Werbung
Dass Intel noch über Jahre hinweg mit Side-Channel-Attacken bzw. den dazugehörigen Sicherheitslücken zu kämpfen haben wird, war zu erwarten. Nun sind Details zu Spectre 1.1 und Spetre 1.2 veröffentlicht worden, denn im Zuge des neuen Bounty-Programms, welches im Rahmen von Spectre und Meltdown ausgerufen wurde, wurde an zwei Sicherheitsforscher der Betrag von 100.000 US-Dollar ausgezahlt.
Spectre 1.1 und 1.2 sind, wie der Name schon sagt, weitere Varianten der Spectre Variante 1 CVE-2017-5753 Side-Channel-Sicherheitslücke. Entdeckt wurden diese von Vladimir Kiriansky und Carl Waldspurger, die zu ihrer Entdeckung auch ein entsprechendes wissenschaftliches Papier (PDF) veröffentlicht haben. Intel hat sich die Sicherheitslücken bereits angeschaut und diese bestätigt. Über das Security Incident Response Team wurde außerdem eine Ausschüttung der Belohnung von 100.000 US-Dollar bestätigt, doch viel wichtiger ist die Analyse der Lücken.
Laut Intel sind nicht nur die eigenen Prozessoren durch Spectre 1.1 (CVE-2017-5753) und Spectre 1.2 (CVE-2018-3693) betroffen, sondern auch solche von AMD und auf Basis eines ARM-Designs. Dieser Umstand ist bei den Lücken aber nicht weiter verwunderlich, denn häufig sind Sicherheitslücken dieser Art im grundsätzlichen Design aktueller Prozessoren begründet und damit betreffen sie auch alle modernen CPU-Architekturen.
"Most modern operating systems are impacted. Intel recommends checking with your Operating System Vendor(s) for updates or patches."
Beide Lücken werden von Intel mit der Gefahrenstufe "High" bewertet. Intel arbeitet nach eigener Aussage mit den Betriebssystemherstellern sowie Hardware-Partnern bereits an entsprechenden Patches. Wann diese erscheinen werden und welche Auswirkungen auf die Leistung zu erwarten sind, lässt man allerdings offen.
"Along with other companies whose platforms are potentially impacted by these new methods, including AMD and ARM, Intel has worked with operating system vendors, equipment manufacturers, and other ecosystem partners to develop software updates or developer guidance that can help protect systems from these methods. End users and systems administrators should check with their operating system vendors and apply any available updates as soon as practical."
Spectre 1.1 und 1.2 reihen sich nach den ursprünglichen Spetre- und Meltdown-Sicherheitslücken in eine Liste vorheriger Entdeckungen ein, die teilweise ebenfalls noch nicht vollständig behoben sind. Zu nennen sind hier die unter dem Namen Spectre-NG bekanntgewordenen Lücken und auch Lazy FP State Restore.
Mit Cascade Lake und/oder Ice Lake will Intel die Meltdown- und Spectre-Sicherheitslücken „in silicon" beseitigen. Allerdings wird das Thema noch eine ganze Zeit eine Rolle für Intel spielen, denn die Installationsbasis im Datacenter wird aufgrund langer Wechselzyklen noch lange gegen Side-Channel-Attacken anfällig sein.