Spectre und Meltdown: Informationen zu den Sicherheitslücken waren lange bekannt, wurden jedoch zurückgehalten

Zum Jahresanfang kündigte sich etwas an, dass die Computer-Industrie kräftig erschüttern sollte. Mit Spectre und Meltdown meldeten sich zwei architekturbedingte CPU-Schwachstellen, die ein großes Sicherheitsrisiko bedeuten. Schnell sollten Patches die Sicherheitslücken stopfen, doch problemlos ist die Flickarbeit nicht gelaufen. Mittlerweile hat sich die Situation beruhigt und es kommen langsam Hintergründe zu der mangelhaften Kommunikationspolitik zutage.

Sicherheits-Informationen wurden zurückgehalten

Wie Reuters berichtet, hatte Intel das US-Computer Emergency Readiness Team (US-CERT) erst über die Sicherheitslücken Meltdown und Spectre informiert, als die ersten Meldungen im Internet die Runde nahmen. Dies zeigte nun die Befragung einiger US-Technikfirmen, zu denen auch Apple und Microsoft gehören. So erklärte beispielsweise Microsoft, dass man einige Wochen vor der offiziellen Bekanntgabe über die Schwachstellen informiert wurde. Mit diesen Informationen sollten die Software-Anbieter einen Vorsprung erhalten, um Patches zu entwickeln. Wie AMD erklärte habe Google sogar im Vorfeld großen Druck ausgeübt, dass die Erkenntnisse schnellstmöglich publik gemacht werden.

Leider können die Sicherheits-Updates nur die bekannten Angriffe abwehren. Neue Angriffsvektoren, die auf Spectre und Meltdown basieren, sind weiterhin zugänglich, wie Forscher erst vor kurzem bemerkt haben. Somit arbeiten die Hardware- und Software-Hersteller weiter an neuen Lösungen.