Für zwei der neuen Spectre-Sicherheitslücken "Spectre Next Generation" erscheinen nun Updates. Spectre V3a und Spectre V4 werden damit behandelt, bei denen das Sicherheitsrisiko als "mittel" eingeschätzt wird. Wie von Spectre V1 und V2 sind auch von Spectre V3a und Spectre V4 praktisch alle Intel-Prozessoren aus den vergangenen zehn Jahren betroffen.

Von Google Project Zero und von Microsoft wurde Spectre V4 (Speculative Store Bypass, CVE-2018-3639) gemeldet. Dabei handelt es sich um eine Seitenkanalattacke (Side-Channel Attack), welche ähnlich wie die schon bekannten Spectre-Lücken funktioniert und betrifft auch Prozessoren anderer Hersteller.

Von ARM wurde Spectre V3a (Rogue System Register Read, CVE-2018-3640) gemeldet. Bei Intel-Prozessoren soll sich diese Lücke laut Intel nur schwer für Angriffe ausnutzen lassen.

Allerdings gibt es zu den anderen sechs der insgesamt acht "Spectre Next Generation"-Lücken (Spectre-NG) weiterhin keine öffentlichen Informationen.

In einem Blog-Beitrag liefern Intel und Red Hat mehr Details zu Speculative Store Bypass (Spectre V4). Außer Intel-Prozessoren sind laut Red Hat auch welche von AMD, ARM und die IBM-Prozessoren Power8, Power9 und System Z betroffen. Die Abschaltung von Memory Disambiguation soll laut Intel die Systemperformance um 2 bis 8 Prozent mindern.

Im Security Advisory Intel-SA-00115 hat Intel eine Liste der betroffenen Prozessoren veröffentlicht.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE