Menü
Security

Spectre-NG: Intel verschiebt die ersten Patches – koordinierte Veröffentlichung aufgeschoben

Eigentlich war für Montag die Veröffentlichung der ersten Spectre-NG-Patches geplant. Doch Intel hat um Aufschub gebeten und diesen auch erhalten. Neue, exklusive Informationen zeigen, wie es mit Spectre-NG jetzt weiter gehensoll.

Von
vorlesen Drucken Kommentare lesen 223 Beiträge
Spectre-NG: Intel bremst Veröffentlichung weiterer Details und des ersten Patches

Nachdem c't vergangene Woche exklusiv die Existenz mehrerer Sicherheitslücken in Intels Prozessoren unter dem Namen Spectre Next Generation dokumentierte, sollte dazu ursprünglich am 7.Mai der erste Spectre-NG-Patch erscheinen. Doch Intel hat offenbar Probleme, die erforderlichen Updates fristgerecht fertig zu bekommen und deshalb die mit den Entdeckern koordinierte Veröffentlichung verschoben – erst einmal um 14 Tage, wenn möglich sogar noch länger. Das legen Informationen zu den weiteren Patch-Plänen des Prozessor-Herstellers nahe, die heise Security und c't vorliegen.

Intel plant jetzt eine koordinierte Veröffentlichung am 21. Mai 2018. Zu diesem Termin sollen neue Microcode-Updates bereit gestellt werden. Parallel werden wohl auch technische Informationen zur Natur von mindestens zwei der Spectre-NG-Lücken veröffentlicht. Allerdings ist auch dieser Termin nicht in Stein gemeißelt: Gemäß unseren Informationen hat Intel bereits eine weitere Fristverlängerung bis zum 10. Juli beantragt.

Die Zahl der Systeme, die diese Patches benötigen, ist enorm. Denn diese Spectre-NG-Lücken betreffen nicht nur alle Core-i-Prozessoren und deren Xeon-Derivate zumindest seit Erscheinen (Nehalem, 2010); das sind Intels Standard-CPUs für Desktops, Notebooks und Server. Ebenfalls anfällig sind Atom-basierte Pentium, Celeron- und Atom-Prozessoren seit 2013. Und die kommen auch in Tablets, Smartphones und Embedded Geräten zum Einsatz.

Für die Beseitigung der gefährlichsten Spectre-NG-Lücke müssen sich Intels Kunden sogar noch länger gedulden. Sie betrifft ebenfalls die Core-i- sowie Xeon-Prozessoren und erlaubt es, etwa aus einer Virtuellen Maschine heraus deren Wirt oder andere VMs zu attackieren. Das ist insbesondere bei der Nutzung von Cloud-Systemen fatal. Derzeit plant Intel dazu Patches erst im dritten Quartal. Konkret steht der 14. August im Raum. Zur Absicherung der Architektur plant Intel eine Kombination aus Hardware-Updates in Form von neuem Microcode und Software-Verbesserungen, die die Betriebssystem-Hersteller umsetzen müssen.

Damit sind aber immer noch nicht alle Spectre-NG-Lücken abgedeckt. Denn mindestens vier Lücken sollen gemäß Intels Plänen die Software-Hersteller in ihren Produkten entschärfen. Unseren Informationen zufolge geschieht das bereits teilweise stillschweigend unter der Haube; aber auch größere Spectre-NG-Patches für Windows, Linux, macOS und andere betroffene Betriebssysteme werden folgen. Wir werden über deren Termine natürlich ebenfalls berichten, sobald uns dazu gesicherte Erkenntnisse vorliegen. (ju)