Sicherheitslücken: L1DES und VRS machen Intel-Chips angreifbar

Neue Attacken per Microarchitectural Data Sampling (MDS) treffen Intel-Prozessoren: Bei L1DES alias Cache Out ist der L1-Puffer das Ziel, bei VRS werden Vector-Register ausgenutzt. Intel arbeitet an Microcode-Updates.

Artikel veröffentlicht am ,
Logo von Cache Out
Logo von Cache Out (Bild: Marina Minkin/University of Michigan)

Intel hat zwei weitere Sicherheitslücken bei den eigenen Prozessoren bekanntgegeben, es handelt sich erneut um Varianten des bekannten Microarchitectural Data Sampling (MDS). Entdeckt wurden die Angriffsmöglichkeiten von Forschern der Universität von Michigan und der Vrije Universiteit Amsterdam (VUSec).

Stellenmarkt
  1. Chair of Reliable Distributed Systems (pay grade W3)
    Universität Passau, Passau
  2. Systemadministratorin bzw. Systemadministrator (m/w/d)
    Finanzbehörde, Steuerverwaltung, Hamburg
Detailsuche

Die erste Attacke heißt L1D Eviction Sampling oder kurz L1DES (PDF), sie wird auch als Cache Out (PDF) bezeichnet. Sie trägt CVE-2020-0549 als Nummer und trifft laut Intel aktuelle Desktop-/Mobile-Prozessoren wie Amber Lake, Kaby Lake, Coffee Lake und Whiskey Lake, aber auch die Cascade Lake für Server. L1DES macht sich zunutze, dass Daten aus dem L1-Daten-Puffer in den Fill-Buffer ausgeworfen werden. Intel will demnächst verbesserte Microcode-Updates mit mehr Sicherheit für entsprechende Chips bereitstellen.

Bei der zweiten Angriffsversion handelt es sich um Vector Register Sampling (PDF), eine Variante von RIDL (Rogue In-Flight Data Load); sie wird unter der CVE-2020-0548 geführt. Wie der Name bereits impliziert, sind die Vector-Register eines Prozessors das Ziel. Die betroffenen Chips sind laut Intel die gleichen Modelle wie bei L1DES, auch hier sollen demnächst Microcode-Updates folgen.

Wie schon zuvor raten die Forscher dazu, Hyperthreading und TSX zu deaktivieren und den L1-Daten-Cache zu flushen, also zu leeren. Das kostet allerdings teils viel Performance und ist daher nicht immer eine gangbare Lösung. Bisherige Microcode-Updates bringen zwar schon das passende Bit mit, um das TSX-Problem anzugehen, es ist aber von Haus aus nicht gesetzt. Die Transactional Synchronization Extensions werden jedoch ohnehin vergleichsweise selten genutzt, weshalb die Forscher eine Abschaltung empfehlen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nutzerfreundlichkeit und Datenschutz
Fünf All-in-One-Messenger im Vergleichstest

Ständiges Wechseln zwischen Messenger-Apps ist lästig. All-in-One-Messenger versprechen, dieses Problem zu lösen. Wir haben fünf von ihnen getestet und große Unterschiede bei Bedienbarkeit und Datenschutz festgestellt.
Ein Test von Leo Dessani

Nutzerfreundlichkeit und Datenschutz: Fünf All-in-One-Messenger im Vergleichstest
Artikel
  1. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  2. Gaming-Monitor von Acer um 270 Euro reduziert bei Amazon
     
    Gaming-Monitor von Acer um 270 Euro reduziert bei Amazon

    Amazon bietet aktuell Top-Monitore von Acer zu reduzierten Preisen an. Es handelt sich sowohl um Office- als auch um Gaming-Monitore.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Naughty Dog: Neil Druckmann äußert sich zu Uncharted und The Last of Us
    Naughty Dog
    Neil Druckmann äußert sich zu Uncharted und The Last of Us

    Das nächste The Last of Us wird Koop-Multiplayer, ein neues Uncharted wird es nicht geben: Naughty-Dog-Chef Neil Druckmann äußert sich zur Zukunft der Serien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /