Nachdem c't vergangene Woche exklusiv die Existenz mehrerer Sicherheitslücken in Intels Prozessoren unter dem Namen Spectre Next Generation dokumentierte, sollte dazu ursprünglich am 7.Mai der erste Spectre-NG-Patch erscheinen. Doch Intel hat offenbar Probleme, die erforderlichen Updates fristgerecht fertig zu bekommen und deshalb die mit den Entdeckern koordinierte Veröffentlichung verschoben – erst einmal um 14 Tage, wenn möglich sogar noch länger. Das legen Informationen zu den weiteren Patch-Plänen des Prozessor-Herstellers nahe, die heise Security und c't vorliegen.

Intel plant jetzt eine koordinierte Veröffentlichung am 21. Mai 2018. Zu diesem Termin sollen neue Microcode-Updates bereit gestellt werden. Parallel werden wohl auch technische Informationen zur Natur von mindestens zwei der Spectre-NG-Lücken veröffentlicht. Allerdings ist auch dieser Termin nicht in Stein gemeißelt: Gemäß unseren Informationen hat Intel bereits eine weitere Fristverlängerung bis zum 10. Juli beantragt.

Die Zahl der Systeme, die diese Patches benötigen, ist enorm. Denn diese Spectre-NG-Lücken betreffen nicht nur alle Core-i-Prozessoren und deren Xeon-Derivate zumindest seit Erscheinen (Nehalem, 2010); das sind Intels Standard-CPUs für Desktops, Notebooks und Server. Ebenfalls anfällig sind Atom-basierte Pentium, Celeron- und Atom-Prozessoren seit 2013. Und die kommen auch in Tablets, Smartphones und Embedded Geräten zum Einsatz.

Weitere Spectre-NG-Patches im August

Für die Beseitigung der gefährlichsten Spectre-NG-Lücke müssen sich Intels Kunden sogar noch länger gedulden. Sie betrifft ebenfalls die Core-i- sowie Xeon-Prozessoren und erlaubt es, etwa aus einer Virtuellen Maschine heraus deren Wirt oder andere VMs zu attackieren. Das ist insbesondere bei der Nutzung von Cloud-Systemen fatal. Derzeit plant Intel dazu Patches erst im dritten Quartal. Konkret steht der 14. August im Raum. Zur Absicherung der Architektur plant Intel eine Kombination aus Hardware-Updates in Form von neuem Microcode und Software-Verbesserungen, die die Betriebssystem-Hersteller umsetzen müssen.

Damit sind aber immer noch nicht alle Spectre-NG-Lücken abgedeckt. Denn mindestens vier Lücken sollen gemäß Intels Plänen die Software-Hersteller in ihren Produkten entschärfen. Unseren Informationen zufolge geschieht das bereits teilweise stillschweigend unter der Haube; aber auch größere Spectre-NG-Patches für Windows, Linux, macOS und andere betroffene Betriebssysteme werden folgen. Wir werden über deren Termine natürlich ebenfalls berichten, sobald uns dazu gesicherte Erkenntnisse vorliegen. (ju)