NEWS

Fehlende Patches

Koordinierte Veröffentlichung zu Spectre-NG verschoben

Portrait des Authors


Koordinierte Veröffentlichung zu Spectre-NG verschoben
23

Werbung

Nach der ersten Welle der Spectre- und Meltdown-Sicherheitslücken Mitte Januar wurden in der vergangenen Woche eine zweite Welle potenzieller Gefährdungen bekannt. Zu Spectre-NG (Spectre Next Generation) gibt es bislang aber recht wenige Informationen, da Intel zusammen mit den Entdeckern eine koordinierte Veröffentlichung geplant hat, die eigentlich heute erfolgen sollte. Auch erste Patches waren für heute geplant.

Nun aber wurde bekannt, dass Intel eine koordinierte Veröffentlichung zusammen mit den ersten Patches 14 Tage später, also am 21. Mai plant. Offenbar war es nicht möglich die erforderlichen Updates fristgerecht fertig zu bekommen und so bat Intel um einen Aufschub, der auch gewährt wurde. Das Verhalten der beteiligten Sicherheitsforscher unterscheidet sich damit dramatisch von dem der CTS Labs und der kürzlich veröffentlichten Sicherheitslücken für AMD-Prozessoren.

Am besagten 21. Mail sollen die ersten Microcode-Updates veröffentlicht werden. Zudem sollen dann für mindestens zwei der Spectre-NG-Sicherheitslücken die technischen Hintergründe der Lücken selbst sowie eventuelle Angriffsvektoren veröffentlicht werden. Ob es allerdings beim 21. Mai bleibt, ist fraglich. Intel soll bereits um einen weiteren Aufschub bis zum 10. Juli  gebeten haben.

Von den Spectre-NG-Sicherheitslücken betroffen sein sollen alle Core-Prozessoren bis zurück zur Nehalem-Generation. Anfällig sind aber offenbar auch alle Pentium-, Celeron- und Atom-Prozessoren seit 2013. Damit geht die Anzahl der betroffenen Systeme in die Millionen und für dutzende Prozessoren müssen Microcode-Updates bereitgestellt werden. Diese müssen über die OEMs verteilt und zuvor auch von diesen getestet werden. Letztendlich aber kommt es auf den Nutzer an, ob dieser die Updates auch einspielt. Wie in einem solchen Fall üblich plant Intel eine Veröffentlichung der Patches und Microcode-Updates in Abhängigkeit von Aktualität des jeweiligen Prozessors sowie dessen Verbreitungsgrades. Aber klar ist, nicht alle Prozessoren werden in der ersten Welle abgedeckt sein. Derzeit steht der 14. August für die finalen Patches im Raum.

Von den acht bekannten Spectre-NG-Sicherheitslücken sollen durch die Patches zunächst einmal vier abgedeckt werden. Diese dürften das größte Gefahrenpotenzial vorzuweisen haben. Spectre-ähnliche Sicherheitslücken lassen sich nur über eine Kombination aus Patches für die Betriebssysteme und Microcode-Updates schließen. Updates für Windows, Linux, macOS und andere Betriebssysteme sollen ebenfalls bereits in Vorbereitung sein. Auch Spectre-NG soll durch Änderungen in der Hardware dauerhaft behoben werden. Ob dies schon wie bei den ersten Spectre-Lücken mit Cascade Lake der Fall ist, wird sich noch zeigen müssen.

Bis zur nun am 21. Mai geplanten Offenlegung aller Informationen zu den Spectre-NG-Sicherheitslücken werden noch einige Fragezeichen offen bleiben müssen. Einmal mehr aber kämpft Intel mit einer solchen Problematik.