Betroffen von neuen Sicherheitslücke sind besonders Cloud-Dienstleister, auf deren Servern mehrere virtuelle Maschinen (VM) laufen. Bild: Corbis

Anfang des Jahres erschütterte das Bekanntwerden der Prozessor-Schwachstellen Meltdown und Spectre die IT-Welt. In der Folge bemühten sich Hardware- und Betriebssystem-Hersteller um Schadensbegrenzung und stellten mehr oder weniger schnell Sicherheitsupdates zur Verfügung. Doch Experten wiesen darauf hin, dass die Lücken in den Prozessoren für weitere Schwachstellen ausgenutzt werden können. Dieses Szenario ist jetzt eingetreten.

Mittlerweile wurden nach Meltdown und Spectre zahlreiche weitere Schwachstellen in der IT-Sicherheit  entdeckt. Nach Berichten von IT-Forschern, die dem Magazin c’t exklusiv vorliegen, wurden insgesamt acht weitere Schwachstellen in Intel-Prozessoren entdeckt, die auf dieselben Design-Fehler in den CPUs zurückzuführen sind, die auch schon bei Meltdown und Spectre verantwortlich waren.

Nach Meltdown und Spectre noch mindestens 8 Prozessoren mit Schwachstellen

Zwar wurden die neuen Sicherheitslücken zunächst explizit nur für Intel-Prozessoren bestätigt, es ist jedoch gut möglich, dass auch andere CPUs-Familien wie etwa ARM-Prozessoren, die in den allermeisten Smartphones und Tablets verwendet werden, sowie einige AMD-Prozessortypen betroffen sind. Hier müssen jedoch zuerst noch die laufenden Tests und Untersuchungen abgewartet werden.

Neue Updates mit Sicherheitspatches stehen an

Bei Intel arbeitet man vor diesem Hintergrund zusammen mit den Betriebssystemherstellern bereits mit Hochdruck an neuen Updates, die nach dem derzeitigen Informationsstand in zwei großen Wellen ausgeliefert werden sollen.

Die ersten Updates sollen demnach bereits in diesem Monat erscheinen, die zweite ist erst für den August geplant. Windows-Anwender können diese Updates dabei dann wahrscheinlich über die üblichen Windows-Updates durchführen und müssen nicht zusätzlich spezielle Microcode-Updates der Hardware-Hersteller einspielen.

Hohes Risiko bei virtuelle Maschinen

Auch bei den neuen Schwachstellen ergeben sich ganz erhebliche Risiken.

  • Besonders eine der acht Lücken besitzt dabei ein nochmals höheres Gefahrenpotenzial als die anderen Spectre-Varianten. Betroffen davon sind insbesondere Cloud-Dienstleister, auf deren Servern mehrere virtuelle Maschinen (VM) laufen.
  • Denn durch diese Schwachstelle ist es möglich, den kompletten Server anzugreifen, wenn nur eine dieser virtuellen Maschinen infiziert wird.
  • Somit geraten dann alle Daten auf den Servern in Gefahr und selbst Passwörter oder geheime Schlüssel für die sichere Datenübertragung können ausspioniert werden.
  • Auch die Kunden solcher Cloud-Dienstleister wie etwa Amazon oder Cloudflare sind daher besonders betroffen, wenn sie entsprechende Server mit mehreren VMs nutzen.
  • Weniger gefährdet sind dagegen die Rechner von Privatanwendern oder auch andere Firmen-PCs, die jedoch auch mit den Updates versorgt werden müssen, will man auf Dauer mit einem halbwegs sicheren Gefühl am PC arbeiten. 

Update-Risiko: Leistungseinbußen und Pannen

Bereits bei den Updates für die ersten Schwachstellen kam es zu Beeinträchtigungen und Pannen.

  • So führten die Maßnahmen nahezu zwangsläufig zu Leistungseinbußen bei den Prozessoren,
  • oftmals gab es aber auch größere Pannen, sodass Updates teilweise noch einmal zurückgenommen werden mussten.

Es bleibt daher abzuwarten, wie zuverlässig die kommenden Sicherheitspatches sein werden, denn diesmal hatten die Hersteller deutlich weniger Zeit für die Bereitstellung der Updates als bei den ersten Schwachstellen, als sie dazu rund sechs Monate zur Verfügung hatten.

Als Anwender bleibt Ihnen im Grunde keine andere Wahl, als in den nächsten Wochen und Monaten die weitere Entwicklung zu verfolgen und die angebotenen Updates zu installieren.

Weitere News zum Thema:

Meltdown und Spectre: Sicherheitslücke bei Prozessoren

Cyber-Crime - eine immer noch unterschätzte Gefahr

WannaCry

BSI warnt vor Sicherheitslücke

Schlagworte zum Thema:  IT-Sicherheit, Cyberkriminalität, Cloud Computing, Datenschutz, Cybersicherheit

Aktuell
Meistgelesen