Neue Meltdown- und Spectre-Lücke - Updates für neue Spectre-Lücken bremsen Systemleistung

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Neue Meltdown- und Spectre-Lücke - Updates für neue Spectre-Lücken bremsen Systemleistung

    Microsoft und Google finden neue Meltdown- und Spectre-Lücke
    Forscher haben erneut eine Meltdown- und Spectre-Sicherheitslücke entdeckt. Betroffen seien erneut fast alle gängigen CPUs aller Hersteller.
    von Alexandra Lindner 22.05.2018

    Die CPU-Sicherheitsprobleme, die unter den Namen Meltdown und Spectre bekannt geworden sind, weiten sich zunehmend aus. Kurz nach Bekanntgabe des ersten Sicherheitslecks Anfang Januar dieses Jahres zeigten sich die Hersteller noch zuversichtlich, das Problem zeitnah in den Griff zu bekommen. Nun werden aber immer neue Schwachstellen aufgedeckt.

    Microsoft und Google wollen nun eine vierte Variante des Meltdown- und Spectre-Datenlecks entdeckt haben. Betroffen sind den Angaben zufolge moderne Prozessoren von Intel-, AMD-, ARM- und IBMs Power 8, Power 9 und System Z.

    Die Schwachstelle ermöglicht es Hackern, Passwörter und andere sensible Daten aus dem Prozessorkern oder Anwendungsspeicher auszulesen. Wird etwa ein JavaScript in einem Browsertab ausgeführt, können Informationen aus einem anderen Tab extrahiert werden.

    Lücke wurde noch nicht ausgenutzt

    Grundsätzlich wird das Risiko der Sicherheitslücke als mittel eingestuft, heisst es. Veröffentlicht wurden die Informationen des CPU-Sicherheitslecks von Google Projekt Zero und dem Microsoft Security Response Center. Intel teilte indes mit, dass es bisher keine bekannten Fälle gebe, in denen die besagte Sicherheitslücke ausgenutzt wurde. Zudem gebe es zahlreiche Möglichkeiten, sich gegen den Exploit zu schützen. Darunter etwa Browser-basierte Massnahmen, die bereits jetzt zur Verfügung stehen, so Intel weiter.

    Ferner befinde sich ein entsprechendes Mikrocode-Update bereits in einer Betaphase und werde von ausgewählten OEM-Partnern und Software-Entwicklern getestet. Intel geht davon aus, dass das Update zeitnah für die Öffentlichkeit zugänglich gemacht werden kann.


    Quelle: Microsoft und Google finden neue Meltdown- und Spectre-Lücke



    Kein Ende in Sicht
    Intel-Vorwarnung: Updates für neue Spectre-Lücken bremsen Systemleistung
    Microsoft und Google haben neue Spectre-Varianten enthüllt. Es gibt bereits Patches, diese können jedoch fast zehn Prozent Leistungseinbußen mitbringen.

    Seit dem Wochenende sind mit Spectre 3a und Spectre 4 weitere Varianten der Hardware-Sicherheitslücke Spectre. Das Leck hat zusammen mit Meltdown Anfang des Jahres für sehr viel Wirbel gesorgt. Zu Beginn wurden dabei zwei Spectre-Angriffsmöglichkeiten erwähnt, eine dritte folgte schnell. Nun gibt es also zwei neue Varianten der Sicherheitslücke, die die spezifische Arbeitsweise von modernen Prozessoren ausnutzen und Daten in Gefahr bringt.

    Spectre 3a benötigt dabei lokalen Zugriff des Angreifers. Speculative Store Bypass erlaubt einfachere und somit gefährlichere Angriffe. Google und Microsoft haben die Details dazu am Sonntag veröffentlicht. Wie Intels Sicherheitschef Leslie Culbertson sagt, helfen einige bisherige Patches gegen Meltdown und Spectre auch gegen Angriffe nach den neuen Mustern. Das trifft etwa die Nutzung von Prozessoren in den Browsern Chrome, Edge und Safari.

    Auf Betriebssystemebene bedarf es jedoch zusätzlicher Firmware-Updates. Diese sind immerhin schon als Beta-Versionen vorhanden und bei OEM-Partnern zum Test. Wie Culbertson weiter bekannt gibt, sollten die meisten Nutzer nichts von Leistungseinbußen spüren. In bestimmten Systembenchmarks konnte sich jedoch ein Leistungsabfall von zwei bis acht Prozent bemerkbar machen. Leistungseinbußen gab es auch mit vorherigen Updates, die kamen jedoch erst später ans Licht und betrugen in der Regel "nur" etwa fünf Prozent.

    Von den Updates eingeschränkte Nutzer werden sich wie seit Beginn des Jahres Gedanken darüber machen müssen, ob ihnen Performance oder Sicherheit wichtiger ist. Akut aufgefordert zum Handeln sind wie schon zuvor Server-Betreiber im Geschäftsumfeld. Kritische Einbußen könnten aber auch auf einigen Workstations mit hohem Daten- und Rechenaufwand drohen. Gelegenheitsnutzer und auch (anspruchsvollere) Spieler sollten Änderungen in der Regel messen, aber nicht wirklich spüren können. Microsoft prüft derzeit mit Intel und AMD, inwiefern (weitere) Leistungseinbußen mit neuen Updates gegen die Sicherheitslücken Spectre 3a und 4 zu befürchten sind.

    Aktuelle Prozessoren erzielen eine große Zeitersparnis, indem sie – vereinfacht gesagt – Arbeitsschritte und Berechnungen vorhersehen können und nicht warten müssen, sobald der konkrete Befehl da ist. Genau dort können Angreifer Spectre ausnutzen und Daten abgreifen.

    22.5.2018 von The-Khoa Nguyen


    Quelle: Intel-Vorwarnung: Updates für neue Spectre-Lücken bremsen Systemleistung - PC Magazin
  • Neu

    Foreshadow / L1TF 16.08.2018, 13:01 Uhr
    Drei neue Spectre-Lücken in Intel-Prozessoren entdeckt
    Forscher haben neue Spectre-Lücken in Intel-Prozessoren entdeckt. Über Foreshadow beziehungsweise L1TF können Hacker auch auf geschützte Speichersektionen zugreifen.

    Das Drama um die Sicherheitslücken in den Intel-Chips scheint kein Ende zu nehmen. Forscher finden immer wieder neue Meltdown- und Spectre-Lecks. Die aktuell neu entdeckte Lücke wurde auf den Namen Foreshadow getauft und könnte es Hackern ermöglichen, auf Inhalte in virtuellen Maschinen Zugriff zu erlangen.

    Die Forscher aus Israel, Belgien, den USA und Kanada stellten ihren Fund auf dem Usenix Security '18 Symposium vor. Grundsätzlich gebe es zwei Versionen von Foreshadow. Die erste ermögliche es Angreifern, Daten aus SGX-Enklaven zu extrahieren. Die zweite Variante hingegen betreffe die VMs, Hyervisor (CMM), Betriebssystem-Kernspeicher und System Management Modes, so die Forscher.

    Bei SGX beziehungsweise der Software-Guard-Erweiterung handelt es sich um bestimmte Befehle in Intel-Prozessoren, mit denen Code auf Benutzerebene privaten Speicherebenen zugewiesen werden kann. Da diese auf einer höheren Berechtigungsebene liegen, sind sie vor Zugriffen durch den Prozessor geschützt.

    SGX sei als neues Feature in modernen Intel-CPUs integriert, schreiben die Forscher weiter. Damit könne der Nutzer seine Daten selbst dann vor unberechtigtem Zugang schützen, wenn ein Angreifer das gesamte System unter seine Kontrolle gebracht hat.

    Foreshadow trickst SGX-geschützten Speicher aus

    Bisher wurde angenommen, dass SGX auch gegen die Sicherheitslücken Meltdown und Spectre schützen. Die Demonstration von Foreshadow zeigt jedoch, dass dies nicht der Fall ist. Den Forschern war es gelungen, SGX-geschützen Speicher zu lesen und sogar den privaten Berechtigungsschlüssel zu extrahieren.

    Die zweite Variante der Sicherheitslücke, die die Forscher Foreshadow-NG nennen, wird von Intel als "L1 Terminal Fault" (L1TF) bezeichnet. Im Zuge seiner internen Untersuchungen hat der Hersteller hierbei zwei weitere ähnliche Angriffsmöglichkeiten entdeckt.
    Diese könnten Angreifer dazu verhelfen, Informationen aus dem L1-Cache zu lesen. Darunter auch Daten aus dem Systemverwaltungsmodus (SMM), zum Betriebssystemkernel und zum Hypervisor. Prekär ist allerdings vor allem die Tatsache, dass über das Leck Informationen aus anderen VMs auslesbar sind. Voraussetzung hierfür ist nur, dass diese in derselben Cloud gespeichert sind.

    Laut einer Mitteilung von Intel sind annähernd alle Prozessoren der Core-i-Reihe von den neu entdeckten Sicherheitslücken betroffen. Der Anbieter stellt entsprechende Microcode-Updates auf seiner Webseite zur Verfügung und rät dringend dazu, diese zeitnah durchzuführen.

    Autor(in) Alexandra Lindner


    Quelle: Drei neue Spectre-Lücken in Intel-Prozessoren entdeckt - onlinepc.ch