12.01.2018 Meltdown & Spectre: Patches für Sicherheitslücken in CPUs

Symbolbild

Die Sicherheitslücken Meltdown und Spectre in den CPUs (Central Processing Units) – also Prozessoren – von Intel, AMD und ARM ermöglichen mehr als ein Dutzend Angriffsmöglichkeiten.

Die Schwachstellen lassen sich nur mithilfe von aufwändigen Sicherheits-Patches schließen. Betroffen sind unter anderem sämtliche Intel-Core-Prozessoren bis zurück zum Jahr 2008 sowie eine Vielzahl von ARM-Cortex-CPUs

Bei der Meltdown-Attacke, die die Hardware von Intel-Prozessoren betrifft, ist ein Zugriff auf den Speicher fremder Prozesse möglich – und zwar unter allen gängigen Betriebssystemen wie Linux, Windows, macOS, iOS etc. Eine Abhilfe namens KAISER wird derzeit in die Betriebssysteme eingebaut. Vom Spectre-Angriff sind neben Intel auch AMD und ARM betroffen. Hier wird nicht direkt auf den Speicher zugegriffen, sondern über passende Codefragmente.

Die Probleme werden nicht nur bei Clouds und Servern schlagend, sondern auch bei Heim-PCs – insbesondere gibt es hier auch Angriffsmöglichkeiten via Browser. Zwar haben die Browser-Hersteller schon reagiert und Patches bereitgestellt. Eine Garantie dafür, dass noch keine Passwörter gestohlen wurden, gibt es aber nicht. Immerhin sind die Angriffsszenarien laut Sicherheitsexpertinnen und -experten von Google schon über ein halbes Jahr lang bekannt. 

90 Prozent der Intel-CPUs der vergangenen fünf Jahre werden mit einem Update gegen Spectre und Meltdown versehen. Diese Updates müssen jedoch von den PC-Herstellern angepasst werden. Ob und wann ältere Rechner auf ein Update hoffen können, ist daher nicht bekannt. Auch der Google-Konzern, der die Schwachstellen Mitte 2017 entdeckt hat, hat eine eigene Lösung entwickelt und erfolgreich getestet. Für Linux wurden Kernel-Page-Table-Isolation-Patches (KPTI) verteilt, die Spectre und Meltdown verhindern sollen. Die Leistungseinbußen sollen insgesamt marginal sein. 

Microsoft weist Nutzerinnen und Nutzer darauf hin, dass die am 3. Jänner veröffentlichten Sicherheitsupdates für Windows 10 für einen vollständigen Schutz gegen Spectre und Meltdown nicht ausreichen. Daher sollte auch entsprechende Firmware der Hardwarehersteller installiert werden. Davon ausgenommen sind lediglich Surface-Geräte. Diese werden automatisch auch mit CPU-Microcode gegen die Angriffsmethoden versorgt.  

Auch Apple stellt bereits Fixes für die aktuellen Versionen von iOS, macOS und tvOS bereit und setzt außerdem auf ein Update von Safari. Auch hier soll sich der Patch auf die Leistung des Browsers nicht bzw. nur geringfügig auswirken. Die Apple Watch sei nicht anfällig. 

Weitere Informationen:

Datum der Veröffentlichung: 12.01.2018

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria