Spectre-NG: Intel verschiebt die ersten Patches – koordinierte Veröffentlichung aufgeschoben

Nachdem c't vergangene Woche exklusiv die Existenz mehrerer Sicherheitslücken in Intels Prozessoren unter dem Namen Spectre Next Generation dokumentierte, sollte dazu ursprünglich am 7.Mai der erste Spectre-NG-Patch erscheinen. Doch Intel hat offenbar Probleme, die erforderlichen Updates fristgerecht fertig zu bekommen und deshalb die mit den Entdeckern koordinierte Veröffentlichung verschoben – erst einmal um 14 Tage, wenn möglich sogar noch länger. Das legen Informationen zu den weiteren Patch-Plänen des Prozessor-Herstellers nahe, die heise Security und c't vorliegen.

CPU-Sicherheitslücken Spectre-NG

Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-) Prozessoren gestoßen – Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.

• Super-GAU für Intel: Weitere Spectre-Lücken im Anflug
• Exclusive: Spectre-NG - Multiple new Intel CPU flaws revealed, several serious
• Spectre-NG: Updates und Info-Links
• Kommentar: Hallo Intel, mein Vertrauen schwindet!

Spectre-NG trifft PCs, Tablets und Geräte

Intel plant jetzt eine koordinierte Veröffentlichung am 21. Mai 2018. Zu diesem Termin sollen neue Microcode-Updates bereit gestellt werden. Parallel werden wohl auch technische Informationen zur Natur von mindestens zwei der Spectre-NG-Lücken veröffentlicht. Allerdings ist auch dieser Termin nicht in Stein gemeißelt: Gemäß unseren Informationen hat Intel bereits eine weitere Fristverlängerung bis zum 10. Juli beantragt.

Die Zahl der Systeme, die diese Patches benötigen, ist enorm. Denn diese Spectre-NG-Lücken betreffen nicht nur alle Core-i-Prozessoren und deren Xeon-Derivate zumindest seit Erscheinen (Nehalem, 2010); das sind Intels Standard-CPUs für Desktops, Notebooks und Server. Ebenfalls anfällig sind Atom-basierte Pentium, Celeron- und Atom-Prozessoren seit 2013. Und die kommen auch in Tablets, Smartphones und Embedded Geräten zum Einsatz.

Weitere Spectre-NG-Patches im August

Für die Beseitigung der gefährlichsten Spectre-NG-Lücke müssen sich Intels Kunden sogar noch länger gedulden. Sie betrifft ebenfalls die Core-i- sowie Xeon-Prozessoren und erlaubt es, etwa aus einer Virtuellen Maschine heraus deren Wirt oder andere VMs zu attackieren. Das ist insbesondere bei der Nutzung von Cloud-Systemen fatal. Derzeit plant Intel dazu Patches erst im dritten Quartal. Konkret steht der 14. August im Raum. Zur Absicherung der Architektur plant Intel eine Kombination aus Hardware-Updates in Form von neuem Microcode und Software-Verbesserungen, die die Betriebssystem-Hersteller umsetzen müssen.

Damit sind aber immer noch nicht alle Spectre-NG-Lücken abgedeckt. Denn mindestens vier Lücken sollen gemäß Intels Plänen die Software-Hersteller in ihren Produkten entschärfen. Unseren Informationen zufolge geschieht das bereits teilweise stillschweigend unter der Haube; aber auch größere Spectre-NG-Patches für Windows, Linux, macOS und andere betroffene Betriebssysteme werden folgen. Wir werden über deren Termine natürlich ebenfalls berichten, sobald uns dazu gesicherte Erkenntnisse vorliegen. (ju)