Presse-Informationen
c't

  1. Heise Gruppe
  2. Presse-Informationen
  3. c't

Super-GAU für Intel
c’t deckt auf: Es gibt weitere Spectre-Lücken

Hannover, 3. Mai 2018 Spectre und Meltdown er­schüt­terten die IT-Welt in ihren Grundfesten. Die Hoffnung, dass die Hersteller das Problem mit ein paar Sicherheits-Updates in den Griff bekommen, erwies sich als trügerisch: Acht neue Sicherheitslücken haben Forscher bereits in Intel-Prozessoren gefunden. Intel hält die Informationen zu den Spectre-Next-Generation-Lücken allerdings noch geheim. Das belegen Infor­ma­tio­nen, die dem Computer­magazin c’t exklusiv vorliegen.

Jürgen Schmidt, Sicherheitsexperte beim Computermagazin c', über die neuen Intel-Sicherheitslücken

Wann die ersten Patches, also Updates für die neuen Spectre-Lücken, Spectre-NG, kommen, ist bislang nicht klar. „Anscheinend plant Intel zwei Patch-Wellen“, sagt Jürgen Schmidt, Sicherheitsexperte beim Computer­magazin c’t. „Eine erste soll bereits im Mai anrollen; eine zweite ist für August angedacht.“

Vier der neuen Sicherheitslücken stuft Intel selbst mit einem hohen Risiko ein, die Gefahr der anderen vier wird mit „mittel“ bewertet. Nachforschungen des Com­puter­magazins c’t zufolge sind die Angriffssze­na­rien ähnlich einzustufen wie bei Spectre im Januar. „Eine der neuen Lücken vereinfacht jedoch Angriffe über Systemgrenzen hinweg so stark, dass wir das Bedrohungspotenzial deutlich höher einstufen als bei Spectre. Besonders betroffen sind Anbieter von Cloud-Diensten wie Amazon oder Cloudfare und natürlich deren Kunden“, erklärt Schmidt. „Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet.“

Die konkrete Gefahr für Privatleute und Firmen-PCs ist hingegen eher gering, weil es dort in aller Regel andere, einfacher auszunutzende Schwachstellen gibt. Auch wenn es keinen Grund zur Panik gibt, muss man die neuen Sicherheitslücken ernst nehmen.

Insgesamt zeigen die Spectre-NG-Lücken, dass Spectre und Meltdown keine einmaligen Ausrutscher waren, die man mit ein paar Flicken nachhaltig stopfen könnte. „Eine niemals endende Patch-Flut ist aber keine akzeptable Lösung dafür, dass Intel vor zwanzig Jahren Performance-Optimierungen ohne ausreichendes Sicherheitskonzept umgesetzt hat“, sagt Experte Schmidt und fordert, dass das CPU-Design grundsätzlich überdacht werden muss, um eine stabile IT-Infrastruktur zu haben.

Hinweis für Redaktionen: Gern können Sie auch das obige Video in Ihre Berichterstattung einbinden.
https://www.youtube.com/watch?v=tJKFQEF0_V4