Spectre Next Generation: Intel soll von 8 weiteren Sicherheitslücken betroffen sein [Update: Stellungnahmen]
Das Bekanntwerden der drei GPZ-Sicherheitslücken Spectre 1 und 2 sowie Meltdown soll nur die Spitze eines Eisberges gewesen sein. Acht weitere, in Zusammenhang mit Spectre stehende Sicherheitslücken sollen Intel bereits intern bekannt sein, wie heise.de aus eigenen Quellen in Erfahrung gebracht haben möchte. Die Kollegen nennen sie vorerst Spectre Next Generation.
Update vom 04.05.18:
In einer Stellungnahme hat sich Intel zu den Vorwürfen seitens heise.de geäußert:
"Die Daten unserer Kunden zu schützen und die Sicherheit unserer Produkte sicherzustellen, ist für uns von entscheidender Bedeutung. Wir arbeiten routinemäßig mit unseren Kunden, Partnern, anderen Chipherstellern und Forschern zusammen, um jegliche Probleme, die erkannt werden, zu verstehen und zu lösen. Ein Teil dieses Prozesses beinhaltet, CVE-Nummern zu reservieren. Wir glauben stark an den Nutzen einer koordinierten Offenlegung und werden zusätzliche Details zu jeglichen potenziellen Problemen teilen, während wir die Schutzmaßnahmen finalisieren. Als beste Vorgehensweise empfehlen wir weiterhin allen Nutzern, ihre Systeme aktuell zu halten."
Grundsätzlich widerspricht Intel dem Bericht nicht, sodass sich Nutzer in den kommenden Wochen und Monaten auf weitere Neuigkeiten bezüglich potenziellen Sicherheitslücken in Prozessoren einstellen können. Heise.de liegt derweil auch eine Stellungnahme von AMD vor:
"Die Sicherheit und der Schutz von Nutzerdaten stellen AMDs höchste Priorität dar. Wir arbeiten eng mit dem gesamten Ökosystem zusammen, um potenzielle Sicherheitslücken zu evaluieren und Maßnahmen zu entwickeln, wenn solche entdeckt werden. Wir sind uns der aktuellen Medienberichte bezüglich [Spectre] bewusst. Wir sehen uns die Sache an und werden entsprechend Informationen teilen."
ARM habe noch keinen Kommentar abgeben wollen.
Originalartikel vom 03.05.18:
Im Januar wurden drei schwerwiegende Sicherheitslücken bekannt, die Googles Project-Zero-Team gefunden und Spectre 1, Spectre 2 sowie Meltdown getauft hat. Seitdem bemühen sich Chiphersteller wie AMD, ARM und Intel sowie Microsoft als Windows-Anbieter, und Linux-Entwickler die Lücken über Microcode- und Software-Updates zu schließen. Nach anfänglichen Startschwierigkeiten funktioniert das inzwischen recht gut. Heise.de möchte von diversen Quellen nun jedoch in Erfahrung gebracht haben, dass das Problem mit dem Schließen von Spectre 1, 2 und Meltdown bei Weitem noch nicht behoben sei.
Intel sollen intern bereits acht weitere Sicherheitslücken bekannt sein, die im Zusammenhang mit Spectre stünden. Eine davon soll erneut Googles Project-Zero-Team gefunden und Intel bereits Anfang Februar zugetragen haben - die üblicherweise gewährte 90-Tage-Frist, in der der Verantwortliche Zeit hat, die Sicherheitslücke zu schließen, soll am 07. Mai auslaufen. Heise.de geht nicht ins Detail, wie die neuen Angriffsstellen aussähen, warnt aber davor, dass zumindest eine davon schwerwiegende Folgen haben könnte. Sie vereinfache das Auslesen sensibler Daten innerhalb von Cloud-Systemen, indem eine virtuelle Maschine auf die Daten anderer VMs innerhalb desselben Systems zugreifen könne. Intel soll vier der acht Sicherheitslücken derweil mit einem hohen Risiko, die anderen mit einem mittleren eingestuft haben. Alle acht besäßen bereits CVE-Nummern (Common Vulnerability Enumerator). Bis zur offiziellen Offenlegung nennt sie heise.de Spectre Next Generation.
An einigen Fixes soll Intel selbst arbeiten, bei anderen kooperiere der Chiphersteller mit Partnern wie Microsoft. Aktuell seien zwei Patch-Wellen geplant, die erste davon noch im laufenden Mai, die andere erst im kommenden August. Die Kollegen spekulieren, dass die Probleme damit aber noch nicht ausgesessen sein könnten. Sie betiteln die aktuelle Sicherheitslage von CPUs als "Schweizer Käse".
Unklar sei noch, wie die Lage bei anderen Chipherstellern aussehe. Heise.de lägen Informationen vor, dass mindestens einzelne ARM-Prozessoren ebenfalls von den neu entdeckten Sicherheitslücken betroffen seien. Noch keine Details gebe es bei den CPUs aus dem Hause AMD. Im Falle von Spectre 1 und 2 sind Ryzen-, Bulldozer- und ältere Modelle ebenfalls betroffen, wenn auch in einem geringeren Ausmaß.
Spectre kann auf dem PC nicht enteckt werden ok.
Aber ist es nicht einfach Möglich den Datenverkehr zwischen Internet/Lan/Wlan und dem PC strikt zu kontrollieren?
Letztendlich MUSS doch egal was mit dem PC kommuniziert darüber protokolliert werden.
Hat man hier einen besseren detaillierten Schutz welcher sämtlichen Traffic kontrolliert und analysiert, ist die Sicherheitslücke im CPU obsolet oder sehe ich das falsch?
Edit nicht das es zu Missverständnissen kommt:
Ich meine wirklich das alles durchleuchtet wird, selbst das was von sicheren Programmen kommt.
Sind das heutzutage nur noch Scripts? Zu meinen Spiele-Zeiten waren solche Patches stinknormale Programme/DLLs, die dann halt mit den Rechten des Spieles alles gedurft hätten. Egal, ob sie einen Keylogger enthalten, ob sie analog zum Taskmanager eine Memorydump eines laufenden Programms abziehen oder was man sich noch so alles ausdenken kann.
Was soll an einem Miner und co anders sein? Ich muss ihn bewusst herunter laden und bewusst ausführen. Also läuft das Programm/der Service in der Regel mit meinen Benutzerrechten. Solche Programme hat mir jedenfalls auf dem heimischen PC noch keiner unter geschoben (außer vieleicht mittels drive-by installation oder eben im Browser.
Schönes Beispiel. Siehe auch den Test von Passwort-Managern in C't 7/2018. Bei allen konnte das Masterpasswort im Speicher des laufenden Tools recht problemlos gefunden werden. Dass der Memory-Dump dazu selbst auf einem System mit eingeschrämnken Benutzerrechten mit dem Taskmanager erstellt werden kann (also auch mit jedem beliebigen anderen Programm, welches ich mit den selben eingeschränkten Benutzerrechten ausführen darf), reicht mir irgendwie, um die Gefahr von Angriffen auf meinem Single-User System per Spectre und co. niedriger zu bewerten wie mittels jedem anderen Programm. Wozu soll ich stundenlag den Speicher mit Spectre ausleseen und wieder zusammen basteln, wenn ich den Dump innerhalb von ein paar Sekunden erstellen kann, und dieser auch noch zu einem Programm/Task zugeordnet ist.
Bei Servern bzw. Mehrbenutzersystemen, auf denen unbekannte User beliebige Programme ausführen dürfen, ist das natürlich etwas volkommen anderes. An den Adressbereich der anderen User komme ich in der Regel nicht heran.
Das ist mir auf meinem Heimsystem (oder auch auf dem Firmenlaptop) aber vollkommen egal. Dort starte ich all meine Programme selber und wenn ich denen (und insb. denen, welche die Firmen-IT installiert) nicht vertraue, haben sie viel einfachere und effektivere Möglichkeiten, meine Daten auszuspieonieren wie mit Spectre und co. Das einzige Problem bleiben für mich damit Einfallstore, die ich nicht kontrollieren kann. Also insb. Scripengines im Browser oder bei Spielern auch MODs, falls das mittlerweile einfache Scripts sein sollten.
Soweit jedenfalls die Theorie. Welche Angriffe praktisch tatsächlich möglich sind, kann nur nach sehr sorgfältiger Analyse der jeweiligen Umgebung und Hardware gesagt werden – bekanntermaßen hat es zwei Jahrzehnte gebraucht, um die Lücke für Wintel nachzuweisen. Exploits für noch unentdeckte Variationen oder privat genutzte Software sind somit rein statistisch unwahrscheinlich. Umgekehrt lässt sich ihre Möglichkeit eines Angriffswegen ohne vergleichbaren Aufwand aber auch nicht ausschließen. Sicher sein kann man sich somit nur bei Systemen und Software, die gegen Spectre gepatched wurde sich nicht aushorchen lässt beziehungsweise mit einem der wenigen, lahmen Plattformen die per Definition nicht betroffen sind. Alle anderen bauen darauf, dass potentielle Angreifer zu unfähig oder zu faul sind.
Was soll an einem Miner und co anders sein? Ich muss ihn bewusst herunter laden und bewusst ausführen. Also läuft das Programm/der Service in der Regel mit meinen Benutzerrechten. Solche Programme hat mir jedenfalls auf dem heimischen PC noch keiner unter geschoben (außer vieleicht mittels drive-by installation oder eben im Browser.
Bei Servern bzw. Mehrbenutzersystemen, auf denen unbekannte User beliebige Programme ausführen dürfen, ist das natürlich etwas volkommen anderes. An den Adressbereich der anderen User komme ich in der Regel nicht heran.
Das ist mir auf meinem Heimsystem (oder auch auf dem Firmenlaptop) aber vollkommen egal. Dort starte ich all meine Programme selber und wenn ich denen (und insb. denen, welche die Firmen-IT installiert) nicht vertraue, haben sie viel einfachere und effektivere Möglichkeiten, meine Daten auszuspieonieren wie mit Spectre und co. Das einzige Problem bleiben für mich damit Einfallstore, die ich nicht kontrollieren kann. Also insb. Scripengines im Browser oder bei Spielern auch MODs, falls das mittlerweile einfache Scripts sein sollten.
Intel mit 8 weiteren Sicherheitslücken - eine davon schwerwiegender, wusste er das es nur die "Spitze des Eisbergs" war?
Meistens 30/70 oder 40/60.
Sprich er bekommt "nur" 30% Fix Gehalt je Monat und die restlichen 60/70 Prozent werden z.B. am Jahresende in Aktien oder ähnlichem ausgezahlt.
Daher kann es gut möglich sein, dass man noch schnell sein "hart verdientes Gehalt" in trockene Tücher bringen wollte, bevor das "hart verdiente Gehalt" auf einmal nur noch die Hälfte wert ist.
Wäre ja blöd.....
naja wollen wir Ihm mal nix unterstellen, das dürfen andere Stellen gerne tun und prüfen.
Seltsam sieht es aber alle Male aus.
BTT: Juhu weitere Lücken.
Zudem dauernd neue Meldungen von Patzern bei z.B. Twitch welche Passwörter unverschlüsselt aufbewahren etc.
Wenn die großen Unternehmen nicht bald mal massiv in deren Sicherheit investieren sind wir bald alle sehr sehr gläsern.
Ich wurde vor wenigen Tagen mal gefragt von einem unserer Zulieferer,
warum wir denn noch server kaufen für die Firma.
Die ganze Welt "spricht doch Cloud".
Ich dachte mir dabei nur.......jop.....kann Sie gerne tun.
Intel mit 8 weiteren Sicherheitslücken - eine davon schwerwiegender, wusste er das es nur die "Spitze des Eisbergs" war?