Menü
Update
Security

CPU-Sicherheitslücken Spectre-NG: Updates rollen an

Für zwei der acht neuen Spectre-NG-Lücken kündigt Intel Updates an; sie betreffen abermals fast sämtliche Intel-Prozessoren der vergangegen Jahre.

Von
vorlesen Drucken Kommentare lesen 102 Beiträge
Spectre

Für zwei der neuen Spectre-Sicherheitslücken, über die c't und heise Security seit Anfang Mai berichten, erscheinen nun Updates. Dabei geht es um Spectre V3a sowie um Spectre V4 . Das Sicherheitsrisiko beider Lücken wird als "mittel" eingeschätzt. Von Spectre V3a und Spectre V4 sind wie bei Spectre V1 und V2 praktisch alle Intel-Prozessoren aus den vergangenen zehn Jahren betroffen.

CPU-Sicherheitslücken Spectre-NG

Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-) Prozessoren gestoßen – Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.

Spectre V4 (Speculative Store Bypass, CVE-2018-3639) wurde von Google Project Zero und von Microsoft gemeldet. Es handelt sich um eine Seitenkanalattacke (Side-Channel Attack), die ähnlich wie die schon bekannten Spectre-Lücken funktioniert – auch bei Prozessoren anderer Hersteller.

Spectre V3a (Rogue System Register Read, CVE-2018-3640) wurde von ARM gemeldet. Laut Intel soll sich diese Lücke bei Intel-Prozessoren nur schwer für Angriffe nutzen lassen.

Zu den anderen sechs der insgesamt acht "Spectre Next Generation"-Lücken (Spectre-NG) gibt es weiterhin keine öffentlichen Informationen.

Laut Intel sind wesentliche Schutzmaßnahmen gegen Spectre V4 bereits umgesetzt: Die Browser-Hersteller haben schon als Schutz gegen Spectre V1 und V2 bestimmte Timer-Funktionen für JavaScript-Code verändert, sodass sich Angriffe schwieriger umsetzen lassen. Dieser Schutz wirkt auch gegen Spectre V4. Zudem kommen mit Browser-Updates Funktionen wie "Site Isolation", die Spectre-Attacken weiter erschweren.

Intel bringt aber auch neue CPU Microcode Updates, die wie bisher sowohl per BIOS-Update oder auch vom Betriebssystem eingespielt werden können. Die neuen Microcode-Updates sind in Beta-Versionen verfügbar und sollen im Laufe der nächsten Monate erscheinen. Die Microcode-Updates ermöglichen es Programmierern, in ihrem Code Funktionen zur Memory Disambiguation (MD) gezielt abzuschalten.

Die neuen Microcode-Updates enthalten auch neue Features, die sich als Schutz gegen Spectre V3a nutzen lassen.

[Updates:] Intel liefert in einem Blog-Beitrag mehr Details zu Speculative Store Bypass (Spectre V4), ebenso Red Hat. Laut Red Hat sind außer Intel-Prozessoren auch welche von AMD und ARM betroffen sowie die IBM-Prozessoren Power8, Power9 und System Z. Laut Intel mindert die Abschaltung von Memory Disambiguation die Systemperformance, und zwar um 2 bis 8 Prozent in Benchmarks wie BAPCo SYSmark 2014 SE und SPECint_rate_base_2006.

Intel hat im Security Advisory Intel-SA-00115 eine Liste der betroffenen Prozessoren veröffentlicht. Zu den Experten von Google Project Zero (GPZ), die auch Spectre V4 entdeckten, gehört auch wieder Jann Horn. [/Update]

Noch fehlen genaue Angaben, für welche Intel-Prozessoren wann die nötigen Updates kommen. Auch zu Patches für Betriebssysteme und Hypervisoren ist noch nichts bekannt. Im Hintergrund laufen aber etwa Arbeiten am Linux-Kernel. Microsoft hat sich mit der automatischen Verteilung von CPU-Microcode-Updates ab Windows 10 1803 anscheinend schon auf neue Updates vorbereitet. Googles Container-Sandbox gVisor könnte den Schutz von Docker-Hosts verbessern.

Neue CPU-Sicherheitslücken Spectre-NG
Name Bezeichnung CVE-Nummer
Spectre Variante 3a Rogue System Register Read CVE-2018-3640
Spectre Variante 4 Speculative Store Bypass CVE-2018-3639
Spectre-NG 3 bis 8 k.A.

Nach wie vor sind keine konkreten Angriffe bekannt, die Spectre-Lücken ausnutzen.

Wie bereits Anfang Mai gemeldet, sind die Spectre-NG-Lücken ebenso wie ihre Vorgänger vor allem für Cloud-Server gefährlich. Hier kann der Betreiber nicht steuern, welcher Code in den einzelnen virtuellen Maschinen (VMs) läuft. Deshalb sind Angriffe aus einer VM auf Speicherbereiche einer anderen VM denkbar.

Bei typisch genutzten PCs und Notebooks steigern die Spectre-Lücken das Gefährdungspotenzial bisher kaum. Denn in Betriebssystem, Browser und anderer Software stecken für gewöhnlich Sicherheitslücken, die sich wesentlich einfacher ausnutzen lassen.

Eine der Sicherheitslücken wurde abermals von Google Project Zero (GPZ) gemeldet. Somit bestätigen sich die Andeutungen der Entdecker der Spectre- und Meltdown-Lücken, die vor weiteren, ähnlichen Sicherheitsrisiken warnten.

Die bisherigen CPU-Sicherheitslücken Meltdown und Spectre
Google-Name Kurzbezeichnung CVE-Nummer
Spectre Variante 1 Bounds Check Bypass CVE-2017-5753
Spectre Variante 2 Branch Target Injection (BTI) CVE-2017-5715
Meltdown (GPZ V3) Rogue Data Cache Load CVE-2017-5754
GPZ steht für Google Project Zero, Spectre V1 und V2 werden auch GPZ V1 und GPZ V2 genannt

(ciw)