Acht neue Spectre Sicherheitslücken in Intel-Prozessoren entdeckt
Als Anfang diesen Jahres die Schwachstellen Meltdown und Spectre in modernen Out-of-Order-Prozessoren bekannt wurden, war die Aufregung groß. Seither ist viel geschehen. Die Betriebssystem-Hersteller haben Meltdown für Intel-Prozessoren per Software gepatcht (AMD-Prozessoren waren von Meltdown nicht betroffen), und die Spectre-Lücke Variante 1 (AMD und Intel) ebenso. Etwas widerborstiger war die Spectre-Lücke Variante 2. Hier mussten die CPU-Hersteller per Microcode sogar neue CPU-Befehle nachrüsten, um zusammen mit Software-Anpassungen einen adäquaten Schutz zu ermöglichen. Für weitere Details siehe Links zum Thema ganz unten.
Heute nun berichtet Heise über nicht weniger als acht neue Sicherheitslücken, die ähnlich auszunutzen sind wie die bisherigen Spectre-Lücken. Daher nennt Heise sie Spectre-NG für Next-Generation. Entdeckt wurden die Lücken offenbar zum Großteil von Googles Sicherheitsteam, das bereits an der Entdeckung der im Januar bekannt gewordenen Lücken beteiligt war. Die Lücken haben wohl auch bereits Common Vulnerability Enumerator (CVE) Nummern erhalten. Da es bisher jedoch noch keine Patches gibt, nennt Heise weder die Nummern noch die genaue Vorgehensweise, wie sie ausgenutzt werden können.
Intel selbst hat laut Heise die Lücken bestätigt und kategorisiert vier davon mit “hohes Risiko” und vier mit “mittleres Risiko”. Laut Heise ist eine der Lücken sehr leicht auszunutzen, viel leichter, als etwa Spectre-v2. Daher sind wie schon im Januar insbesondere die Anbieter von Cloud-Diensten (Azure, AWS, etc.) betroffen, wo mehrere VMs oder Kunden auf einer Maschine arbeiten. Da Google den Herstellern in der Regel 90 Tage Zeit lässt zu reagieren und diese Frist anscheinend am 7. Mai ausläuft, müssen die Lücken bereits im Februar entdeckt worden sein. Ob Intel es zusammen mit den Betriebssystem-Herstellern schaffen wird, die Lücken fristgerecht zu schließen, muss abgewartet werden. Meltdown und Spectre waren den Herstellern schon seit Mitte 2017 bekannt, dennoch waren im Januar 2018 die Lücken größtenteils nicht geschlossen.
Dass nun neue Varianten von Spectre ans Tageslicht kommen, kann nicht überraschen. Die Google-Forscher hatten das bereits in ihrer ausführlichen Darlegung zu Spectre-v2 gemutmaßt, dass uns diese Art Lücke noch lange begleiten wird. Auslöser sind die leistungssteigernden Features in modernen Prozessoren, wie Out-of-Order Execution, Speculative Execution und Branch Prediction. Würden Prozessoren Code strikt In-Order ausführen wie der Ur-Pentium oder die ersten Atom-Prozessoren, hätten wir weder Meltdown noch Spectre. Dennoch gibt es auch bei modernen Prozessoren Unterschiede. So war AMD von Meltdown gar nicht betroffen, obwohl auch AMD ausschließlich Out-of-Order-CPUs herstellt, und die Spectre-v2-Lücke wurde mit einem Near-Zero-Risk eingestuft; gefixt wurde sie trotzdem. Ob AMD auch von den acht neuen Spectre-Lücken betroffen ist, ist aktuell noch nicht bekannt.
Links zum Thema:
- BIOS-Updates mit AGESA 1.0.0.2 und Spectre-v2-Schutz ()
- April-Patch nutzt Microcode-Updates für AMD-CPUs mit Spectre-Schutz ()
- Intel legt mit Microcode-Updates vor – AMD beginnt mit Epyc ()
- AMD Epyc verliert kaum Leistung durch Spectre-v2-Fix Retpoline ()
- InSpectre Release #7 mit CPUID veröffentlicht ()
- AMD gibt Programmierleitfaden gegen Spectre heraus ()
- AMD stellt klar: MS-Patch nur gegen Spectre auf AMD-Hardware ()
- Massive Sicherheitslücke in Intel-CPUs (Update: AMD, ARM, Bugfixes) ()