Spectre v4: Die nächste Variante der Sicherheitslücke wurde entdeckt

Sicherheit, Sicherheitslücke, Intel, Schwachstelle, Lücke, Amd, Arm, Spectre, Meltdown, Lücken Bildquelle: TU Graz
Die Spectre und Meltdown getauften Sicherheitslücken haben Anfang des Jahres die Computer-Welt in Aufruhr versetzt. Die ursprünglichen Varianten sind mittlerweile auch schon geschlossen worden, doch es werden immer weitere Varianten entdeckt. Nun war es wieder so weit, Sicherheitsforscher von u. a. Microsoft und Google haben "Spectre v4" entdeckt.
Spectre nimmt und nimmt kein Ende. Die mittlerweile vierte Variante wurde gemeinsam von u. a. Microsoft und Google gemeldet und als CVE-2018-3639 in die Bedrohungsdatenbank aufgenommen. Laut The Register sind alle modernen Out-of-order Execution-Prozessorkerne von Intel, AMD, ARM sowie IBMs Power 8-, Power 9- und System z-CPUs betroffen.

Variante 4 ist eine Schwachstelle, die einen "spekulativen Bypass" ausnutzt. Sollte ein Angreifer erfolgreich sein, kann er theoretisch im CPU-Stack ältere Speicher-Werte oder andere Speicher-Orte auslesen. Als ein potenzielles Angriffsszenario werden Skript-Dateien beschrieben, die innerhalb eines anderen Programms wie JavaScript oder einer Webseite in einem Browser-Tab laufen und sensible Informationen aus anderen Teilen der Anwendung "herausheben" - etwa persönliche Details aus einem anderen Tab.

Nicht allzu gefährlich

Die gute Nachricht: Das klingt nicht nur verhältnismäßig kompliziert, sondern ist es auch. Dazu kommt, dass nach Angaben von Intel, die im Zuge von Variante 1 verteilten Gegenmaßnahmen das Ausnutzen von Variante 4 wesentlich erschweren.

Dementsprechend gibt es aktuell auch keine bekannten Exploits, außerdem sind bereits Patches gegen Variante 4 auf dem Weg bzw. werden getestet. Die schlechte Nachricht: Die bevorstehenden (optionalen) Microcode-Updates haben eine Auswirkung auf die Leistung, aktuell wurden Einbußen zwischen zwei und acht Prozent beobachtet und das auf Client- wie Server-Testsystemen.

Mehr zu Spectre und Co.:
WinFuture-Update-Packs Alle Sicherheitsupdates in einem Paket Sicherheit, Sicherheitslücke, Intel, Schwachstelle, Lücke, Amd, Arm, Spectre, Meltdown, Lücken Sicherheit, Sicherheitslücke, Intel, Schwachstelle, Lücke, Amd, Arm, Spectre, Meltdown, Lücken TU Graz
Diese Nachricht empfehlen
Kommentieren15
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden