Wissenschaftler der TU Graz finden neue Spectre-Lücke

„NetSpectre“ ist nach Angaben der Forscher ein Paradigmenwechsel, weil sich die neu entdeckte Lücke auch über ein Netzwerk aus der Ferne ausnutzen lässt. [...]

Forscher der TU Graz entdecken NetSpectre. (c) pixabay
Forscher der TU Graz entdecken NetSpectre. (c) pixabay
Meltdown und Spectre gehören zu den schlimmsten Sicherheitslücken, die in den vergangenen Jahren gefunden wurden. Schon an den ersten Entdeckungen waren Wissenschaftler der Technischen Universität (TU) Graz beteiligt. Nun legen sie nach. Wie Daniel Gruss, Moritz Lipp, Michael Schwarz und Martin Schwarzl herausgefunden haben, gibt es eine weitere, bislang noch unbekannte Spectre-Variante, die diesmal aber über Netzwerke ausgenutzt werden kann. Sie hat deswegen auch den neuen Namen „NetSpectre“ bekommen.
Anders als für die bisherigen Spectre-Lücken ist bei NetSpectre weder ein vorheriges Herunterladen und Ausführen von Schadcode, noch der Besuch einer mit Javascript manipulierten Webseite nötig, um die Sicherheitslücke auszunutzen. NetSpectre lässt sich nicht mehr nur lokal, sondern aus der Ferne einsetzen. Die Wissenschaftler bezeichnen ihre Erkenntnisse deswegen auch als „Paradigmenwechsel“. Mit NetSpectre sei es möglich, ein weit größeres Spektrum an netzwerkfähigen Geräten anzugreifen.

Gefährlich, aber langsam

In einem nun veröffentlichten Whitepaper beschreiben die Wissenschaftler ihre neuen Erkenntnisse. Wie die anderen Spectre-Lücken auch richtet sich NetSpectre vor allem gegen Prozessoren von Intel. Der Hersteller wurde bereits im März dieses Jahres unterrichtet, hat aber mehrere Monate Zeit bekommen, um sich vorzubereiten.
Die Geschwindigkeit, mit der sich Daten mit Hilfe von NetSpectre über ein Netzwerk klauen lassen, sind allerdings sehr langsam. Sie liegen nach Angaben der Forscher bei nur 15 bis maximal 60 Bits pro Stunde. Es kann aber durchaus sein, dass in naher oder ferner Zukunft neue Möglichkeiten gefunden werden, um die Geschwindigkeit bei der Extraktion fremder Daten zu beschleunigen. Unternehmen sollten deswegen nicht den Fehler machen, NetSpectre zu schnell auf die leichte Schulter zu nehmen.
*Andreas Fischer ist Autor bei COM! professional.

Mehr Artikel

Tina Stewart leitet den Bereich Global Market Strategy für Cloud Protection und Licensing bei Thales. (c) Thales
Kommentar

Die Zukunft der Datensicherheit

IT-Sicherheitsabteilungen sind in diesem Jahr gefordert wie vielleicht noch nie und sind entsprechend ausgelastet. Vielleicht ist jetzt ein guter Zeitpunkt, sich daran zu erinnern, dass die Auseinandersetzung mit der langfristigen Sicherheit von Daten der Schlüssel zum Aufbau einer Zukunft ist, der wir alle vertrauen können. Ein Kommentar von Tina Stuart. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*