Spectre-NG: Patches für Pfingstmontag erwartet

Admins aufgepasst: Voraussichtlich wird Intel am 21. Mai erste Updates bereitstellen, die Spectre-Next-Generation-Lücken schließen sollen. Parallel dazu werden dann wohl auch die Entdecker der Lücken ihre bisher unter Verschluss gehaltenen Informationen zur Natur der Schwachstellen preisgeben. Diese Informationen beruhen auf c't exklusiv vorliegenden Dokumenten. Eine Bestätigung des Termins oder gar Informationen zu den Schwachstellen hat Intel bislang nicht herausgegeben.

CPU-Sicherheitslücken Spectre-NG

Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-) Prozessoren gestoßen – Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.

• Super-GAU für Intel: Weitere Spectre-Lücken im Anflug
• Exclusive: Spectre-NG - Multiple new Intel CPU flaws revealed, several serious
• Spectre-NG: Updates und Info-Links
• Kommentar: Hallo Intel, mein Vertrauen schwindet!

Man sollte Intel keinen Strick aus dem aus deutscher Sicht sehr ungünstig gelegenen Termin drehen. Denn erstens ist der Pfingstmontag anders als in Deutschland in den USA kein gesetzlicher Feiertag. Außerdem wurde der Termin nach unseren Informationen von den Entdeckern der Lücke vorgegeben. Intel hat sogar – allerdings aus ganz anderen Gründen – um noch mehr Aufschub gebeten. Es besteht also auch noch eine Chance, dass die Veröffentlichung noch weiter aufgeschoben wird.

Gefahr für Cloud-Server

Doch auch wenn die Patches am Montag erscheinen sollten, ist das nicht ganz so dramatisch, da dies auf Grund der Zeitverschiebung wohl gegen Abend unserer Zeit geschehen wird. Aber Admins sollten sich zumindest darauf einstellen, dass mit guter Wahrscheinlichkeit direkt nach ihrem Pfingsturlaub am Dienstag morgen Arbeit auf sie wartet. Ähnlich wie bei Spectre/Meltdown ist auch bei den Spectre-NG-Lücken die Gefahr vor allem beim Einsatz von Cloud-Servern besonders groß.

c't und heise Security hatten Anfang Mai dokumentiert, dass Intel bereits acht weitere Prozessor-Sicherheitsprobleme der Kategorie Spectre/Meltdown bekannt sind. Damals stand als Termin für erste Patches zu diesen Spectre-Next-Generation-Lücken noch der 7. Mai im Raum; er wurde jedoch bereits einmal um vierzehn Tage nach hinten verschoben. (ju)