Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
FILE- This Jan. 1, 2018, file photo shows an Intel logo on the box containing an HP desktop computer on sale at a Costco in Pittsburgh. Intel Corp. reports earns on Thursday, April 26. (AP Photo/Gene J. Puskar, File)

Vier der neuen Sicherheitslücken stufen Intel selbst mit einem hohen Risiko ein. Bild: AP

«Super-GAU für Intel» – neue gefährliche Sicherheitslücken entdeckt

Fast alle Prozessoren der vergangenen zwei Jahrzehnte sind von den Schwachstellen «Meltdown» und «Spectre» betroffen. Jetzt haben Forscher entdeckt: Viele Chips haben noch weitere, zum Teil gefährlichere Lücken.

03.05.18, 09:37 03.05.18, 14:07


Ein Artikel von

Einem Bericht des renommierten Computermagazins c't zufolge klaffen in Intels Prozessoren weitere gravierende Sicherheitslücken. Fünf Monate nach Bekanntwerden der schwerwiegenden Schwachstellen «Spectre» und «Meltdown» hätten Forscher acht neue Sicherheitslücken in den Chips des kalifornischen Halbleiter-Herstellers gefunden, berichtet das Magazin am Donnerstag.

Intel halte die Informationen zu der neuen Generation der «Spectre»-Schwachstellen allerdings noch geheim.

screenshot: heise.de

Nach Einschätzung der c't sind die neuen Angriffsszenarien ähnlich einzustufen wie bei den Lücken, die im vergangenen Januar ans Licht der Öffentlichkeit kamen. «Eine der neuen Lücken vereinfacht jedoch Angriffe über Systemgrenzen hinweg so stark, dass wir das Bedrohungspotenzial deutlich höher einstufen als bei Spectre.»

Spectre und Meltdown hebeln Sicherheitsmechanismen aus, die verhindern sollen, dass Programme beliebig Daten aus dem Speicher eines Computers abrufen können. Ist die Sicherung ausgetrickst, kann entsprechende Software auf eigentlich geschützte Speicherbereiche anderer Programme oder des Betriebssystems zugreifen und so zum Beispiel Passwörter und Krypto-Schlüssel auslesen.

Das Problem liegt im Prozessordesign

Besonders betroffen seien «Anbieter von Cloud-Diensten wie Amazon oder Cloudflare und natürlich deren Kunden», erklärte Jürgen Schmidt, Sicherheitsexperte bei der c't. «Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet.»

Die konkrete Gefahr für Privatleute und Firmen-PC sei hingegen eher gering, weil es dort in aller Regel andere, einfacher auszunutzende Schwachstellen gebe. «Auch wenn es keinen Grund zur Panik gibt, muss man die neuen Sicherheitslücken ernst nehmen.»

Wann die ersten Fehlerbereinigungen («Patches») für die neuen Spectre-Lücken kommen, ist bislang nicht klar. «Anscheinend plant Intel zwei Patch-Wellen», sagte Schmidt. «Eine erste soll bereits im Mai anrollen; eine zweite ist für August angedacht.»

Vier der neuen Sicherheitslücken stufe Intel selbst mit einem hohen Risiko ein, die Gefahr der anderen vier werde mit «mittel» bewertet.

Insgesamt zeigten die neuen Lücken, dass Spectre und Meltdown keine einmaligen Ausrutscher gewesen seien, die man mit ein paar Flicken nachhaltig stopfen könne.

«Eine niemals endende Patch-Flut ist aber keine akzeptable Lösung dafür, dass Intel vor zwanzig Jahren Performance-Optimierungen ohne ausreichendes Sicherheitskonzept umgesetzt hat»

Jürgen Schmidt, Sicherheitsexperte bei der c't

Schmidt fordert, dass das CPU-Design grundsätzlich überdacht werden müsse, um eine stabile IT-Infrastruktur zu haben.

(mak/dpa)

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.

Abonniere unseren Daily Newsletter

30
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
30Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • DonChaote 03.05.2018 22:16
    Highlight „Die konkrete Gefahr für Privatleute und Firmen-PC sei hingegen eher gering, weil es dort in aller Regel andere, einfacher auszunutzende Schwachstellen gebe“

    Das nenne ich mal eine beruhigende aussage...
    6 0 Melden
  • rocky53 03.05.2018 10:43
    Highlight das grösste risiko bleibt immer noch der mensch, leider kann man den weder patchen noch updaten.
    19 4 Melden
  • My Senf 03.05.2018 10:30
    Highlight Alternativen zu Intel?
    Aha keine!

    Happy computing

    Aber was soll’s
    Die Leute bleiben ja auch freiwillig be fb & co (dort lassen sie sich jetzt noch verkuppeln)
    So was nennt man glaub ich „sehenden Auges" 👁 voll in den Abgrund!
    19 34 Melden
  • ...nachgedacht... 03.05.2018 10:24
    Highlight ...wer bringt als ERSTER ein revolutionäres, todsicheres Betriebssystem...sollte in der heutigen Zeit doch möglich sein... dann sind die auf uralten Ideen basierenden heutigen Systeme auf der Todesspur...
    9 43 Melden
    • keplan 03.05.2018 10:55
      Highlight Zieh einfach das Kabel aus der Dose und dein Rechner ist sicher solange nicht eingebrochen wird, aber dazu sind wir alle zu bequem (und eine andere 100% Sicherheit werden wir nie haben).
      25 2 Melden
    • Firefly 03.05.2018 13:39
      Highlight Ein totsicheres system ist nur ein totes system!
      12 0 Melden
    • Ueli der Knecht 03.05.2018 13:56
      Highlight Ich arbeite dran... ;)
      6 0 Melden
    • dä dingsbums 03.05.2018 16:29
      Highlight @...nachgedacht...: Nicht das Betriebssystem ist das Problem, sondern die Hardware. Das macht die Sache wesentlich komplizierter.
      7 0 Melden
  • Baffes 03.05.2018 09:59
    Highlight Wenn ich mit meinen Schadcode überhaupt erstmal so weit in die Amazon Cloud komme um diese Lücken auszunutzen, hat der Admin dort ganz andere Probleme... Bitte weniger Hype diesmal...
    14 35 Melden
    • @schurt3r 03.05.2018 10:02
      Highlight Du hast aber schon den Titel beim Computer-Fachmagazin c't gesehen, hoffe ich 😉
      41 4 Melden
    • Ueli der Knecht 03.05.2018 12:09
      Highlight Baffes: Man kann sich doch bei Amazon einfach einmieten (https://aws.amazon.com/de/). Es ist daher überhaupt kein Problem, irgendwelchen Code bei Amazon reinzukriegen.
      9 0 Melden
    • Madison Pierce 03.05.2018 13:13
      Highlight Bei Cloud-Providern kann man Server mieten, auf denen man dann Adminrechte hat. Insofern sind solche Lücken schon potentiell gefährlich.

      Von daher denke ich nicht, dass watson übertreibt.

      Bei den Auswirkungen von Spectre und Meltdown auf Heimanwender haben sie aber übertrieben. Habe bis jetzt jedenfalls noch keinen Schadcode gesehen, der die Lücken ausnutzt. Nur dass das noch erwähnt ist. :P
      8 1 Melden
  • Sam1984 03.05.2018 09:52
    Highlight Die Informationssperre (90 Tage) für eine der Lücken ist am 7. Mai (1 Tag vor dem Microsoft Patchday) aufgehoben, dann wissen wir mehr.

    Happy patching.
    31 0 Melden
  • maulauf 03.05.2018 09:46
    Highlight Und was wäre wenn dies nur dazu führen soll, dass wir patches mit zb (staats)trojanern installieren? Und bei der ersten Hysteriewelle haben noch zuwenige mitgemacht, deshalb jetzt der nächste Aufruf. Nur so ein Gedanke.
    13 38 Melden
    • Teiwaz 03.05.2018 10:00
      Highlight Dann patche deinen PC nicht. Nur so ein Vorschlag. Was meinst du?
      45 1 Melden
    • Foxie 03.05.2018 10:56
      Highlight Was im Microcode passiert, kann man nicht gescheit nachvollziehen, allerdings ist der nicht geeignet für die von Dir beschriebenen (Staats)trojaner.

      Die Patches am Betriebsystem, wichtiger, kann man durchaus alle nachvollziehen, wenn man ein quelloffenes Betriebssystem wie Linux oder *BSD verwendet. In dem Fall empfehle ich einfach die Verwendung eines ebensolchen.
      12 0 Melden
  • Hugo Wottaupott 03.05.2018 09:43
    Highlight Die grösste Sicherheitslücke is ja wenn du Hausbesuch hast und dir einer mit Vorschlaghamma dein Laptop zertrümmert.
    14 16 Melden
    • Cmo 03.05.2018 10:10
      Highlight Wieso? Dabei gehen ja keine Daten verloren und es klaut auch niemand deine Identität.
      27 1 Melden
    • Hugo Wottaupott 03.05.2018 12:17
      Highlight Nein. Aber in der Küche kommt dann kein Warmwasser mehr!
      5 2 Melden

So kannst du jetzt Mario in Google Maps aktivieren

Google bringt «Super Mario» in die Google-Maps-App. Und so kannst du Mario aktivieren.

Am 10. März feiern Gamer rund um die Welt den berühmtesten Helden der Videospielgeschichte. Dies liegt daran, dass sich aus dem englischen Datum (March 10) das Wort «MAR10» bilden lässt, also Mario.

Dieses Jahr hat sich Google eine besondere Überraschung ausgedacht: Mario gibt sein Debüt in Google Maps – und so kannst du ihn freischalten.

Was nach einem genialen PR-Stunt von Nintendo klingt, ist offenbar keine Werbeaktion. Google bestätigte dem US-Techblog Techcrunch, dass Nintendo für diese …

Artikel lesen