CPU-Sicherheitslücken Spectre-NG: Updates und Info-Links
Hersteller von Hardware, Betriebssystemen und Software stellen Webseiten mit Informationen und Sicherheitsupdates für die neuen Spectre-Lücken Spectre V3a und Spectre V4 bereit: Ein Überblick.
Am 21. Mai haben Intel, Microsoft, Google Project Zero (GPZ), Red Hat und andere Firmen erste Updates und Informationen zu den Sicherheitslücken Spectre V3a (CVE-2018-3640, Rogue System Register Read, RSRE) und Spectre V4 (CVE-2018-3639, Speculative Store Bypass, SSB) bereitgestellt. Hier sammeln wir Links zu solchen Seiten.
A
CPU-Sicherheitslücken Spectre-NG
Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-)Prozessoren gestoßen Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.
Unter der Bezeichnung Spectre Next Generation (Spectre-NG) wurden Anfang Mai acht neue Sicherheitslücken in Prozessoren von Intel, AMD, ARM und IBM bekannt. Damals lagen c't und heise Security exklusive Informationen dazu vor. Am 21. Mai erschienen die ersten offiziellen Informationen zu Spectre V3a und Spectre V4.
Für Spectre V1, V2 und Meltdown (GPZ V3) verweisen wir auf die ältere Berichterstattung auf c't und heise online. Zu den sechs weiteren Spectre-NG-Lücken sind derzeit keine weiteren Informationen bekannt.
Hier nun die Info- und Update-Seiten der Hersteller:
AMD
“Speculative Store Bypass” Vulnerability Mitigations for AMD Platforms
ARM
Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism
Anzeige
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Spectre-NG: Weitere Sicherheitslücken in Prozessoren
CERT
Vulnerability Note VU#180049
Cisco
CPU Side-Channel Information Disclosure Vulnerabilities: May 2018
Debian
CVE-2018-3639
Google Chromium
speculative execution, variant 4: speculative store bypass
IBM
Potential Impact on Processors in the POWER Family
Intel
Intel-SA-00115: Q2 2018 Speculative Execution Side Channel Update
Blog: Addressing New Research for Side-Channel Analysis
Linux Kernel
4.17-rc6+ – Merge speculative store buffer bypass fixes from Thomas Gleixner; die wesentlichen der in diesem Merge enthaltenen Spectre-v4-Korrekturen für x86-Systeme sind auch in Linux 4.16.11, 4.14.43 und 4.9.102 eingeflossen.
4.17-rc6+ – powerpc/64s: Add support for a store forwarding barrier at kernel entry/exit
Proposed ARM64 SSBD (aka Spectre-v4) mitigation
Microsoft
Analysis and mitigation of speculative store bypass (CVE-2018-3639)
Oracle
CVE-2018-3639
QEMU
Speculative store buffer bypass mitigation
Red Hat
Kernel Side-Channel Attack using Speculative Store Bypass - CVE-2018-3639
Bug 1566890 - (CVE-2018-3639) CVE-2018-3639 hw: cpu: speculative store bypass
Suse
SUSE Addresses Spectre Variant 4
Ubuntu
CVE-2018-3639
USN-3654-1: Linux kernel vulnerabilities
US-CERT
Alert (TA18-141A)
VMware
VMware Performance Impact for CVE-2018-3639 and CVE-2018-3640 (55210)
Quelle: t-online
Hersteller von Hardware, Betriebssystemen und Software stellen Webseiten mit Informationen und Sicherheitsupdates für die neuen Spectre-Lücken Spectre V3a und Spectre V4 bereit: Ein Überblick.
Am 21. Mai haben Intel, Microsoft, Google Project Zero (GPZ), Red Hat und andere Firmen erste Updates und Informationen zu den Sicherheitslücken Spectre V3a (CVE-2018-3640, Rogue System Register Read, RSRE) und Spectre V4 (CVE-2018-3639, Speculative Store Bypass, SSB) bereitgestellt. Hier sammeln wir Links zu solchen Seiten.
A
CPU-Sicherheitslücken Spectre-NG
Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-)Prozessoren gestoßen Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.
Unter der Bezeichnung Spectre Next Generation (Spectre-NG) wurden Anfang Mai acht neue Sicherheitslücken in Prozessoren von Intel, AMD, ARM und IBM bekannt. Damals lagen c't und heise Security exklusive Informationen dazu vor. Am 21. Mai erschienen die ersten offiziellen Informationen zu Spectre V3a und Spectre V4.
Für Spectre V1, V2 und Meltdown (GPZ V3) verweisen wir auf die ältere Berichterstattung auf c't und heise online. Zu den sechs weiteren Spectre-NG-Lücken sind derzeit keine weiteren Informationen bekannt.
Hier nun die Info- und Update-Seiten der Hersteller:
AMD
“Speculative Store Bypass” Vulnerability Mitigations for AMD Platforms
ARM
Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism
Anzeige
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Spectre-NG: Weitere Sicherheitslücken in Prozessoren
CERT
Vulnerability Note VU#180049
Cisco
CPU Side-Channel Information Disclosure Vulnerabilities: May 2018
Debian
CVE-2018-3639
Google Chromium
speculative execution, variant 4: speculative store bypass
IBM
Potential Impact on Processors in the POWER Family
Intel
Intel-SA-00115: Q2 2018 Speculative Execution Side Channel Update
Blog: Addressing New Research for Side-Channel Analysis
Linux Kernel
4.17-rc6+ – Merge speculative store buffer bypass fixes from Thomas Gleixner; die wesentlichen der in diesem Merge enthaltenen Spectre-v4-Korrekturen für x86-Systeme sind auch in Linux 4.16.11, 4.14.43 und 4.9.102 eingeflossen.
4.17-rc6+ – powerpc/64s: Add support for a store forwarding barrier at kernel entry/exit
Proposed ARM64 SSBD (aka Spectre-v4) mitigation
Microsoft
Analysis and mitigation of speculative store bypass (CVE-2018-3639)
Oracle
CVE-2018-3639
QEMU
Speculative store buffer bypass mitigation
Red Hat
Kernel Side-Channel Attack using Speculative Store Bypass - CVE-2018-3639
Bug 1566890 - (CVE-2018-3639) CVE-2018-3639 hw: cpu: speculative store bypass
Suse
SUSE Addresses Spectre Variant 4
Ubuntu
CVE-2018-3639
USN-3654-1: Linux kernel vulnerabilities
US-CERT
Alert (TA18-141A)
VMware
VMware Performance Impact for CVE-2018-3639 and CVE-2018-3640 (55210)
Quelle: t-online
Mia san Mia und Mia san Tripel