MicrosoftNews

Microsoft und Google legen neue CPU-Sicherheitslücke offen

Microsoft und Google haben gemeinsam eine neue CPU-Sicherheitslücke offengelegt. Die Speculative Store Bypass (Variante4) genannte Schwachstelle, ist mit den Anfang des Jahres aufgedeckten Schwachstellen Meltdown und Spectre vergleichbar. Auch die neuste Schwachstelle nutzt ähnlich wie Spectre die spekulative Ausführung moderner CPUs.

Patch in Arbeit

Browser wie Edge, Safari und Chrome wurden bereits Anfang des Jahres gegen Meltdown gepatcht. Laut Intel sind diese Patches auch für Variante4 geeignet. Im Gegensatz zu Meltdown (aber ähnlich wie bei Spectre), sind für die neue Sicherheitslücke auch Patches in der Firmware der CPUs nötig. Diese Updates könnten die Performance der betroffenen Systeme beeinträchtigen. Ein Mikrocode-Update wurde von Intel bereits als Betaversion an OEMs verteilt. Sollten dort keine großen Fehler auftauchen, rechnet Intel mit einer öffentlichen Verfügbarkeit in den kommenden Wochen. Durch die Firmware Updates wird der Bypass-Schutz auf „off-by-default“ gestellt. Laut Intel werden die meisten Nuter keine negativen Leistungsauswirkungen sehen.

„Wenn aktiviert, haben wir einen Performance-Effekt von ca. 2-8 Prozent beobachtet, basierend auf Gesamtnoten für Benchmarks wie SYSmark 2014 SE und SPEC Integer Rate auf Client 1 und Server 2 Testsystemen“, erklärt Leslie Culbertson, Intels Sicherheitschef.

Wie bereits bei Spectre, müssen Systemadministratoren zwischen Sicherheit und optimaler Performance abwägen. Diese Entscheidung wird je nach System oder Server einzeln getroffen werden. Die neue Schwachstelle gilt jedoch als geringeres Risiko als Spectre Anfang des Jahres.

Microsoft hatte im März damit begonnen, bis zu 250.000 Dollar für Sicherheitslücken anzubieten, welche mit Spectre und Meltdown vergleichbar sind. Laut dem Unternehmen aus Redmond wurde der neue Fehler bereits im November entdeckt.

„Microsoft hat diese Variante bereits im November 2017 im Rahmen von Coordinated Vulnerability Disclosure (CVD) entdeckt und an Industriepartner weitergegeben“, sagt ein Microsoft-Sprecher.

Zusammen mit Intel und AMD ermittelt Microsoft nun die Auswirkungen auf die Systemleistungen:

„Wir arbeiten weiterhin mit den betroffenen Chipherstellern zusammen und haben bereits tief greifende Abwehrmaßnahmen zur Behebung spekulativer Ausführungsschwachstellen bei unseren Produkten und Dienstleistungen veröffentlicht“, so ein Sprecher von Microsoft. „Uns ist keine Instanz dieser Schwachstellenklasse bekannt, die Windows oder unsere Cloud-Service-Infrastruktur betrifft. Wir verpflichten uns, unseren Kunden weitere Abhilfemaßnahmen zur Verfügung zu stellen, sobald sie verfügbar sind, und unsere Standardrichtlinie für Probleme mit geringem Risiko ist die Bereitstellung von Abhilfemaßnahmen über unseren Update-Dienstag.“

Intel arbeitet bereits an Änderungen für neue CPUs. Durch Änderungen an der Architektur der Prozessoren, sollen diese gegen Schwachstellen wie Spectre oder die neue Variante4 geschützt sein. Die neuen Xeon-Prozessoren (Cascade Lake), sowie die in der zweiten Jahreshälfte 2018 erscheinenden Intel Core-Prozessoren der 8.Generation, sollen durch neue integrieerte Hardwareschutzmechanismen ebenfalls besser geschützt sein.

 

Was denkt ihr? Bekommt Intel diese Probleme in den Griff?

In diesem Zusammenhang ebenfall interessant:


via theverge

Vorheriger Artikel

Microsoft erweitert Microsoft Launcher um visuelle Suche und Rewards Programm

Nächster Artikel

Microsoft verteilt neues kumulatives Update (KB4103714) für das Fall Creators Update

Der Autor

Jo

Jo

23 Jahre alt und Student. Fühlt sich im Windows-Ökosystem Zuhause. Aktuell mit einem Nokia 6 und einem Surface Book unterwegs. Davor viele Jahre Nutzer eines Windows Phones.

1
Hinterlasse einen Kommentar

avatar
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
1 Comment authors
David Balažic Recent comment authors
  Diskussion abonnieren  
neuste älteste beste Bewertung
Benachrichtige mich zu:
David Balažic
Gast
David Balažic

„Browser wie Edge, Safari und Chrome wurden bereits Anfang des Jahres gegen Meltdown gepatcht. “

Sie wurden gegen Spectre gepatcht.
Siehe https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/