Liebe Kunden,
Es gibt neue Sicherheitslücken im Intel-Prozessoren. So genannte: Spectre Next Generation (Spectre-NG)
Acht neue Sicherheitslücken – vier davon hochriskant – haben Forscher in Intel-Prozessoren gefunden. Das belegen Informationen, die c’t exklusiv vorliegen.
Die bisherigen Prozessor-Angriffsszenarien Spectre und Meltdown sind nur die Spitze des Eisbergs: Intel-Prozessoren enthalten acht weitere, bisher unbekannte Sicherheitslücken, von denen manche wesentlich gravierender ausfallen als Meltdown und Spectre. Für die neuen Sicherheitslücken wurden bereits Nummern im Verzeichnis aller Sicherheitslücken (Common Vulnerabilities Enumerator, CVE) vergeben; vermutlich bekommen sie auch jeweils eigene Namen. Bis diese bekannt werden, nennen wir sie zusammenfassend Spectre Next Generation (Spectre-NG).
Massive Gefahr für Cloud-Anbieter
Für vier der acht Lücken stuft Intel die Gefährlichkeit als hochriskant ein, die restlichen vier als “mittel”. Eine der Spectre-NG-Lücken hat nach Ansicht von c’t jedoch ein wesentlich höheres Bedrohungspotenzial als die bekannten Spectre-Lücken – sie lässt sich über die Grenzen virtueller Maschinen hinweg für Angriffe ausnutzen. Angreifer könnten ihren Schadcode in einer virtuellen Maschine ausführen und von dort aus das Wirtssystem attackieren. Dies stellt etwa für Cloud-Hoster ein enormes Sicherheitsrisiko dar – akut gefährdet sind etwa Passwörter und geheime Schlüssel für die Datenübertragung. Dazu kommt, dass auch Intels Software Guard Extensions zum Schutz sensibler Daten nicht Spectre-sicher sind.
CPU-Architektur als Problem
Nutzer sind nun auf Patches angewiesen – und Intel muss sein generelles CPU-Design überdenken. Außerdem muss der Prozessorhersteller für mehr Transparenz als bisher sorgen – etwa mit Risikoanalysen zu potenziellen Schwachstellen.