HP: Infos zu Derivative Side-Channel-Angriffen (Spectre V4)

Die Firma HP hat bereits am 21. Mai 2018 ein Dokument veröffentlicht, welches eine Analyse bezüglich Derivative Side-Channel-Angriffen (Spectre) enthält und will ab Juni 2018 erste Updates bereitstellen. Hier einige kurze Informationen zum Thema.


Anzeige

Worum geht es?

In den vergangenen Monaten wurden ja einige Sicherheitslücken in Prozessoren entdeckt, die den Abfluss von Informationen ermöglichen. Stichwörter sind Meltdown und Spectre, wobei es von Spectre noch eine Variante 2 gibt. Aber diese Schwachstellen sind leider nicht das Ende der Fahnenstange, denn es gibt Spectre V3a und V4 (Side-Channel Vulnerability Variants). Ich hatte am 22. Mai 2018 im Blog-Beitrag Google und Microsoft enthüllen Spectre V4 CPU-Schwachstelle darüber berichtet.

Die HP-Analyse

Und genau um diesen Themenkomplex geht es im HP-Dokument HBSBHF03584 rev.1 – Derivative Side-Channel Analysis Method vom 21. Mai 2018 (danke an Blog-Leser D.K. für den Hinweis). HP hat diese Schwachstelle, die einen ungewollten Informationsabfluss über den Speicher ermöglicht, von seinem HP Product Security Response Team (PSRT) analysieren lassen. Das Ergebnis:

Derivate der im Januar 2018 veröffentlichten Methoden der spekulativen Seitenkanalanalyse können genutzt werden, um die unbefugte Offenlegung privilegierter Daten aus dem Speicher zu erleichtern.

Diese Schwachstellen haben die folgenden CVEs bekommen: CVE-2018-3639, CVE-2018-3640, PSR-2018-0074, Intel SA-00115. HP arbeitet mit den CPU-Herstellern zusammen, um die Sicherheitslücken zu schließen.

Updates für Juni/Juli 2018 angekündigt

HP hat im verlinkten Dokument (vermutlich Firmware-) Updates für verschiedene Systeme (Business-PCs und Kassensysteme, als Point-of-Sale systems bezeichnet) angekündigt. Die erste Update-Welle soll am 12. Juni 2018 kommen, die nächste Update-Welle ist für den 10. Juli 2018 vorgesehen. Hier die Übersicht mit dem Auszug einiger Modelle, die Updates erhalten sollen. Für andere HP-Geräte ist der Zeitpunkt des Updates noch offen.

HP-Sicherheitsupdates
(Firmware-Updates HP-Geräte für Spectre, Quelle: HP)

Ergänzend zu obiger Tabelle gibt es weitere Modelle, die bereits im Juni 2018 Updates erhalten sollen. Die Details entnehmt ihr diesem Dokument.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Responses to HP: Infos zu Derivative Side-Channel-Angriffen (Spectre V4)

  1. Cmd.Data sagt:

    Danke für den Hinweis!

    Die hp Compaq 8200-Modelle basieren auf Sandy Bridge.

    Andere Hersteller, wie z.B. MSI Computer, hören bereits nach kürzester Zeit damit auf, das BIOS zu aktualisieren.

    So gibt es von MSI Computer bislang keine BIOS-Updates zu Skylake-Boards.

    Beschämend.

  2. wufuc_MaD sagt:

    msi gehört zu den herstellern die sich zeit lassen und von dem man beta updates ohne diesen googleproject0-microcrap-cointelpro giftmüll zumindest findet im netz. und, natürlich gibt es schad-bios-updates von msi für skylake boards (febr. 2018)!!

    wenn ich auf die offizielle microshit seite mit “leitfäden” für sicherheitsupdates schaue steht da bei besagter… mm.. google erfindung, seit dem 21.05. immernoch: NICHTS..

    außer, dass der komplize microslop bereits kräftig beta-mitigations von intel in seine gift-updates mischt und sie gewaltsam ohne rücksicht auf verluste verteilt.

    ganz unten.. ne danksagung an den bekannten schwerverbrecher jann horn von google-p-null, ein langer haftungsausschluss und der status (zitat)
    “Informationen wurden veröffentlicht.” (21.05.)

    ich staune, dass es individuen gibt die sich [immernoch] um die infektion mit dem mist bemühen. nichts gelernt bisher… sorry für meine vernichtende einschätzung an die “betroffenen”!

    PS: “derivate” trifft es bestens! ;-)

  3. Werbung

  4. Michael sagt:

    HP hat zwar heute die Erscheinungstermine zum Teil geändert aber auch die ersten MCUs bereit gestellt.

  5. Dekre sagt:

    Zur Info:
    Die ersten BIOS-Updates sind entsprechend Modell, siehe Link, ausgerollt.

    Bis das dann auf den entsprechenden Seiten von HP eingestellt ist dauert es noch. Ich meine hierzu:
    # HP Softpaq Downloadmananger (hier war es jedoch heute schon zu verzeichnen).
    # HP Support Assistant und damit auf den jeweiligen Service-Produktseiten des Gerätes. Da dauert es noch wesentlich länger.

    Wer dringend und schnell was will, sollte dann auf obigen Link im Beitrag von Günter klicken und das für sich orten. Ansonsten wird das dann innerhalb von bis zu 14 Tagen tw auch einen Monat dann von HP nachgetragen. Ergo für alle anderen über den Softpack Download Manager sein HP-Gerät überprüfen. Da BIOS-Updates sich nicht automatisch installieren lassen, so würde ich das SP dann separat herunterladen.

    Grüße

  6. Michael sagt:

    Mit der Version 4.4 des HP Softpaq Downloadmanangers (sp87158) soll das jetzt wohl aber auch funktionieren:
    “Enables BIOS and Firmware updates to be installed in the Check for Update mode.”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.