DFN-CERT

Advisory-Archiv

2018-1380: Mikroprozessoren, Spectre: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-07-13 19:02)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ausnutzen, um durch einen spekulativen Pufferüberlauf über Seitenkanäle Informationen auszuspähen.

Zum aktuellen Zeitpunkt ist noch nicht klar, ob die Schwachstelle durch Software-, Firmware- oder Microcode-Updates behoben werden kann oder eine Kombination aus diesen Updates notwendig ist. Speziell für diese Schwachstelle vorgesehene Updates stehen bisher nicht zur Verfügung. Möglicherweise wird das Problem bereits mit den Updates für Spectre v1 (CVE-2017-5753) mitigiert, da beide Schwachstellen auf derselben Spekulationstechnik (Conditional Branch Speculation) basieren. Es ist aber davon auszugehen, dass die bisherigen Mitigationen nicht alle Spezialfälle abdecken.

Intel hat über das Intel Open Source Security Incident Response Team Informationen zur Schwachstelle zur Verfügung gestellt und verweist für Patches auf die Hersteller aktueller Betriebssysteme. Der Hardwarehersteller veröffentlicht eine aktualisierte Version seines Whitepapers zum Themenkomplex (Referenz anbei).

ARM hat seinen allgemeinen Sicherheitshinweis zur spekulativen Instruktionsausführung aktualisiert und Informationen zur neuen Schwachstelle hinzugefügt.

AMD hat bisher nicht auf die Veröffentlichung der Schwachstelle reagiert.

Der Softwarehersteller Red Hat bestätigt, dass der Linux-Kernel in Red Hat Enterprise Linux 5, 6, 7 und Red Hat Enterprise MRG 2 von der Schwachstelle betroffen ist. Auch Oracle untersucht die eigenen Produktlinien aktuell hinsichtlich der Schwachstelle.

Microsoft aktualisiert die Hinweise zu Spectre-artigen Seitenkanalangriffen und informiert darüber, dass die Untersuchungen zu CVE-2018-3693 noch andauern (ADV180002, FAQ#17).

Schwachstellen:

CVE-2018-3693

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.