> > > > Intel bestätigt weitere Sicherheitslücken Spectre 1.1 und 1.2

Intel bestätigt weitere Sicherheitslücken Spectre 1.1 und 1.2

Veröffentlicht am: von

intelDass Intel noch über Jahre hinweg mit Side-Channel-Attacken bzw. den dazugehörigen Sicherheitslücken zu kämpfen haben wird, war zu erwarten. Nun sind Details zu Spectre 1.1 und Spetre 1.2 veröffentlicht worden, denn im Zuge des neuen Bounty-Programms, welches im Rahmen von Spectre und Meltdown ausgerufen wurde, wurde an zwei Sicherheitsforscher der Betrag von 100.000 US-Dollar ausgezahlt.

Spectre 1.1 und 1.2 sind, wie der Name schon sagt, weitere Varianten der Spectre Variante 1 CVE-2017-5753 Side-Channel-Sicherheitslücke. Entdeckt wurden diese von Vladimir Kiriansky und Carl Waldspurger, die zu ihrer Entdeckung auch ein entsprechendes wissenschaftliches Papier (PDF) veröffentlicht haben. Intel hat sich die Sicherheitslücken bereits angeschaut und diese bestätigt. Über das Security Incident Response Team wurde außerdem eine Ausschüttung der Belohnung von 100.000 US-Dollar bestätigt, doch viel wichtiger ist die Analyse der Lücken.

Laut Intel sind nicht nur die eigenen Prozessoren durch Spectre 1.1 (CVE-2017-5753) und Spectre 1.2 (CVE-2018-3693) betroffen, sondern auch solche von AMD und auf Basis eines ARM-Designs. Dieser Umstand ist bei den Lücken aber nicht weiter verwunderlich, denn häufig sind Sicherheitslücken dieser Art im grundsätzlichen Design aktueller Prozessoren begründet und damit betreffen sie auch alle modernen CPU-Architekturen.

"Most modern operating systems are impacted. Intel recommends checking with your Operating System Vendor(s) for updates or patches."

Beide Lücken werden von Intel mit der Gefahrenstufe "High" bewertet. Intel arbeitet nach eigener Aussage mit den Betriebssystemherstellern sowie Hardware-Partnern bereits an entsprechenden Patches. Wann diese erscheinen werden und welche Auswirkungen auf die Leistung zu erwarten sind, lässt man allerdings offen.

"Along with other companies whose platforms are potentially impacted by these new methods, including AMD and ARM, Intel has worked with operating system vendors, equipment manufacturers, and other ecosystem partners to develop software updates or developer guidance that can help protect systems from these methods. End users and systems administrators should check with their operating system vendors and apply any available updates as soon as practical."

Spectre 1.1 und 1.2 reihen sich nach den ursprünglichen Spetre- und Meltdown-Sicherheitslücken in eine Liste vorheriger Entdeckungen ein, die teilweise ebenfalls noch nicht vollständig behoben sind. Zu nennen sind hier die unter dem Namen Spectre-NG bekanntgewordenen Lücken und auch Lazy FP State Restore.

Mit Cascade Lake und/oder Ice Lake will Intel die Meltdown- und Spectre-Sicherheitslücken „in silicon" beseitigen. Allerdings wird das Thema noch eine ganze Zeit eine Rolle für Intel spielen, denn die Installationsbasis im Datacenter wird aufgrund langer Wechselzyklen noch lange gegen Side-Channel-Attacken anfällig sein.

Social Links

Ihre Bewertung

Ø Bewertungen: 1

Tags

Kommentare (8)

#1
Registriert seit: 02.06.2018

Gefreiter
Beiträge: 50
Ich hoffe, dass Zen 2 bzw. Ryzen 3000 immun gegen Spectre ist, bei Meltdown sind sie es ja schon immer gewesen!

Mir ist jetzt schon häufiger aufgefallen, wie INTEL beim Thema Sicherheitslücken recht häufig und hilflos auf die Mitbewerber verweist, nach dem Motto, sie sind auch betroffen, nur dass AMD nicht ganz so stark betroffen sind, wie z.B. Meltdown, erwähnen die nicht!
#2
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12373
Und weiterhin ist in der Praxis absolut niemand betroffen...
Oder gibt es ENDLICH einen Virus oder irgendeine Datenklausoftware die hiervon gebrauch macht?
Das frage ich schon seit gut nem halben Jahr ohne positive Antwort.
#3
customavatars/avatar215183_1.gif
Registriert seit: 01.01.2015
€Uropäische Union - Bairischer Sprachraum
Kapitän zur See
Beiträge: 3331
Grandios, die nächste Welle beginnt, die Hauptplatinenhersteller schaffen es doch nicht mal die aktuellen Lücken überall zu schließen, zum Beispiel hat ein Familienmitglied eine Platine (ASUS Z87-Deluxe [C1]) mit einem damaligen HighEnd Chipsatz wo auf deren Homepage nicht mal eine Beta angeboten wird -_-

@FirstAid, das kommt dir nur so vor, deine AMD-Affinität drängt dir diese Gedanken auf :hust:
[Nachtrag: Ohje, scheint ein Volltreffer gewesen zu sein, der AMD-Verteidiger hat gesprochen]
#4
Registriert seit: 02.06.2018

Gefreiter
Beiträge: 50
Zitat DragonTear;26406447
Und weiterhin ist in der Praxis absolut niemand betroffen...
Oder gibt es ENDLICH einen Virus oder irgendeine Datenklausoftware die hiervon gebrauch macht?
Das frage ich schon seit gut nem halben Jahr ohne positive Antwort.


Das ist ja gerade das Gefährliche an diesen neuen Lücken, du merkst nichts!

Zitat lll;26406456

@FirstAid, das kommt dir nur so vor, deine AMD-Affinität drängt dir diese Gedanken auf :hust:


Bitte verzichte zukünftig auf solche Unterstellungen, da du mich nicht kennst, bin doch nicht HOLT, nein, Gott bewahre!

Deine Äußerung kann man eher/möglicherweise als Intel Affinität interpretieren, wenn dir solche Strukturen nicht einmal auffallen. Schließe niemals von dir auf andere! Intel hat sogar behauptet, dass AMD von Meltdown betroffen sei, was ja Unsinn ist.

Ich scheine bei dir einen Nerv getroffen zu haben, daher wohl diese Unterstellung.
#5
Registriert seit: 09.04.2011

Kapitänleutnant
Beiträge: 1598
Zitat FirstAid;26406438
Ich hoffe, dass Zen 2 bzw. Ryzen 3000 immun gegen Spectre ist, bei Meltdown sind sie es ja schon immer gewesen!

Meltdown ist in der Realität kein Sicherheitsloch mehr, da Meltdown zu 100% per Kernel, BIOS, … Update behebbar ist. Ja, die CPU wird langsamer und das ist sehr ärgerlich, aber man weiß, dass es kein Sicherheitsloch mehr ist.

AMD hingegen macht bei Spectre keine gute Figur, weil sie keine konkrete Aussage treffen. Es wird herumgeeiert und es gibt im Gegensatz zu ARM, Intel und IBM keinerlei überzeugende Aussage, ob sie betroffen sind oder nicht, und wenn ja in welcher Form.
#6
Registriert seit: 02.06.2018

Gefreiter
Beiträge: 50
Zitat jdl;26406810
Meltdown ist in der Realität kein Sicherheitsloch mehr, da Meltdown zu 100% per Kernel, BIOS, … Update behebbar ist. Ja, die CPU wird langsamer und das ist sehr ärgerlich, aber man weiß, dass es kein Sicherheitsloch mehr ist.

AMD hingegen macht bei Spectre keine gute Figur, weil sie keine konkrete Aussage treffen. Es wird herumgeeiert und es gibt im Gegensatz zu ARM, Intel und IBM keinerlei überzeugende Aussage, ob sie betroffen sind oder nicht, und wenn ja in welcher Form.


Nein, die Gefahr Meltdown ist bei Intel nicht behoben, siehe Variante 3a als neue Version von Meltdown! AMD ist hier außen vor. Auch bei Spectre ist AMD nicht so betroffen wie Intel, wie oft sollen die das denn noch sagen.

Zudem werden noch neue Varianten von Meltdown erscheinen, es ist so sicher wie das Armen in der Kirche.
#7
Registriert seit: 09.04.2011

Kapitänleutnant
Beiträge: 1598
Zitat FirstAid;26406942
Nein, die Gefahr Meltdown ist bei Intel nicht behoben, siehe Variante 3a als neue Version von Meltdown!

Die Meldung von Variante 3a kam direkt von ARM, sowohl ARM wie auch Intel bewerten die Ausnutzbarkeit von V3a als gering. Betas von neuer CPU-Microcodes von Intel sind im Umlauf und es wird bald finale Versionen geben.

V3 ist komplett abgestellt und behoben.

Zitat FirstAid;26406942

Zudem werden noch neue Varianten von Meltdown erscheinen, es ist so sicher wie das Armen in der Kirche.

Meltdown ist ein CPU-Bug, der nur für Serverbetreiber ein echtes Problem ist. Die diversen Spectre-Varianten lassen sich z.B. durch Webbrowser ausnutzen und das ist definitiv für 99% der Nutzer hier im Forum ein wesentlich wichtigeres Problem. Das Festbeißen an Meltdown von AMD Fanboys erfolgt nur, weil es AMD nicht betrifft.
#8
Registriert seit: 09.09.2010

Obergefreiter
Beiträge: 65
Zitat FirstAid;26406438
Ich hoffe, dass Zen 2 bzw. Ryzen 3000 immun gegen Spectre ist, bei Meltdown sind sie es ja schon immer gewesen!

Mir ist jetzt schon häufiger aufgefallen, wie INTEL beim Thema Sicherheitslücken recht häufig und hilflos auf die Mitbewerber verweist, nach dem Motto, sie sind auch betroffen, nur dass AMD nicht ganz so stark betroffen sind, wie z.B. Meltdown, erwähnen die nicht!
Weil es auch nur kleinkarierte Fanboys interessiert :love:, die meist von der Thematik keine Ahnung haben.
In den längeren Statements steht meist auch immer am Ende das AMD evtl. auch betroffen ist, aber das man dort auch Hilfe in Anspruch nimmt und teils zusammen arbeitet. Was willst du noch, das alle Intel Mitarbeiter nackt mit Ryzen Verpackung in der Hand durch die Straße laufen ?
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht...

Logo von IMAGES/STORIES/2017/INTEL

Vor, während und zwischen den Feiertagen herrschte ein wildes Treiben in der Linux-Community. Zunächst war nicht ganz klar, was hier genau vor sich geht, inzwischen aber scheinen die Auswirkungen deutlich zu werden: Intel hat nach einer Lücke in der Management Unit eines jeden... [mehr]

Coffee Lake: Intel Core i7-8700K, i5-8600K und i5-8400 im Test

Logo von IMAGES/STORIES/2017/INTEL8GEN

Der sechste und letzte (?) CPU-Launch in diesem Jahr kommt von Intel: Mit den unter dem Codenamen Coffee Lake zusammengefassten Core-i7- und i5-Modellen kommen bei Intel erstmals Sechskern-Prozessoren in den Mainstream-Markt. Bedanken darf man sich aber wohl nicht bei Intel, sondern bei der... [mehr]

Coffee Lake: Overclocking-Check

Logo von IMAGES/STORIES/LOGOS-2016/KABYLAKE

Nach dem ausführlichen Overclocking-Check für Skylake-Prozessoren sowie dem Overclocking-Check für Kaby Lake-Prozessoren ist es nach Veröffentlichung der neuen Generation mit Codenamen Coffee-Lake erneut Zeit für einen Overclocking-Check. Wir werfen einen Blick auf die Übertaktbarkeit... [mehr]

Threadripper: AMDs Ryzen Threadripper 1950X und 1920X im Test

Logo von IMAGES/STORIES/2017/THREADRIPPER_TEASER

AMD strotzt vor Selbstbewusstsein: Wie lässt es sich sonst erklären, dass man ein Produkt mit einem so coolen Namen ausstattet? Die als "Threadripper" bezeichneten Ryzen-Prozessoren sollen AMD in den Benchmarks an den ersten Rang katapultieren - zumindest in Thread-intensiven Benchmarks. Wir... [mehr]

Intel Core i5-8250U und i7-8550U im Test: Mal ein kleiner, mal ein großer...

Logo von IMAGES/STORIES/2017/MEDION_P7649_KABY_LAKE_REFRESH

Im Gleichschritt marschierten Intels Desktop- und Mobil-Prozessoren schon länger nicht mehr. Ein so gravierender Unterschied wie derzeit ist aber völlig neu - und für den Verbraucher einmal mehr irritierend. Denn mit der 8. Core-Generation spendiert Intel beiden Plattformen eine eigene... [mehr]

Gelungener Feinschliff: AMD Ryzen 7 2700X und Ryzen 5 2600X im Test

Logo von IMAGES/STORIES/2017/AMD_RYZEN_7_2700X

Rund ein Jahr nach dem Start der Ryzen-Prozessoren legt AMD nach und bringt die zweite Generation in den Handel. Die soll schneller und effizienter arbeiten und den Druck auf Intel weiter erhöhen. Allerdings lautet die Devise Evolution statt Revolution, statt gravierender Änderungen gibt es vor... [mehr]