Neue CPU Sicherheitslücken des Typs SpectreNG sind jüngst publik geworden. Ursprünglich hat heise diese veröffentlicht, wurden kruz darauf von verschiedenen News Seiten oder Social Medias aufgegriffen und verbreitet. Beispielsweise findet sich auf der Seite ghacks.net ein englisch sprachiger Artikel zu der Thematik. Ein entsprechender reddit Thread ließ auch nicht lange auf sich warten.

Ohne hier wieder in einen allzulangen Post zu verfallen ein paar Ansichten eines Sysadmins zu der Thematik:

  1. Sicherheit ist eine Illusion, man muss aber veruschen den Angriffsvektor klein zu halten
  2. Die MS Patches für die Windows OS waren in den letzten Monaten grottenschlecht, Patches die Spectre und Meltdown abschaffen sollten haben lücken im OS geöffnet die viel leichter auszunutzen waren als das ursprüngliche Problem
  3. Zum patchen gehören entweder Microcode Updates (die bei jedem Windowsstart geladen werden) oder BIOS updates
  4. anscheinend sind die ganzen veröffentlichten Patches noch nicht im neuesten Windows Feature Update 1803 integriert (*Facepalm*)
  5. Ein Teil der neuen Lücken wird noch im Mai gepatcht, der Rest erst im August.
  6. Alle Anwendungen müssten eigentlich neu compiliert werden
  7. Die Probleme liegen im Chip Design, benötigen also eigentlich neues Chip Design um komplett safe zu werden (vermutet wird das frühestens 2018 wohl eher 2019 mit Chips zu rechnen seien wird die die Lücken nicht mehr beinhalten)
  8. Problem bei virtualisierten Systemen: selbst wenn ein System sicher ist, könnte es von anderen Systemen die auf der gleichen Hardware laufen und nicht gesichert sind kompromittiert werden. Dies ist auch insbesondere bei Cloud Hostern wichtig, bspw. Microsoft Azure oder Amazon AWS

Einen schönen Kommentar findet man im heise Forum zu der Thematik

Als Fazit kann man ziehen: die Situation ist verfahren, die Patches sind schlecht, aber nicht patchen ist auch keine Alternative.

EDIT 07.05.2018: Intel hat bekannt gegeben, dass die Patches doch noch nicht so schnell zur Verfügung stehen werden wie angekündigt. ETA unbekannt 🙂 (Quelle Heise.de)

Summary
Spectre NG
Article Name
Spectre NG
Description
kurzer Abriss über neue CPU Sicherheitslücken
Matthias Stukenberg
Matthias Stukenberg
slashtec.de