CPU-Sicherheitslücken Spectre-NG: Updates rollen an
Für zwei der acht neuen Spectre-NG-Lücken kündigt Intel Updates an; sie betreffen abermals fast sämtliche Intel-Prozessoren der vergangegen Jahre.
Für zwei der neuen Spectre-Sicherheitslücken, über die c't und heise Security seit Anfang Mai berichten, erscheinen nun Updates. Dabei geht es um Spectre V3a sowie um Spectre V4 . Das Sicherheitsrisiko beider Lücken wird als "mittel" eingeschätzt. Von Spectre V3a und Spectre V4 sind wie bei Spectre V1 und V2 praktisch alle Intel-Prozessoren aus den vergangenen zehn Jahren betroffen.
Spectre V4 (Speculative Store Bypass, CVE-2018-3639) wurde von Google Project Zero und von Microsoft gemeldet. Es handelt sich um eine Seitenkanalattacke (Side-Channel Attack), die ähnlich wie die schon bekannten Spectre-Lücken funktioniert – auch bei Prozessoren anderer Hersteller.
Spectre V3a (Rogue System Register Read, CVE-2018-3640) wurde von ARM gemeldet. Laut Intel soll sich diese Lücke bei Intel-Prozessoren nur schwer für Angriffe nutzen lassen.
Zu den anderen sechs der insgesamt acht "Spectre Next Generation"-Lücken (Spectre-NG) gibt es weiterhin keine öffentlichen Informationen.
Intel-Patches
Laut Intel sind wesentliche Schutzmaßnahmen gegen Spectre V4 bereits umgesetzt: Die Browser-Hersteller haben schon als Schutz gegen Spectre V1 und V2 bestimmte Timer-Funktionen für JavaScript-Code verändert, sodass sich Angriffe schwieriger umsetzen lassen. Dieser Schutz wirkt auch gegen Spectre V4. Zudem kommen mit Browser-Updates Funktionen wie "Site Isolation", die Spectre-Attacken weiter erschweren.
Intel bringt aber auch neue CPU Microcode Updates, die wie bisher sowohl per BIOS-Update oder auch vom Betriebssystem eingespielt werden können. Die neuen Microcode-Updates sind in Beta-Versionen verfügbar und sollen im Laufe der nächsten Monate erscheinen. Die Microcode-Updates ermöglichen es Programmierern, in ihrem Code Funktionen zur Memory Disambiguation (MD) gezielt abzuschalten.
Die neuen Microcode-Updates enthalten auch neue Features, die sich als Schutz gegen Spectre V3a nutzen lassen.
[Updates:] Intel liefert in einem Blog-Beitrag mehr Details zu Speculative Store Bypass (Spectre V4), ebenso Red Hat. Laut Red Hat sind außer Intel-Prozessoren auch welche von AMD und ARM betroffen sowie die IBM-Prozessoren Power8, Power9 und System Z. Laut Intel mindert die Abschaltung von Memory Disambiguation die Systemperformance, und zwar um 2 bis 8 Prozent in Benchmarks wie BAPCo SYSmark 2014 SE und SPECint_rate_base_2006.
Intel hat im Security Advisory Intel-SA-00115 eine Liste der betroffenen Prozessoren veröffentlicht. Zu den Experten von Google Project Zero (GPZ), die auch Spectre V4 entdeckten, gehört auch wieder Jann Horn. [/Update]
Patch-Kalender fehlt
Noch fehlen genaue Angaben, für welche Intel-Prozessoren wann die nötigen Updates kommen. Auch zu Patches für Betriebssysteme und Hypervisoren ist noch nichts bekannt. Im Hintergrund laufen aber etwa Arbeiten am Linux-Kernel. Microsoft hat sich mit der automatischen Verteilung von CPU-Microcode-Updates ab Windows 10 1803 anscheinend schon auf neue Updates vorbereitet. Googles Container-Sandbox gVisor könnte den Schutz von Docker-Hosts verbessern.
Neue CPU-Sicherheitslücken Spectre-NG | ||
Name | Bezeichnung | CVE-Nummer |
Spectre Variante 3a | Rogue System Register Read | CVE-2018-3640 |
Spectre Variante 4 | Speculative Store Bypass | CVE-2018-3639 |
Spectre-NG 3 bis 8 | k.A. |
Risiko-Einschätzung
Nach wie vor sind keine konkreten Angriffe bekannt, die Spectre-Lücken ausnutzen.
Wie bereits Anfang Mai gemeldet, sind die Spectre-NG-Lücken ebenso wie ihre Vorgänger vor allem für Cloud-Server gefährlich. Hier kann der Betreiber nicht steuern, welcher Code in den einzelnen virtuellen Maschinen (VMs) läuft. Deshalb sind Angriffe aus einer VM auf Speicherbereiche einer anderen VM denkbar.
Bei typisch genutzten PCs und Notebooks steigern die Spectre-Lücken das Gefährdungspotenzial bisher kaum. Denn in Betriebssystem, Browser und anderer Software stecken für gewöhnlich Sicherheitslücken, die sich wesentlich einfacher ausnutzen lassen.
Eine der Sicherheitslücken wurde abermals von Google Project Zero (GPZ) gemeldet. Somit bestätigen sich die Andeutungen der Entdecker der Spectre- und Meltdown-Lücken, die vor weiteren, ähnlichen Sicherheitsrisiken warnten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Die bisherigen CPU-Sicherheitslücken Meltdown und Spectre | ||
Google-Name | Kurzbezeichnung | CVE-Nummer |
Spectre Variante 1 | Bounds Check Bypass | CVE-2017-5753 |
Spectre Variante 2 | Branch Target Injection (BTI) | CVE-2017-5715 |
Meltdown (GPZ V3) | Rogue Data Cache Load | CVE-2017-5754 |
GPZ steht für Google Project Zero, Spectre V1 und V2 werden auch GPZ V1 und GPZ V2 genannt |
(ciw)