Schlimmer als „Spectre“: Neue Sicherheitslücken in Intel-Chips
Die Hoffnung, dass durch die Patches, die Intel und andere Chiphersteller nach Bekanntwerden von „Spectre“ und „Meltdown“ herausgaben das Sicherheitsproblem gelöst wurde, könne man begraben, fürchtet „c’t“. Intel selbst habe vier der acht neuen Sicherheitslücken als „hohes Risiko“ eingestuft, die weiteren vier als „mittleres Risiko“.
Laut „c’t“ seien die Risiken in etwa mit „Spectre“ vergleichbar - mit einer Ausnahme: Eine der neuen Lücken würde Angriffe über Systemgrenzen hinweg derart vereinfachen, dass das Fachmagazin das Bedrohungspotenzial deutlich höher einschätzt. Vor allem Server von Cloud-Anbieter und darauf gespeicherte Zugangsdaten seien akut bedroht. Die neuen Lücken nennt „c’t“ „Spectre-NG“ (next generation).
Nicht nur ein Loch, sondern „Schweizer Käse“
Für Privatanwender und Firmen-PCs sei die Gefahr dagegen eher gering, hier gebe es andere Schwachstellen, die sich leichter ausnutzen ließen. Dennoch sollten Patches für die neuen Lücken installiert werden, sobald diese herausgegeben werden. Mit einem reibungslosen Ablauf rechnet die Fachzeitschrift hier allerdings nicht: Bereits bei der Bereitstellung der „Spectre“-Updates habe es trotz monatelangen Vorlaufs mehrere Pannen gegeben, manche der Patches hätten die Leistung reduziert und Updates für wenige Jahre alte Rechner seien von manchen Firmen verweigert worden.
Die neuen Sicherheitslücken zeigten, dass „Spectre“ und „Meltdown“ keine „einmaligen Ausrutscher“ gewesen seien, resümiert „c’t“. Statt eines simplen Lochs habe man es eher mit einem „Schweizer Käse“ zu tun, für jedes abgedichtete Loch tauchten zwei weitere auf. Eine Folge der jahrzehntelangen Vernachlässigung von Sicherheitserwägungen bei der Prozessorentwicklung.
Link:
Publiziert am 03.05.2018