zurück zum Artikel

Spectre-NG: Intel verschiebt die ersten Patches – koordinierte Veröffentlichung aufgeschoben

Spectre-NG: Intel bremst Veröffentlichung weiterer Details und des ersten Patches

Eigentlich war für Montag die Veröffentlichung der ersten Spectre-NG-Patches geplant. Doch Intel hat um Aufschub gebeten und diesen auch erhalten. Neue, exklusive Informationen zeigen, wie es mit Spectre-NG jetzt weiter gehensoll.

Nachdem c't vergangene Woche exklusiv die Existenz mehrerer Sicherheitslücken in Intels Prozessoren unter dem Namen Spectre Next Generation [1] dokumentierte, sollte dazu ursprünglich am 7.Mai der erste Spectre-NG-Patch erscheinen. Doch Intel hat offenbar Probleme, die erforderlichen Updates fristgerecht fertig zu bekommen und deshalb die mit den Entdeckern koordinierte Veröffentlichung verschoben – erst einmal um 14 Tage, wenn möglich sogar noch länger. Das legen Informationen zu den weiteren Patch-Plänen des Prozessor-Herstellers nahe, die heise Security und c't vorliegen.

Intel plant jetzt eine koordinierte Veröffentlichung am 21. Mai 2018. Zu diesem Termin sollen neue Microcode-Updates bereit gestellt werden. Parallel werden wohl auch technische Informationen zur Natur von mindestens zwei der Spectre-NG-Lücken veröffentlicht. Allerdings ist auch dieser Termin nicht in Stein gemeißelt: Gemäß unseren Informationen hat Intel bereits eine weitere Fristverlängerung bis zum 10. Juli beantragt.

Die Zahl der Systeme, die diese Patches benötigen, ist enorm. Denn diese Spectre-NG-Lücken betreffen nicht nur alle Core-i-Prozessoren und deren Xeon-Derivate zumindest seit Erscheinen (Nehalem, 2010); das sind Intels Standard-CPUs für Desktops, Notebooks und Server. Ebenfalls anfällig sind Atom-basierte Pentium, Celeron- und Atom-Prozessoren seit 2013. Und die kommen auch in Tablets, Smartphones und Embedded Geräten zum Einsatz.

Für die Beseitigung der gefährlichsten Spectre-NG-Lücke müssen sich Intels Kunden sogar noch länger gedulden. Sie betrifft ebenfalls die Core-i- sowie Xeon-Prozessoren und erlaubt es, etwa aus einer Virtuellen Maschine heraus deren Wirt oder andere VMs zu attackieren. Das ist insbesondere bei der Nutzung von Cloud-Systemen fatal. Derzeit plant Intel dazu Patches erst im dritten Quartal. Konkret steht der 14. August im Raum. Zur Absicherung der Architektur plant Intel eine Kombination aus Hardware-Updates in Form von neuem Microcode und Software-Verbesserungen, die die Betriebssystem-Hersteller umsetzen müssen.

Damit sind aber immer noch nicht alle Spectre-NG-Lücken abgedeckt. Denn mindestens vier Lücken sollen gemäß Intels Plänen die Software-Hersteller in ihren Produkten entschärfen. Unseren Informationen zufolge geschieht das bereits teilweise stillschweigend unter der Haube; aber auch größere Spectre-NG-Patches für Windows, Linux, macOS und andere betroffene Betriebssysteme werden folgen. Wir werden über deren Termine natürlich ebenfalls berichten, sobald uns dazu gesicherte Erkenntnisse vorliegen. (ju [6])


URL dieses Artikels:
http://www.heise.de/-4043790

Links in diesem Artikel:
[1] https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html
[2] https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html
[3] https://www.heise.de/ct/artikel/Exclusive-Spectre-NG-Multiple-new-Intel-CPU-flaws-revealed-several-serious-4040648.html
[4] https://www.heise.de/ct/artikel/CPU-Sicherheitsluecken-Spectre-NG-Updates-und-Info-Links-4053268.html
[5] https://www.heise.de/meldung/Kommentar-Hallo-Intel-mein-Vertrauen-schwindet-4041485.html
[6] mailto:ju@ct.de