Forscher haben erneut eine Meltdown- und Spectre-Sicherheitslücke entdeckt. Betroffen seien erneut fast alle gängigen CPUs aller Hersteller.
von Alexandra Lindner 22.05.2018
Die CPU-Sicherheitsprobleme, die unter den Namen Meltdown und Spectre bekannt geworden sind, weiten sich zunehmend aus. Kurz nach Bekanntgabe des ersten Sicherheitslecks Anfang Januar dieses Jahres zeigten sich die Hersteller noch zuversichtlich, das Problem zeitnah in den Griff zu bekommen. Nun werden aber immer neue Schwachstellen aufgedeckt.
Microsoft und Google wollen nun eine vierte Variante des Meltdown- und Spectre-Datenlecks entdeckt haben. Betroffen sind den Angaben zufolge moderne Prozessoren von Intel-, AMD-, ARM- und IBMs Power 8, Power 9 und System Z.
Die Schwachstelle ermöglicht es Hackern, Passwörter und andere sensible Daten aus dem Prozessorkern oder Anwendungsspeicher auszulesen. Wird etwa ein JavaScript in einem Browsertab ausgeführt, können Informationen aus einem anderen Tab extrahiert werden.
Lücke wurde noch nicht ausgenutzt
Grundsätzlich wird das Risiko der Sicherheitslücke als mittel eingestuft, heisst es. Veröffentlicht wurden die Informationen des CPU-Sicherheitslecks von Google Projekt Zero und dem Microsoft Security Response Center. Intel teilte indes mit, dass es bisher keine bekannten Fälle gebe, in denen die besagte Sicherheitslücke ausgenutzt wurde. Zudem gebe es zahlreiche Möglichkeiten, sich gegen den Exploit zu schützen. Darunter etwa Browser-basierte Massnahmen, die bereits jetzt zur Verfügung stehen, so Intel weiter.
Ferner befinde sich ein entsprechendes Mikrocode-Update bereits in einer Betaphase und werde von ausgewählten OEM-Partnern und Software-Entwicklern getestet. Intel geht davon aus, dass das Update zeitnah für die Öffentlichkeit zugänglich gemacht werden kann.
Quelle: Microsoft und Google finden neue Meltdown- und Spectre-Lücke
Kein Ende in Sicht
Intel-Vorwarnung: Updates für neue Spectre-Lücken bremsen Systemleistung
Microsoft und Google haben neue Spectre-Varianten enthüllt. Es gibt bereits Patches, diese können jedoch fast zehn Prozent Leistungseinbußen mitbringen.
Seit dem Wochenende sind mit Spectre 3a und Spectre 4 weitere Varianten der Hardware-Sicherheitslücke Spectre. Das Leck hat zusammen mit Meltdown Anfang des Jahres für sehr viel Wirbel gesorgt. Zu Beginn wurden dabei zwei Spectre-Angriffsmöglichkeiten erwähnt, eine dritte folgte schnell. Nun gibt es also zwei neue Varianten der Sicherheitslücke, die die spezifische Arbeitsweise von modernen Prozessoren ausnutzen und Daten in Gefahr bringt.
Spectre 3a benötigt dabei lokalen Zugriff des Angreifers. Speculative Store Bypass erlaubt einfachere und somit gefährlichere Angriffe. Google und Microsoft haben die Details dazu am Sonntag veröffentlicht. Wie Intels Sicherheitschef Leslie Culbertson sagt, helfen einige bisherige Patches gegen Meltdown und Spectre auch gegen Angriffe nach den neuen Mustern. Das trifft etwa die Nutzung von Prozessoren in den Browsern Chrome, Edge und Safari.
Auf Betriebssystemebene bedarf es jedoch zusätzlicher Firmware-Updates. Diese sind immerhin schon als Beta-Versionen vorhanden und bei OEM-Partnern zum Test. Wie Culbertson weiter bekannt gibt, sollten die meisten Nutzer nichts von Leistungseinbußen spüren. In bestimmten Systembenchmarks konnte sich jedoch ein Leistungsabfall von zwei bis acht Prozent bemerkbar machen. Leistungseinbußen gab es auch mit vorherigen Updates, die kamen jedoch erst später ans Licht und betrugen in der Regel "nur" etwa fünf Prozent.
Von den Updates eingeschränkte Nutzer werden sich wie seit Beginn des Jahres Gedanken darüber machen müssen, ob ihnen Performance oder Sicherheit wichtiger ist. Akut aufgefordert zum Handeln sind wie schon zuvor Server-Betreiber im Geschäftsumfeld. Kritische Einbußen könnten aber auch auf einigen Workstations mit hohem Daten- und Rechenaufwand drohen. Gelegenheitsnutzer und auch (anspruchsvollere) Spieler sollten Änderungen in der Regel messen, aber nicht wirklich spüren können. Microsoft prüft derzeit mit Intel und AMD, inwiefern (weitere) Leistungseinbußen mit neuen Updates gegen die Sicherheitslücken Spectre 3a und 4 zu befürchten sind.
Aktuelle Prozessoren erzielen eine große Zeitersparnis, indem sie – vereinfacht gesagt – Arbeitsschritte und Berechnungen vorhersehen können und nicht warten müssen, sobald der konkrete Befehl da ist. Genau dort können Angreifer Spectre ausnutzen und Daten abgreifen.
22.5.2018 von The-Khoa Nguyen
Quelle: Intel-Vorwarnung: Updates für neue Spectre-Lücken bremsen Systemleistung - PC Magazin