Spectre NG: Mehrere neue, teils gravierende Lücken in Intel Prozessoren gefunden
Nachdem sich der Wind um Spectre und Meltdown ein wenig gelegt hat kommt es offenbar noch dicker für Intel. Der c’t liegen Informationen vor, laut denen insgesamt acht weitere Lücken in Intels Prozessoren schlummern.
Der Name Spectre NG ist erstmal nur ein Arbeitstitel und steht für Spectre Next Generation, da die neu gefundenen Lücken ebenfalls in der CPU-Architektur begründet liegen – wie auch schon die originalen Spectre Lücken.
Über die genauen Lücken und wie diese ausgenutzt werden könnten wird bisher noch geschwiegen – auch zum Schutz der Nutzer und Verbraucher. Von den insgesamt acht Lücken werden vier als kritische und der Rest als mittlere Bedrohung angesehen.
Eine der Lücken könnte allerdings sehr schwerwiegende Konsequenzen für eine breite Anwenderbasis bereiten: Betroffen sind demnach vor allem Hoster und Cloudanbieter, denn die Lücke ermöglicht es, dass Schadsoftware aus einer virtuellen Maschine heraus agieren kann. So könnte die Lücke offenbar dazu verwendet werden, aus einer virtuellen Maschine heraus das Wirtsystem oder auch andere virtuelle Maschinen anzugreifen. Ziel könnten Zugangsdaten oder Schlüsselinformationen auf den entsprechenden Systemen sein.
Technisch war diese Art Angriff auch bereits mittels der ersten Spectre Lücke möglich, erforderte allerdings sehr umfangreiches Vorwissen und einen enormen Aufwand. Im Fall von Spectre NG soll diese Art Angriff allerdings verhältnismäßig einfach sein.
Bislang gibt es lediglich Informationen, dass Intel CPUs und wenige ARM-Chips betroffen sind. Die Untersuchungen für weitere betroffene CPUs, allen voran AMD, laufen derzeit noch.
Patches für die Lücken sind derzeit auch noch nicht absehbar, bis dahin verbleiben die Details der Lücken wohl auch noch unter Verschluss – hoffentlich.
Allerdings: Vorsichtig müssen nun vor allem Cloudhoster sein, Privatkunden dürften eher selten das Ziel werden. Hier gibt es oft schon einfacher auszunutzende Sicherheitslücken.
Einige weitere Details findet ihr drüben bei c’t, wir werden das Thema natürlich weiter im Auge behalten.