruppe, Coburg
Detailsuche

Spectre in der Variante 3 (Rogue System Register Read) ermöglicht einem lokalen Angreifer, bestimmte Register der CPU über einen Seitenkanalangriff auszulesen. Die Sicherheitslücke hat die CVE 2018-3640, Intel stuft das Problem als "medium" ein. Die Schwachstelle wurde von Zdenek Sojka, Rudolf Marek und Alex Zuepke von der Sysgo AG gefunden und an Intel gemeldet.

Spectre 4 wurde von Google und Microsoft entdeckt

Die Sicherheitslücke mit der Bezeichnung Spectre 4 wurde von Googles Project Zero beschrieben und an die Chiphersteller und Microsoft gemeldet. Beteiligt war wie bei Meltdown und Spectre Jann Horn. Forscher von Microsoft hatten das Problem laut der Disclosure-Timeline ebenfalls gefunden und mit Partnern in der Industrie geteilt. Spectre in der Variante 4 wird als "Speculative Store Bypass" beschrieben und ist mit der CVE-Nummer 2018-3639 bezeichnet. Damit sei es in bestimmten Fällen möglich, die Inhalte eines Pointers auszulesen, auch wenn die Vorhersage durch den Prozessor noch nicht verifiziert wurde.

Hersteller wie Microsoft gehen davon aus, dass bestehende Mitigationen in Webbrowsern ausreichend vor der Ausnutzung der Probleme schützen. Anders als bei Meltdown und Spectre soll es auch nicht so einfach sein, vertrauliche Daten wie Passwörter auszulesen. AMD und Intel haben Patches entwickelt, diese müssen allerdings explizit aktiviert werden. Auf Grund des Performanceverlustes von 2 bis 8 Prozent stufen die Hersteller die Patches also offenbar als nicht dringend notwendig ein.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

Patches für den Linux-Kernel sind derzeit nicht geplant. Es wird auf möglicherweise in Zukunft erscheinende Microcode-Patches verwiesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Blender Foundation
Blender 3.0 ist da

Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
Von Martin Wolf

Blender Foundation: Blender 3.0 ist da
Artikel
  1. Whatsapp, Signal, Telegram: Innenminister stellen sich bei Verschlüsselung gegen Ampel
    Whatsapp, Signal, Telegram
    Innenminister stellen sich bei Verschlüsselung gegen Ampel

    Während die Ampelkoalition ein Recht auf Verschlüsselung plant, fordern die Innenminister den Zugriff auf die Kommunikation von Messengerdiensten.

  2. Tesla Network: Tesla-App gibt Hinweise auf kommende Carsharing-Funktion
    Tesla Network
    Tesla-App gibt Hinweise auf kommende Carsharing-Funktion

    Im Update der Tesla-App sind Hinweise auf Carsharing entdeckt worden. Tesla will schon seit Jahren ein solches Netzwerk einführen.

  3. Wochenrückblick: Acht neue Kerne
    Wochenrückblick
    Acht neue Kerne

    Golem.de-Wochenrückblick Qualcomm stellt Chips vor, und wir testen den Fire-TV-Stick: die Woche im Video.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: SanDisk Ultra 3D 1 TB 77€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) • Sharkoon PureWriter RGB 44,90€ • Corsair K70 RGB MK.2 139,99€ • 2x Canton Plus GX.3 49€ • Gaming-Monitore günstiger (u. a. Samsung G3 27" 144Hz 219€) [Werbung]
    •  /