Microsoft und Google finden neue Meltdown- und Spectre-Lücke

Die CPU-Sicherheitsprobleme, die unter den Namen Meltdown und Spectre bekannt geworden sind, weiten sich zunehmend aus. Kurz nach Bekanntgabe der ersten Sicherheitslecks Anfang Januar dieses Jahres zeigten sich die Hersteller noch zuversichtlich, das Problem zeitnah in den Griff zu bekommen. Nun werden aber immer neue Schwachstellen aufgedeckt.

Microsoft und Google wollen nun eine vierte Variante des Meltdown- und Spectre-Datenlecks entdeckt haben. Betroffen sind den Angaben zufolge moderne Prozessoren von Intel-, AMD-, ARM- und IBMs Power 8, Power 9 und System Z.

Die Schwachstelle ermöglicht es Hackern, Passwörter und andere sensible Daten aus dem Prozessorkern oder Anwendungsspeicher auszulesen. Wird etwa ein JavaScript in einem Browsertab ausgeführt, können Informationen aus einem anderen Tab extrahiert werden.

Grundsätzlich wird das Risiko der Sicherheitslücke als "mittel" eingestuft, heißt es. Veröffentlicht wurden die Informationen des CPU-Sicherheitslecks von Google Projekt Zero und dem Microsoft Security Response Center. Intel teilte indes mit, dass es bisher keine bekannten Fälle gebe, in denen die besagte Sicherheitslücke ausgenutzt wurde. Zudem gebe es zahlreiche Möglichkeiten, sich gegen den Exploit zu schützen. Darunter etwa Browser-basierte Maßnahmen, die bereits jetzt zur Verfügung stehen, so Intel weiter.

Ferner befinde sich ein entsprechendes Mikrocode-Update bereit in einer Betaphase und werde von ausgewählten OEM-Partnern und Software-Entwicklern getestet. Intel geht davon aus, dass das Update zeitnah für die Öffentlichkeit zugänglich gemacht werden kann.