Meltdown und Spectre: Prozessor-Sicherheitslücken betreffen fast alle

Das Jahr ist noch so jung und dennoch gibt es schon so krasse Sicherheitslücken, über die berichtet werden muss. Das gibt nicht gerade Mut für den Rest von 2018. Am 3. Januar berichteten wir über eine Sicherheitslücke, die offenbar in Intel-Prozessoren steckt. Sie soll es Angreifern erlauben, zufällige Speicherbereiche des Prozessors auszulesen. Nun – es ist wesentlich schlimmer als viele vermutet haben. Bezeichnungen, die wir in den nächsten Tagen sehr häufig lesen werden: Meltdown und Spectre.

Ein Mitarbeiter an Googles Sicherheitsprojekt Zero demonstrierte die Lücke bereits und zeigte auf, wie man an Passwörter und weitere Informationen aus Programmen auslesen konnte.

Um diese Sicherheitslücke auszunutzen, muss ein Angreifer zunächst in der Lage sein, bösartigen Code auf dem Zielsystem auszuführen.

Die Forscher des Project Zero entdeckten insgesamt drei Angriffsmethoden. Alle drei Angriffsvarianten können es einem Prozess mit normalen Benutzerrechten ermöglichen, nicht autorisierte Lesezugriffe auf Speicherdaten durchzuführen, die sensible Informationen wie Passwörter, kryptographisches Schlüsselmaterial usw. enthalten können.

Es gibt laut Google keinen einzigen Fix für alle drei Angriffsvarianten; jede benötigt einen eigenen Schutz. Viele Hersteller stellen Patches für einen oder mehrere dieser Angriffe zur Verfügung.

Meltdown

Meltdown ist dabei die Intel-Geschichte, die bösartige Software auf den Speicher zugreifen lässt und so das Auslesen von Daten aus geöffneten Programmen und der Betriebssystemebene erlaubt. Hiervon sind fast alle Prozessoren von Intel seit 1995 anfällig. Wie wir bereits berichteten: Das Ganze kann man mit einem Software-Patch erst einmal stopfen, soll aber für eine Performance-Bremse sorgen. Angeblich sollen laut Intel die Berichte nicht stimmen, in denen von 30 Prozent Einbußen geredet wird. Es sollen rund zwei Prozent sein.

Spectre

Schlimmer liest sich Spectre. Dieser Angriff erfordert einen hohen Aufwand und setzt dementsprechende Expertenwissen voraus. Allerdings soll es hier komplizierter sein, sich davor zu schützen. Spectre erlaubt es direkt, dass Programme andere Programme ausspionieren und somit auch die komplette Datenweitergabe (Passwörter aus Passwort-Managern z.B.) an Angreifer. Betroffen sind nicht nur Computer mit Intel-Prozessoren, sondern quasi alles. Die Cloud, Noteboooks, Rechner und auch Smartphones. Betroffen sind Prozessoren von Intel, ARM und AMD.

Laut Google habe man, als man von den Lücken erfuhr, die Systeme aktualisiert, um die Nutzer zu schützen. Man habe auch mit Hardware- und Softwareherstellern aus der ganzen Branche zusammengearbeitet, um Benutzer und das Internet zu schützen. Zu diesen Bemühungen gehörte die gemeinsame Analyse und die Entwicklung von Maßnahmen gegen Angriffsmöglichkeiten.

Eigentlich wollte man bis zum 9. Januar mit der Offenlegung warten, allerdings sei das Risiko mittlerweile zu groß geworden, da die Lücke schon recht bekannt wurde in der Zwischenzeit.

Google sagt, dass die meisten eigenen Produkte sicher sind. Android-Smartphones mit dem Patch „Android 2018-01-05 Security Patch Level“ sollen erst einmal sicher sein. Überraschung: Den haben nur extrem wenige. Zukünftige Android-Sicherheitsupdates werden zusätzliche Maßnahmen beinhalten. Chromecast, Home und Google WiFi seien nicht betroffen, Chrome 64 solle am 23. Januar veröffentlicht werden und soll die Angriffsmöglichkeiten abschwächen, so beschreibt es Google. Hier gab man an, dass man in zukünftigen Versionen noch mal ran müsse.

Fragen und Antworten zu Meltdown und Spectre:

Bin ich von der Lücke betroffen?
Mit großer Wahrscheinlichkeit, ja.

Kann ich feststellen, ob jemand Meltdown oder Spectre gegen mich ausgenutzt hat?
Wahrscheinlich nicht. Der Angriff hinterlässt nach jetzigem Kenntnisstand keine Spuren in traditionellen Logfiles.

Kann mein Antivirus diesen Angriff erkennen oder blockieren?
Theoretisch, in der Praxis aber unwahrscheinlich. Im Gegensatz zu gewöhnlicher Malware sind Meltdown und Spectre schwer von normalen Anwendungen zu unterscheiden. Ein Antivirus-Programm könnte aber Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind.

Was kann an Daten erbeutet werden?
Wenn euer System betroffen ist, kann ein Exploit den Speicherinhalt eures Computers auslesen. Dazu können Passwörter und sensible Daten gehören, die auf dem System gespeichert sind.

Wurde Meltdown oder Spectre in der freien Wildbahn gesichtet und wird von Angreifern eingesetzt?
Weiss man nicht.

Wo kann ich Informationen zu Patches und Informationen anderer Unternehmen finden?

Intel  Security Advisory    /     Newsroom
Microsoft  Security Guidance
Amazon  Security Bulletin
ARM  Security Update
Google  Project Zero Blog
MITRE  CVE-2017-5715   /    CVE-2017-5753    /     CVE-2017-5754
Red Hat  Vulnerability Response

Linux und macOS haben bereits verschiedene Patches erhalten, um die Auswirkungen dieser Sicherheitslücken abzumildern, während Microsoft heute früh einen Notfall-Patch für seine Betriebssysteme veröffentlicht hat. Leider kann die CPU-Performance jedoch – wie bereits erwähnt – durch den Patch beeinträchtigt werden, insbesondere bei älteren Prozessoren.

Hier gibt es die Updates für Windows 10

Microsoft schreibt:

„Wir sind uns dieser branchenweiten Problematik bewusst und arbeiten eng mit den Chipherstellern zusammen, um vorläufige Lösungen zum Schutz unserer Kunden zu entwickeln und zu testen. Wir sind dabei, die vorläufige Lösungen in Cloud-Dienste zu implementieren und haben außerdem Sicherheitsupdates veröffentlicht, um Windows-Kunden vor Schwachstellen zu schützen, die unterstützte Hardware-Chips von Intel, ARM und AMD betreffen. Wir haben keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitslücken genutzt wurden, um unsere Kunden anzugreifen.“

Weiterführende Links:

Googles Blogpost

Spectre- und Meltdown-Infoseite (woher auch Fragen & Antworten stammen)

Mozilla Security Blog bestätigt Web-Lücke

Sobald sich dahingehend noch was ergibt oder bewegt, werden wir hier noch informieren.

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

30 Kommentare

  1. Drei Zeilen unter dem Spectre Logo heißt es: „Meltdown erlaubt es direkt….“. Sollte sicher Spectre erlaubt es…… heißen.

    Dennoch danke für die Info.

    Es wird nicht besser werden mit den Sicherheitslücken.

  2. Na dann warte ich mal auf den Patch für mein Xiaomi Mi A1.
    Gestern erst das Oreo Update mit Patchlevel 1.12.2017 erhalten, die Januar Patches dürften auch die Tage eintrudeln.
    Android kann so schön sein (wenn man auf das richtige Gerät setzt oder kein Social Media Dummy ist (Custom Rom)).

  3. Wie sieht’s denn mit iOS aus? Der Prozessor stammt ja von Apple?

  4. Der „Apple Prozessor“ ist auch ein ARM! Auch Apple lizensiert nur bzw. lässt sich zuliefern…

  5. Aber auch hier ist es im Prinzip das alte Lied.
    Wer Software aus nicht vertrauenswürdigen Quellen installiert oder in Emails alles anklickt ist selber schuld.
    Das Nutzerverhalten ist halt fast immer ein wesentlicher Teil der Lücke.

  6. Wer sagt denn was vertrauenswürdig ist? Es gab auch schon Probleme mit Apps aus dem Play-Store.

    Und was ist mit Windows/Mac/Linux? Nur noch Software von Chip.de installieren?

    Man man man…

  7. Probleme mit Apps (gerade mit neu eingestellten) kann es in jedem App Store geben.
    Nur mit dem Unterschied, die offiziellen Stores werden entsprechend überwacht, Apps geprüft und böse Apps entfernt. Das ist keine 100% Sicherheit aber es hilft schon.
    Mit den bekannten großen Apps aus den offiziellen Stores dürfte man keine Probleme bekommen. Die gegen bösartige Versionen auszutauschen ist schon recht unwahrscheinlich…

    Und was die Desktop Rechner angeht. Es empfiehlt sich immer, die Anwendung von der Seite des Authors oder bekannten vertrauenswürdigen Mirrorn zu beziehen.

    Am Ende trifft es sowieso meist Raubkopierer und Geiz ist Geil Zeitgenossen.
    Dort werden solche böswilligen Tools gerne per Huckepack mitgeliefert. hat schon immer gut funktioniert.

  8. SPARC64 ist von der Hälfte nicht und von der anderen nur teilweise betroffen. Wenn noch wer einen Tipp braucht…

  9. Ein großer Anteil der aktuellen Security geht von der Prämisse aus, dass der Speicher sauber getrennt ist. Mit diesen Lücken reicht im Prinzip ein JavaScript im Browser um Geheimnisse aus einem System auslesen (auch außerhalb von virtualisierten Umgebungen).

    Das geht ja gut los… trotzdem danke für die deutschsprachige Übersicht zu dem Thema.

  10. Es fehlt mir im Artikel, wie so ein Angriff verläuft. Nicht die Details,sonder grundsätzlich. Drive-by-Attacken? Muss der User was runterladen? Braucht die Anwendung Admin-Rechte?….

  11. Lösung, die derzeit empfohlen wird: CPU-Austausch :O http://www.kb.cert.org/vuls/id/584653

  12. Bei Intel, AMD &Co. knallen schon die Sektkorken! 😉

  13. Ryzen ist btw wohl nicht betroffen

  14. @PeterPan
    Ryzen ist nicht vom Meltdown betroffen, aber woher kommt die Annahme, dass es von Spectre nicht betroffen sei? Hast du da eine Quelle? Laut diesem Artikel oder auch ComputerBase (https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/) ist es betroffen

  15. Also war mein vorgestriges BIOS Uodate doch hierfür. Ist nur die Frage, wofür genau das jetzt war. EInfach nur Absicherung, damit manipulierte Betriebssysteme oder Programme, die sich vor den Systemstart hängen wie Repartitionierer das nicht ausnutzen können?

  16. @Cashy: Das mit dem CPU-Austausch als Lösungsvorschlag finde ich vor allem vor dem Hintergrund großartig, dass sich mir (v.a. angesichts der ja noch knappen Informationslage) die Frage stellt: Gegen welche unbetroffene Hardware man denn da tauschen soll… Vor ’85 ist nicht betroffen (zumindest bei Intel?!) ist da ja anscheinend bisher die einzige feste Aussage, oder? Vielleicht mal im Konrad Zuse Museum anfragen…

  17. Korrektur: Anscheinend doch „nur“ seit 1995 und vermutlich ist nur Intel-Hardware von Meltdown betroffen, der Rest (Spectre) wohl relativ einfach softwarseitig zu stopfen/bereits gestopft…

  18. Korrektur 2: Und natürlich genau umgekehrt. Spectre (bisher) nur für Intel bestätigt und patchbar, Meltdown betrifft vermutlich alle und ist (bisher) nicht zu stopfen.

  19. @Jerowski
    „Spectre betrifft hingegen praktisch alle relevanten CPUs von Intel (u.a. Ivy Bridge, Haswell und Skylake) über AMD (u.a. Ryzen) bis hin zu ARM (u.a. Samsung und Qualcomm) und sei zwar schwerer auszunutzen aber auch schwerer zu beheben als Meltdown.“ (https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/)
    Hast du auch eine Quelle die belegt, dass Spectre nur für Intel bestätigt und patchbar ist?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.