Meltdown und Spectre: Prozessor-Sicherheitslücken betreffen fast alle

Das Jahr ist noch so jung und dennoch gibt es schon so krasse Sicherheitslücken, über die berichtet werden muss. Das gibt nicht gerade Mut für den Rest von 2018. Am 3. Januar berichteten wir über eine Sicherheitslücke, die offenbar in Intel-Prozessoren steckt. Sie soll es Angreifern erlauben, zufällige Speicherbereiche des Prozessors auszulesen. Nun – es ist wesentlich schlimmer als viele vermutet haben. Bezeichnungen, die wir in den nächsten Tagen sehr häufig lesen werden: Meltdown und Spectre.

Ein Mitarbeiter an Googles Sicherheitsprojekt Zero demonstrierte die Lücke bereits und zeigte auf, wie man an Passwörter und weitere Informationen aus Programmen auslesen konnte.

Um diese Sicherheitslücke auszunutzen, muss ein Angreifer zunächst in der Lage sein, bösartigen Code auf dem Zielsystem auszuführen.

Die Forscher des Project Zero entdeckten insgesamt drei Angriffsmethoden. Alle drei Angriffsvarianten können es einem Prozess mit normalen Benutzerrechten ermöglichen, nicht autorisierte Lesezugriffe auf Speicherdaten durchzuführen, die sensible Informationen wie Passwörter, kryptographisches Schlüsselmaterial usw. enthalten können.

Es gibt laut Google keinen einzigen Fix für alle drei Angriffsvarianten; jede benötigt einen eigenen Schutz. Viele Hersteller stellen Patches für einen oder mehrere dieser Angriffe zur Verfügung.

Meltdown

Meltdown ist dabei die Intel-Geschichte, die bösartige Software auf den Speicher zugreifen lässt und so das Auslesen von Daten aus geöffneten Programmen und der Betriebssystemebene erlaubt. Hiervon sind fast alle Prozessoren von Intel seit 1995 anfällig. Wie wir bereits berichteten: Das Ganze kann man mit einem Software-Patch erst einmal stopfen, soll aber für eine Performance-Bremse sorgen. Angeblich sollen laut Intel die Berichte nicht stimmen, in denen von 30 Prozent Einbußen geredet wird. Es sollen rund zwei Prozent sein.

Spectre

Schlimmer liest sich Spectre. Dieser Angriff erfordert einen hohen Aufwand und setzt dementsprechende Expertenwissen voraus. Allerdings soll es hier komplizierter sein, sich davor zu schützen. Spectre erlaubt es direkt, dass Programme andere Programme ausspionieren und somit auch die komplette Datenweitergabe (Passwörter aus Passwort-Managern z.B.) an Angreifer. Betroffen sind nicht nur Computer mit Intel-Prozessoren, sondern quasi alles. Die Cloud, Noteboooks, Rechner und auch Smartphones. Betroffen sind Prozessoren von Intel, ARM und AMD.

Laut Google habe man, als man von den Lücken erfuhr, die Systeme aktualisiert, um die Nutzer zu schützen. Man habe auch mit Hardware- und Softwareherstellern aus der ganzen Branche zusammengearbeitet, um Benutzer und das Internet zu schützen. Zu diesen Bemühungen gehörte die gemeinsame Analyse und die Entwicklung von Maßnahmen gegen Angriffsmöglichkeiten.

Eigentlich wollte man bis zum 9. Januar mit der Offenlegung warten, allerdings sei das Risiko mittlerweile zu groß geworden, da die Lücke schon recht bekannt wurde in der Zwischenzeit.

Google sagt, dass die meisten eigenen Produkte sicher sind. Android-Smartphones mit dem Patch „Android 2018-01-05 Security Patch Level“ sollen erst einmal sicher sein. Überraschung: Den haben nur extrem wenige. Zukünftige Android-Sicherheitsupdates werden zusätzliche Maßnahmen beinhalten. Chromecast, Home und Google WiFi seien nicht betroffen, Chrome 64 solle am 23. Januar veröffentlicht werden und soll die Angriffsmöglichkeiten abschwächen, so beschreibt es Google. Hier gab man an, dass man in zukünftigen Versionen noch mal ran müsse.

Fragen und Antworten zu Meltdown und Spectre:

Bin ich von der Lücke betroffen?
Mit großer Wahrscheinlichkeit, ja.

Kann ich feststellen, ob jemand Meltdown oder Spectre gegen mich ausgenutzt hat?
Wahrscheinlich nicht. Der Angriff hinterlässt nach jetzigem Kenntnisstand keine Spuren in traditionellen Logfiles.

Kann mein Antivirus diesen Angriff erkennen oder blockieren?
Theoretisch, in der Praxis aber unwahrscheinlich. Im Gegensatz zu gewöhnlicher Malware sind Meltdown und Spectre schwer von normalen Anwendungen zu unterscheiden. Ein Antivirus-Programm könnte aber Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind.

Was kann an Daten erbeutet werden?
Wenn euer System betroffen ist, kann ein Exploit den Speicherinhalt eures Computers auslesen. Dazu können Passwörter und sensible Daten gehören, die auf dem System gespeichert sind.

Wurde Meltdown oder Spectre in der freien Wildbahn gesichtet und wird von Angreifern eingesetzt?
Weiss man nicht.

Wo kann ich Informationen zu Patches und Informationen anderer Unternehmen finden?

Intel  Security Advisory    /     Newsroom
Microsoft  Security Guidance
Amazon  Security Bulletin
ARM  Security Update
Google  Project Zero Blog
MITRE  CVE-2017-5715   /    CVE-2017-5753    /     CVE-2017-5754
Red Hat  Vulnerability Response

Linux und macOS haben bereits verschiedene Patches erhalten, um die Auswirkungen dieser Sicherheitslücken abzumildern, während Microsoft heute früh einen Notfall-Patch für seine Betriebssysteme veröffentlicht hat. Leider kann die CPU-Performance jedoch – wie bereits erwähnt – durch den Patch beeinträchtigt werden, insbesondere bei älteren Prozessoren.

Hier gibt es die Updates für Windows 10

Microsoft schreibt:

„Wir sind uns dieser branchenweiten Problematik bewusst und arbeiten eng mit den Chipherstellern zusammen, um vorläufige Lösungen zum Schutz unserer Kunden zu entwickeln und zu testen. Wir sind dabei, die vorläufige Lösungen in Cloud-Dienste zu implementieren und haben außerdem Sicherheitsupdates veröffentlicht, um Windows-Kunden vor Schwachstellen zu schützen, die unterstützte Hardware-Chips von Intel, ARM und AMD betreffen. Wir haben keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitslücken genutzt wurden, um unsere Kunden anzugreifen.“

Weiterführende Links:

Googles Blogpost

Spectre- und Meltdown-Infoseite (woher auch Fragen & Antworten stammen)

Mozilla Security Blog bestätigt Web-Lücke

Sobald sich dahingehend noch was ergibt oder bewegt, werden wir hier noch informieren.

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

30 Kommentare

  1. Drei Zeilen unter dem Spectre Logo heißt es: „Meltdown erlaubt es direkt….“. Sollte sicher Spectre erlaubt es…… heißen.

    Dennoch danke für die Info.

    Es wird nicht besser werden mit den Sicherheitslücken.

  2. Na dann warte ich mal auf den Patch für mein Xiaomi Mi A1.
    Gestern erst das Oreo Update mit Patchlevel 1.12.2017 erhalten, die Januar Patches dürften auch die Tage eintrudeln.
    Android kann so schön sein (wenn man auf das richtige Gerät setzt oder kein Social Media Dummy ist (Custom Rom)).

  3. Wie sieht’s denn mit iOS aus? Der Prozessor stammt ja von Apple?

  4. Der „Apple Prozessor“ ist auch ein ARM! Auch Apple lizensiert nur bzw. lässt sich zuliefern…

  5. Aber auch hier ist es im Prinzip das alte Lied.
    Wer Software aus nicht vertrauenswürdigen Quellen installiert oder in Emails alles anklickt ist selber schuld.
    Das Nutzerverhalten ist halt fast immer ein wesentlicher Teil der Lücke.

  6. Wer sagt denn was vertrauenswürdig ist? Es gab auch schon Probleme mit Apps aus dem Play-Store.

    Und was ist mit Windows/Mac/Linux? Nur noch Software von Chip.de installieren?

    Man man man…

  7. Probleme mit Apps (gerade mit neu eingestellten) kann es in jedem App Store geben.
    Nur mit dem Unterschied, die offiziellen Stores werden entsprechend überwacht, Apps geprüft und böse Apps entfernt. Das ist keine 100% Sicherheit aber es hilft schon.
    Mit den bekannten großen Apps aus den offiziellen Stores dürfte man keine Probleme bekommen. Die gegen bösartige Versionen auszutauschen ist schon recht unwahrscheinlich…

    Und was die Desktop Rechner angeht. Es empfiehlt sich immer, die Anwendung von der Seite des Authors oder bekannten vertrauenswürdigen Mirrorn zu beziehen.

    Am Ende trifft es sowieso meist Raubkopierer und Geiz ist Geil Zeitgenossen.
    Dort werden solche böswilligen Tools gerne per Huckepack mitgeliefert. hat schon immer gut funktioniert.

  8. SPARC64 ist von der Hälfte nicht und von der anderen nur teilweise betroffen. Wenn noch wer einen Tipp braucht…

  9. Ein großer Anteil der aktuellen Security geht von der Prämisse aus, dass der Speicher sauber getrennt ist. Mit diesen Lücken reicht im Prinzip ein JavaScript im Browser um Geheimnisse aus einem System auslesen (auch außerhalb von virtualisierten Umgebungen).

    Das geht ja gut los… trotzdem danke für die deutschsprachige Übersicht zu dem Thema.

  10. Es fehlt mir im Artikel, wie so ein Angriff verläuft. Nicht die Details,sonder grundsätzlich. Drive-by-Attacken? Muss der User was runterladen? Braucht die Anwendung Admin-Rechte?….

  11. Lösung, die derzeit empfohlen wird: CPU-Austausch :O http://www.kb.cert.org/vuls/id/584653

  12. Bei Intel, AMD &Co. knallen schon die Sektkorken! 😉

  13. Ryzen ist btw wohl nicht betroffen

  14. @PeterPan
    Ryzen ist nicht vom Meltdown betroffen, aber woher kommt die Annahme, dass es von Spectre nicht betroffen sei? Hast du da eine Quelle? Laut diesem Artikel oder auch ComputerBase (https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/) ist es betroffen

  15. Also war mein vorgestriges BIOS Uodate doch hierfür. Ist nur die Frage, wofür genau das jetzt war. EInfach nur Absicherung, damit manipulierte Betriebssysteme oder Programme, die sich vor den Systemstart hängen wie Repartitionierer das nicht ausnutzen können?

  16. @Cashy: Das mit dem CPU-Austausch als Lösungsvorschlag finde ich vor allem vor dem Hintergrund großartig, dass sich mir (v.a. angesichts der ja noch knappen Informationslage) die Frage stellt: Gegen welche unbetroffene Hardware man denn da tauschen soll… Vor ’85 ist nicht betroffen (zumindest bei Intel?!) ist da ja anscheinend bisher die einzige feste Aussage, oder? Vielleicht mal im Konrad Zuse Museum anfragen…

  17. Korrektur: Anscheinend doch „nur“ seit 1995 und vermutlich ist nur Intel-Hardware von Meltdown betroffen, der Rest (Spectre) wohl relativ einfach softwarseitig zu stopfen/bereits gestopft…

  18. Korrektur 2: Und natürlich genau umgekehrt. Spectre (bisher) nur für Intel bestätigt und patchbar, Meltdown betrifft vermutlich alle und ist (bisher) nicht zu stopfen.

  19. @Jerowski
    „Spectre betrifft hingegen praktisch alle relevanten CPUs von Intel (u.a. Ivy Bridge, Haswell und Skylake) über AMD (u.a. Ryzen) bis hin zu ARM (u.a. Samsung und Qualcomm) und sei zwar schwerer auszunutzen aber auch schwerer zu beheben als Meltdown.“ (https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/)
    Hast du auch eine Quelle die belegt, dass Spectre nur für Intel bestätigt und patchbar ist?

  20. Vielen Dank für den Link Caschy. Scheint ja wirklich alles zu sein.

  21. Alles sehr seltsam. Eine gewaltige Lücke die quasi seit 1995 besteht und noch nie ausgenutzt wurde, da stimmt doch etwas nicht. Wurde da die NSA Hintertür entdeckt oder ist das ein Marketing-Gag um den mauen Hardwareverkauf zu fördern?
    Wie auch immer, viele befürchten nun das die eignen Rechner geplündert werden, das größere Problem werden aber die Maschinen bei den Hostern sein. VServer dürften doch nun ein interessent es Ziel sein.

  22. @OnkelWu auch wenn es nicht übermäßig häufig vorkommt, aber es kommt vor, dass uralte Sicherheitslücken gefunden werden. War doch erst vor einem Jahr oder so, dass eine uralte UNIX-Lücke gefunden wurde oder so. Es gab vermutlich immer genügend andere, dass sie einfach niemandem wirklich aufgefallen ist. Denn wirklich interessant dürfte sie erst seit ASLR sein, da es die Speicherverwürfelung umgeht.

  23. differenzierter artikel mit der nötigen ruhe und angenehmen tldr passagen. tiptiop! deswegen lese ich den blog seit jahren.

  24. Naja, die Hardware hat einen Konstruktionsfehler. Wie sieht es mit Schadenersatz aus?

  25. Sri Syadasti says:

    Die Problematik mit den Timern ist nun nicht gerade neu: https://bugs.chromium.org/p/chromium/issues/detail?id=508166

    Damals wurde vorgeschlagen sie nur noch nach Benutzerbestätigung freizugeben, aber das ist bekanntlich nie passiert. Langfristig hätte es auch wenig geholfen, weil SharedArrayBuffer unter JS schon reicht.

    Wer eins der FF-Abkömmlinge nutzt, sollte tunlichst schauen, ob javascript.options.shared_memory auf „false“ steht. Beim aktuellem Waterfox ist das per default auf „true“

  26. @Paul äußerst unwahrscheinlich. Wenn es ein absichtlicher Fehler wäre möglich. Andernfalls dürften nichtmal Firmen und Großabnehmer Schadensersatz geltend machen können. Ich wüßte zumindest nicht auf welcher Basis das geschehen sollte, da dadurch ein Unternehmen ja auch nicht ruiniert werden kann. Und wenn es alleine bei Intel jeder Prozessor seit 1995 ist, würden auch ihre Mrd dahinschmelzen.

  27. @Saujunge (auch wenn’s jetzt schon länger her ist, war unterwegs): Ich bezog/beziehe mich nur auf die Infos aus dem Info/Frage Link unten im Artikel.

  28. Wie ist das denn jetzt mit den Prozessoren von AMD?

    Oben schreibt ihr „Betroffen sind Prozessoren von Intel, ARM und AMD.“

    AMD selbst scheint da aber anderer Meinung zu sein:
    „Bounds Check Bypass: Resolved by software / OS updates to be made available by system vendors and manufacturers. Negligible performance impact expected.

    Branch Target Injection: Differences in AMD architecture mean there is a near zero risk of exploitation of this variant. Vulnerability to Variant 2 has not been demonstrated on AMD processors to date.

    Rogue Data Cache Load: Zero AMD vulnerability due to AMD architecture differences.“
    (https://www.amd.com/en/corporate/speculative-execution)

  29. Du schreibst bei Spectre, dass „Programme auf andere Programme zugreifen können“. Hast du dazu eine Quelle?

    In anderen Quellen habe ich die Info gefunden, dass bei Spectre „nur“ innerhalb desselben Programms zugegriffen werden kann. Also zum Beispiel im Browser via Javascript auf den Cache des Browsers, aber eben nicht vom Browser auf ein anderes Programm zum Beispiel ein Passworttool (eigenständiges Programm nicht die im Browser enthaltene).

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.