Intel heeft de release van patches voor een deel van de zogenaamde Spectre-ng-kwetsbaarheden twee weken uitgesteld, meldt het Duitse Heise op basis van eigen informatie. Eigenlijk zouden maandag de eerste patches samen met nadere details uitkomen, zo bleek eerder.

Heise beroept zich op bronnen die bekend zijn met de plannen van Intel. De chipfabrikant zou de patches niet op tijd hebben afgekregen. De nieuwe datum is nu vastgesteld op 21 mei; dan zou het bedrijf microcode willen uitbrengen, samen met informatie over in ieder geval twee van de in totaal acht kwetsbaarheden. Het blad c't hanteerde vorige week de verzamelnaam Spectre-ng, waarbij 'ng' staat voor 'next generation'. Ook de datum van 21 mei zou niet volledig vaststaan. Zo zou Intel ook al om verder uitstel tot 10 juli hebben gevraagd.

Volgens de site is een groot aantal systemen door de lekken getroffen. Zo zouden niet alleen alle Core-i-processors en Xeon-varianten zijn getroffen, maar ook Pentium-processors op basis van Atom, naast Celeron- en Atom-cpu's sinds 2013.

C't meldde vorige week dat Intel samen met OS-fabrikanten aan patches werkt voor in totaal acht lekken die onder de Spectre-ng-noemer vallen. Vier daarvan zouden kritiek zijn. Het ernstigste lek zou het mogelijk maken om eenvoudig informatie op andere systemen op dezelfde host vanuit een vm buit te maken. Mocht dit inderdaad zo zijn, dan is dit een risico voor cloudomgevingen. De patchdatum voor dit lek staat op 14 augustus, aldus Heise.

Intel heeft inmiddels in algemene bewoordingen gereageerd op de publicatie en zei dat het nadere details bekend wil maken zodra het tegenmaatregelen heeft kunnen nemen. AMD zei dat het de meldingen onderzoekt. Het is onduidelijk of het bedrijf is getroffen door de kwetsbaarheden, die zouden lijken op de twee Spectre-varianten van begin dit jaar. Die maken het uitlezen van gevoelige informatie mogelijk. AMD maakte in april patches voor de tweede variant beschikbaar.

Reacties mogelijk gemaakt door CComment