Wann die ersten Patches, also Updates für die neuen Spectre-Lücken, Spectre-NG, kommen, ist bislang nicht klar. „Anscheinend plant Intel zwei Patch-Wellen“, sagt Jürgen Schmidt, Sicherheitsexperte beim Computer­magazin c’t. „Eine erste soll bereits im Mai anrollen; eine zweite ist für August angedacht.“

Vier der neuen Sicherheitslücken stuft Intel selbst mit einem hohen Risiko ein, die Gefahr der anderen vier wird mit „mittel“ bewertet. Nachforschungen des Com­puter­magazins c’t zufolge sind die Angriffssze­na­rien ähnlich einzustufen wie bei Spectre im Januar. „Eine der neuen Lücken vereinfacht jedoch Angriffe über Systemgrenzen hinweg so stark, dass wir das Bedrohungspotenzial deutlich höher einstufen als bei Spectre. Besonders betroffen sind Anbieter von Cloud-Diensten wie Amazon oder Cloudfare und natürlich deren Kunden“, erklärt Schmidt. „Passwörter für sichere Datenübertragung sind sehr begehrte Ziele und durch diese neuen Lücken akut gefährdet.“

Die konkrete Gefahr für Privatleute und Firmen-PCs ist hingegen eher gering, weil es dort in aller Regel andere, einfacher auszunutzende Schwachstellen gibt. Auch wenn es keinen Grund zur Panik gibt, muss man die neuen Sicherheitslücken ernst nehmen.

Insgesamt zeigen die Spectre-NG-Lücken, dass Spectre und Meltdown keine einmaligen Ausrutscher waren, die man mit ein paar Flicken nachhaltig stopfen könnte. „Eine niemals endende Patch-Flut ist aber keine akzeptable Lösung dafür, dass Intel vor zwanzig Jahren Performance-Optimierungen ohne ausreichendes Sicherheitskonzept umgesetzt hat“, sagt Experte Schmidt und fordert, dass das CPU-Design grundsätzlich überdacht werden muss, um eine stabile IT-Infrastruktur zu haben.

Quelle: Computer­magazin c’t