Acht neue Spectre Sicherheitslücken in Intel-Prozessoren entdeckt

Als Anfang die­sen Jah­res die Schwach­stel­len Melt­down und Spect­re in moder­nen Out-of-Order-Pro­zes­so­ren bekannt wur­den, war die Auf­re­gung groß. Seit­her ist viel gesche­hen. Die Betriebs­sys­tem-Her­stel­ler haben Melt­down für Intel-Pro­zes­so­ren per Soft­ware gepatcht (AMD-Pro­zes­so­ren waren von Melt­down nicht betrof­fen), und die Spect­re-Lücke Vari­an­te 1 (AMD und Intel) eben­so. Etwas wider­bors­ti­ger war die Spect­re-Lücke Vari­an­te 2. Hier muss­ten die CPU-Her­stel­ler per Micro­code sogar neue CPU-Befeh­le nach­rüs­ten, um zusam­men mit Soft­ware-Anpas­sun­gen einen adäqua­ten Schutz zu ermög­li­chen. Für wei­te­re Details sie­he Links zum The­ma ganz unten.

Heu­te nun berich­tet Hei­se über nicht weni­ger als acht neue Sicher­heits­lü­cken, die ähn­lich aus­zu­nut­zen sind wie die bis­he­ri­gen Spect­re-Lücken. Daher nennt Hei­se sie Spect­re-NG für Next-Gene­ra­ti­on. Ent­deckt wur­den die Lücken offen­bar zum Groß­teil von Goo­g­les Sicher­heits­team, das bereits an der Ent­de­ckung der im Janu­ar bekannt gewor­de­nen Lücken betei­ligt war. Die Lücken haben wohl auch bereits Com­mon Vul­nera­bi­li­ty Enu­me­ra­tor (CVE) Num­mern erhal­ten. Da es bis­her jedoch noch kei­ne Patches gibt, nennt Hei­se weder die Num­mern noch die genaue Vor­ge­hens­wei­se, wie sie aus­ge­nutzt wer­den kön­nen.

Intel selbst hat laut Hei­se die Lücken bestä­tigt und kate­go­ri­siert vier davon mit “hohes Risi­ko” und vier mit “mitt­le­res Risi­ko”. Laut Hei­se ist eine der Lücken sehr leicht aus­zu­nut­zen, viel leich­ter, als etwa Spect­re-v2. Daher sind wie schon im Janu­ar ins­be­son­de­re die Anbie­ter von Cloud-Diens­ten (Azu­re, AWS, etc.) betrof­fen, wo meh­re­re VMs oder Kun­den auf einer Maschi­ne arbei­ten. Da Goog­le den Her­stel­lern in der Regel 90 Tage Zeit lässt zu reagie­ren und die­se Frist anschei­nend am 7. Mai aus­läuft, müs­sen die Lücken bereits im Febru­ar ent­deckt wor­den sein. Ob Intel es zusam­men mit den Betriebs­sys­tem-Her­stel­lern schaf­fen wird, die Lücken frist­ge­recht zu schlie­ßen, muss abge­war­tet wer­den. Melt­down und Spect­re waren den Her­stel­lern schon seit Mit­te 2017 bekannt, den­noch waren im Janu­ar 2018 die Lücken größ­ten­teils nicht geschlos­sen.

Dass nun neue Vari­an­ten von Spect­re ans Tages­licht kom­men, kann nicht über­ra­schen. Die Goog­le-For­scher hat­ten das bereits in ihrer aus­führ­li­chen Dar­le­gung zu Spect­re-v2 gemut­maßt, dass uns die­se Art Lücke noch lan­ge beglei­ten wird. Aus­lö­ser sind die leis­tungs­stei­gern­den Fea­tures in moder­nen Pro­zes­so­ren, wie Out-of-Order Exe­cu­ti­on, Spe­cu­la­ti­ve Exe­cu­ti­on und Branch Pre­dic­tion. Wür­den Pro­zes­so­ren Code strikt In-Order aus­füh­ren wie der Ur-Pen­ti­um oder die ers­ten Atom-Pro­zes­so­ren, hät­ten wir weder Melt­down noch Spect­re. Den­noch gibt es auch bei moder­nen Pro­zes­so­ren Unter­schie­de. So war AMD von Melt­down gar nicht betrof­fen, obwohl auch AMD aus­schließ­lich Out-of-Order-CPUs her­stellt, und die Spect­re-v2-Lücke wur­de mit einem Near-Zero-Risk ein­ge­stuft; gefixt wur­de sie trotz­dem. Ob AMD auch von den acht neu­en Spect­re-Lücken betrof­fen ist, ist aktu­ell noch nicht bekannt.