Abo
  • IT-Karriere:

Sicherheitslücken: Deaktivierte Patches für Spectre 3 und 4 werden ausgeliefert

Mehr Sicherheitslücken in CPUs von Intel und AMD: Neue Seitenkanalangriffe ermöglichen das Auslesen von Registern und Ergebnissen der Sprungvorhersage. AMD und Intel haben Patches entwickelt, halten diese aber offenbar nicht für dringend notwendig.

Artikel veröffentlicht am ,
Es gibt neue CPU-Sicherheitslücken.
Es gibt neue CPU-Sicherheitslücken. (Bild: Marc Sauter/Golem.de)

Sicherheitsforscher haben neue Varianten der CPU-Sicherheitslücke Spectre entdeckt. Die Probleme mit den Namen Spectre 3 und 4 haben allerdings ein geringeres Gefährdungspotenzial als die ersten beiden Varianten und Meltdown. Intel und AMD haben Patches entwickelt, diese werden jedoch standardmäßig deaktiviert ausgeliefert.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. KDO Service GmbH, Oldenburg

Spectre in der Variante 3 (Rogue System Register Read) ermöglicht einem lokalen Angreifer, bestimmte Register der CPU über einen Seitenkanalangriff auszulesen. Die Sicherheitslücke hat die CVE 2018-3640, Intel stuft das Problem als "medium" ein. Die Schwachstelle wurde von Zdenek Sojka, Rudolf Marek und Alex Zuepke von der Sysgo AG gefunden und an Intel gemeldet.

Spectre 4 wurde von Google und Microsoft entdeckt

Die Sicherheitslücke mit der Bezeichnung Spectre 4 wurde von Googles Project Zero beschrieben und an die Chiphersteller und Microsoft gemeldet. Beteiligt war wie bei Meltdown und Spectre Jann Horn. Forscher von Microsoft hatten das Problem laut der Disclosure-Timeline ebenfalls gefunden und mit Partnern in der Industrie geteilt. Spectre in der Variante 4 wird als "Speculative Store Bypass" beschrieben und ist mit der CVE-Nummer 2018-3639 bezeichnet. Damit sei es in bestimmten Fällen möglich, die Inhalte eines Pointers auszulesen, auch wenn die Vorhersage durch den Prozessor noch nicht verifiziert wurde.

Hersteller wie Microsoft gehen davon aus, dass bestehende Mitigationen in Webbrowsern ausreichend vor der Ausnutzung der Probleme schützen. Anders als bei Meltdown und Spectre soll es auch nicht so einfach sein, vertrauliche Daten wie Passwörter auszulesen. AMD und Intel haben Patches entwickelt, diese müssen allerdings explizit aktiviert werden. Auf Grund des Performanceverlustes von 2 bis 8 Prozent stufen die Hersteller die Patches also offenbar als nicht dringend notwendig ein.

Patches für den Linux-Kernel sind derzeit nicht geplant. Es wird auf möglicherweise in Zukunft erscheinende Microcode-Patches verwiesen.



Anzeige
Top-Angebote
  1. 5,55€
  2. (u. a. GRAND THEFT AUTO V: PREMIUM ONLINE EDITION 13,99€, Shadows: Awakening 12,50€)
  3. (aktuell u. a. Monitore, Mäuse, CPUs)
  4. mit Gutschein: NBBCORSAIRPSP19

notnagel 23. Mai 2018

Die betreffende Lücke lässt sich über Webbrowsern nutzen und dementsprechend reicht es...

RichardEb 22. Mai 2018

Funktionieren eigentlich die Microsoft Patches mit dem Intel Microcode wieder?


Folgen Sie uns
       


AMD stellt Navi-Grafikkarten vor

Die neuen GPUs sollen deutlich effizienter und leistungsstärker sein und ab Juli 2019 verfügbar sein.

AMD stellt Navi-Grafikkarten vor Video aufrufen
Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

    •  /