Spectre und Meltdown erschütterten die IT-Welt in ihren Grundfesten. Die Hoffnung, dass die Hersteller das Problem mit ein paar Sicherheits-Updates in den Griff bekommen, erwies sich als trügerisch: Acht neue Sicherheitslücken haben Forscher bereits in Intel-Prozessoren gefunden. Intel hält die Informationen zu den Spectre-Next-Generation-Lücken allerdings noch geheim. Das belegen Informationen, die dem Computermagazin c’t exklusiv vorliegen.
Wann die ersten Patches, also Updates für die neuen Spectre-Lücken, Spectre-NG, kommen, ist bislang nicht klar. »Anscheinend plant Intel zwei Patch-Wellen«, sagt Jürgen Schmidt, Sicherheitsexperte beim Computer-magazin c’t. »Eine erste soll bereits im Mai anrollen; eine zweite ist für August angedacht.«
Vier der neuen Sicherheitslücken stuft Intel selbst mit einem hohen Risiko ein, die Gefahr der anderen vier wird mit »mittel« bewertet. Nachforschungen des Computermagazins c’t zufolge sind die Angriffsszenarien ähnlich einzustufen wie bei Spectre im Januar. »Eine der neuen Lücken vereinfacht jedoch Angriffe über Systemgrenzen hinweg so stark, dass wir das Bedrohungspotenzial deutlich höher einstufen als bei Spectre. Besonders betroffen sind Anbieter von Cloud-Diensten wie Amazon oder Cloudfare und natürlich deren Kunden«, erklärt Schmidt. »Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet.«
Die konkrete Gefahr für Privatleute und Firmen-PCs ist hingegen eher gering, weil es dort in aller Regel andere, einfacher auszunutzende Schwachstellen gibt. Auch wenn es keinen Grund zur Panik gibt, muss man die neuen Sicherheitslücken ernst nehmen.
Insgesamt zeigen die Spectre-NG-Lücken, dass Spectre und Meltdown keine einmaligen Ausrutscher waren, die man mit ein paar Flicken nachhaltig stopfen könnte. »Eine niemals endende Patch-Flut ist aber keine akzeptable Lösung dafür, dass Intel vor zwanzig Jahren Performance-Optimierungen ohne ausreichendes Sicherheitskonzept umgesetzt hat«, sagt Experte Schmidt und fordert, dass das CPU-Design grundsätzlich überdacht werden muss, um eine stabile IT-Infrastruktur zu haben.
https://www.youtube.com/watch?v=tJKFQEF0_V4
Analyse des Patch Tuesday im März: Kernel-Updates von Microsoft als Antwort auf Meltdown und Spectre
Sieben Möglichkeiten für Security-Verantwortliche, um mit Spectre und Meltdown fertig zu werden
Schwachstellen »Meltdown« und »Spectre« und die Handlungsempfehlungen für Industrie 4.0
Meltdown und Spectre: Die wichtigsten Fragen und Antworten zu den zwei Schwachstellen in Prozessoren