Onze Duitse collega's van c't hebben exclusieve informatie ontvangen dat er nog acht nieuwe kwetsbaarheden in Intel's processoren zijn ontdekt, waarvan vier kritiek. Een aantal daarvan zouden nog heftigere gevolgen kunnen hebben dan Meltdown en Spectre, twee reeksen kwetsbaarheden die begin dit jaar in het nieuws kwamen.
Aan de nieuwe kwetsbaarheden, die Spectre Next Generation genoemd worden door c't, zijn al identificatienummers toegewezen in de Vulnerability Enumerator-database (CVE). Dit duidt er op dat Intel er al van op de hoogte is, en de verwachting is dat het bedrijf er snel mee aan de slag gaat. C't zegt dat Intel nog deze maand met de eerste lading patches komt, maar het tot augustus duurt voordat de volgende reeks fixes komt.
Vier van de acht worden door het bedrijf als high-risk geclassificeerd, de andere vier als medium-risk. Een van de lekken kan buiten de systeemgrenzen van virtuele machines misbruikt worden, waardoor vanuit een virtuele machine het hostsysteem aangevallen zou kunnen worden. Dit heeft enorme implicaties voor cloudproviders, die veelal virtuele machines aan hun vele klanten verhuren. Intel's Software Guard Extensions, waar normaal gesproken data mee beschermd wordt, is ook niet Spectre-bestendig.
C't stelt dat Spectre NG het makkelijker maakt om een systeem binnen te dringen dan met de eerste generatie Spectre het geval was. Er zou minder informatie over de systemen nodig zijn om ze te kunnen kraken, en volgens c't zullen computers met de aankomende patches voor Spectre NG nog meer prestatieverlies lijden dan met Spectre het geval was.
Een groot vraagteken hangt momenteel nog rondom de AMD-processors. Heise is momenteel bezig met testen of cpu's van deze fabrikant eveneens kwetsbaar zijn voor Spectre Next Generation.
Bron: C't
