Acht neue Spectre Sicherheitsl체cken in Intel-Prozessoren entdeckt

Als Anfang die짯sen Jah짯res die Schwach짯stel짯len Melt짯down und Spect짯re in moder짯nen Out-of-Order-Pro짯zes짯so짯ren bekannt wur짯den, war die Auf짯re짯gung gro횩. Seit짯her ist viel gesche짯hen. Die Betriebs짯sys짯tem-Her짯stel짯ler haben Melt짯down f체r Intel-Pro짯zes짯so짯ren per Soft짯ware gepatcht (AMD-Pro짯zes짯so짯ren waren von Melt짯down nicht betrof짯fen), und die Spect짯re-L체cke Vari짯an짯te 1 (AMD und Intel) eben짯so. Etwas wider짯bors짯ti짯ger war die Spect짯re-L체cke Vari짯an짯te 2. Hier muss짯ten die CPU-Her짯stel짯ler per Micro짯code sogar neue CPU-Befeh짯le nach짯r체s짯ten, um zusam짯men mit Soft짯ware-Anpas짯sun짯gen einen ad채qua짯ten Schutz zu erm철g짯li짯chen. F체r wei짯te짯re Details sie짯he Links zum The짯ma ganz unten.

Heu짯te nun berich짯tet Hei짯se 체ber nicht weni짯ger als acht neue Sicher짯heits짯l체짯cken, die 채hn짯lich aus짯zu짯nut짯zen sind wie die bis짯he짯ri짯gen Spect짯re-L체cken. Daher nennt Hei짯se sie Spect짯re-NG f체r Next-Gene짯ra짯ti짯on. Ent짯deckt wur짯den die L체cken offen짯bar zum Gro횩짯teil von Goo짯gles Sicher짯heits짯team, das bereits an der Ent짯de짯ckung der im Janu짯ar bekannt gewor짯de짯nen L체cken betei짯ligt war. Die L체cken haben wohl auch bereits Com짯mon Vul짯nerabi짯li짯ty Enu짯me짯ra짯tor (CVE) Num짯mern erhal짯ten. Da es bis짯her jedoch noch kei짯ne Patches gibt, nennt Hei짯se weder die Num짯mern noch die genaue Vor짯ge짯hens짯wei짯se, wie sie aus짯ge짯nutzt wer짯den k철nnen.

Intel selbst hat laut Hei짯se die L체cken best채짯tigt und kate짯go짯ri짯siert vier davon mit 쐆ohes Risi짯ko und vier mit 쐌itt짯le짯res Risi짯ko. Laut Hei짯se ist eine der L체cken sehr leicht aus짯zu짯nut짯zen, viel leich짯ter, als etwa Spect짯re-v2. Daher sind wie schon im Janu짯ar ins짯be짯son짯de짯re die Anbie짯ter von Cloud-Diens짯ten (Azu짯re, AWS, etc.) betrof짯fen, wo meh짯re짯re VMs oder Kun짯den auf einer Maschi짯ne arbei짯ten. Da Goog짯le den Her짯stel짯lern in der Regel 90 Tage Zeit l채sst zu reagie짯ren und die짯se Frist anschei짯nend am 7. Mai aus짯l채uft, m체s짯sen die L체cken bereits im Febru짯ar ent짯deckt wor짯den sein. Ob Intel es zusam짯men mit den Betriebs짯sys짯tem-Her짯stel짯lern schaf짯fen wird, die L체cken frist짯ge짯recht zu schlie짯횩en, muss abge짯war짯tet wer짯den. Melt짯down und Spect짯re waren den Her짯stel짯lern schon seit Mit짯te 2017 bekannt, den짯noch waren im Janu짯ar 2018 die L체cken gr철횩짯ten짯teils nicht geschlossen.

Dass nun neue Vari짯an짯ten von Spect짯re ans Tages짯licht kom짯men, kann nicht 체ber짯ra짯schen. Die Goog짯le-For짯scher hat짯ten das bereits in ihrer aus짯f체hr짯li짯chen Dar짯le짯gung zu Spect짯re-v2 gemut짯ma횩t, dass uns die짯se Art L체cke noch lan짯ge beglei짯ten wird. Aus짯l철짯ser sind die leis짯tungs짯stei짯gern짯den Fea짯tures in moder짯nen Pro짯zes짯so짯ren, wie Out-of-Order Exe짯cu짯ti짯on, Spe짯cu짯la짯ti짯ve Exe짯cu짯ti짯on und Branch Pre짯dic짯tion. W체r짯den Pro짯zes짯so짯ren Code strikt In-Order aus짯f체h짯ren wie der Ur-Pen짯ti짯um oder die ers짯ten Atom-Pro짯zes짯so짯ren, h채t짯ten wir weder Melt짯down noch Spect짯re. Den짯noch gibt es auch bei moder짯nen Pro짯zes짯so짯ren Unter짯schie짯de. So war AMD von Melt짯down gar nicht betrof짯fen, obwohl auch AMD aus짯schlie횩짯lich Out-of-Order-CPUs her짯stellt, und die Spect짯re-v2-L체cke wur짯de mit einem Near-Zero-Risk ein짯ge짯stuft; gefixt wur짯de sie trotz짯dem. Ob AMD auch von den acht neu짯en Spect짯re-L체cken betrof짯fen ist, ist aktu짯ell noch nicht bekannt.