Spectre V3a und V4: Details zu den neuen Sicherheitslücken veröffentlicht
Neben Spectre V1, V2 und Meltdown soll es noch acht weitere schwerwiegende Sicherheitslücken geben, die Angreifer als Einfallstor dienen könnten. Mittlerweile wurden mit Spectre Variante 3a und Variante 4 zwei davon bestätigt.
Im Januar wurden mit Spectre Variante 1, 2 und Meltdown drei schwerwiegende Sicherheitslücken bekannt, doch es sollen nicht die einzigen Einfallstore für Angreifer sein. Acht weitere Sicherheitslücken, die im Zusammenhang mit Spectre stehen, sollen existieren. Das berichtete heise.de zu Beginn des Monats. Eine von diesen wurde von Googles Project-Zero-Team gefunden, die bereits die ersten drei Lücken aufspürten. Intel soll bereits Anfang Februar in Kenntnis gesetzt worden sein. Die übliche 90-Tage-Frist, die zur Schließung gewährt wird, ist derweil am 7. Mai bereits verstrichen. In einem Nachtrag war die Rede davon, dass sich Updates um 14 Tage verschieben und man gleichzeitig Details zu zwei der acht Sicherheitslücken veröffentliche.
Stichtag war gestern. Updates gibt es zwar noch nicht, dafür jedoch die Bestätigung und Veröffentlichung weiterer Informationen durch ARM und Intel zu den Varianten 3a "Rogue System Register Read, CVE-2018-3640" und Variante 4 "Speculative Store Bypass, CVE-2018-3639".
3a ist demnach eine weitere Variante von Meltdown. Informationen zu der Sicherheitslücke wurden von ARM veröffentlicht. Als betroffen werden die ARM-Kerne Cortex-A15, -A57 und -A57 gelistet. Bei Intel sind es alle CPUs ab der ersten Core-Generation. AMD-Prozessoren bleiben auch weiterhin verschont. Gegenmaßnahmen seitens ARM wird es derweil nicht geben. Das Unternehmen erachte diese aktuell als nicht notwendig, da die Gefahr der Ausnutzung durch Angreifer gering sei. Intel ist zwar ähnlicher Auffassung, neuen Microcode wird es dennoch geben.
Der enthält auch Gegenmaßnahmen für die nun bestätigte Spectre Variante 4 - Details gibt es von Intel. Diese sind ab Werk allerdings nicht aktiv. Schließen lasse sich die Sicherheitslücke über entsprechende Anpassungen in Anwendungen. Es obliegt also den Software-Entwicklern, diese letztlich zu nutzen. Bereits aktive Maßnahmen gegen Spectre Variante 1 sollen derweil ebenfalls helfen. Als Gründe für diese Entscheidung seitens Intel gilt wohl der potenzielle Leistungsverlust, der mit der Aktivierung einhergeht. Die Performance der Prozessoren sinke laut Intel um zwei bis acht Prozent im SYSmark 2014 SE sowie dem Integer-Test von SPEC. Auch bei AMD sind die Gegenmaßnahmen optional. Betroffen sind alle AMD-CPUs seit der ersten Bulldozer-Generation. Auch Prozessoren von IBM seien nicht vor Spectre V4 sicher, wie es von Red Hat heißt.
Damit verbleiben sechs weitere Sicherheitslücken, die in die gleiche Kerbe schlagen sollen, bis zum jetzigen Zeitpunkt allerdings noch nicht bekannt sind.
Sicherheits-GAU: Spectre & Meltdown - Hintergründe, Tipps und Benchmarks
PCGH Plus: Durch Meltdown, Spectre 1 und Spectre 2 sind Daten fast aller Nutzer in Gefahr - nahezu unabhängig von der eingesetzten Software. Wir klären auf und geben Hilfestellung bei den Updates. Der Artikel stammt aus PC Games Hardware 03/2018.
mehr ...

Red du bist mein Held - schönen Dank!
Ich habe alle automatischen Updates 30 bzw. 365 Tage zurückgestellt (Pro-Version von Windows). Das erhöht erfahrungsgemäß wenigstens die Chance dass Windows mir nicht wieder den Rechner zerschießt bzw. mich zur Neuinstallation zwingt (oder mittlerweile eher die Linux-Installation zu nutzen).
Ganz wehren kann man sich am Ende als Windows Nutzer vermutlich nicht. Da die Performanceverringerungen bis auf einige ganz seltene Spezialfälle aber so klein sind dass man sie mit Glück messen aber nicht fühlen kann ist das jetzt auch kein so großes Ärgernis. Oder anders gesagt die Bevormundung von MS nervt mich viel mehr als das bisschen performance was ich durch Sicherheitsupdates verlieren könnte.
... in eine .reg-datei schreiben, doppelklick, in die registrierung eintragen und
ordnungsgemäß auf verfügbare updates hingewiesen werden (um sie in diesem falle manuell anzustupsen). getestet unter windows 10 pro x64, aktuellstes build:
[Ins Forum, um diesen Inhalt zu sehen]
Fehler wird es IMMER geben, nicht nur (im Moment vermehrt) bei Intel.
Microcode update von Microsoft muß immer noch selbst runtergeladen und installiert werden.
Und das gibt's nur für Windows 10.
Für Windows 7 und 8 gibt's nur den Meltdown-patch, und der kommt automatisch mit Windows update.