[Update 12.1.2018] Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) hat auf seiner Webseite eine ernstzunehmende Pressemeldung veröffentlicht, in der es vor Trittbrettfahrern in Sachen Meltdown und Spectre warnt. Hintergrund sind SPAM-Mails, die wohl gerade massenhaft versendet werden. Inhalt dieser Nachricht, die vermeintlich vom BSI versendet werden: Man solle doch bitte das in der E-Mail verlinkte Sicherheitsupdate auf seinem Rechner installieren. Allerdings befindet sich hinter diesem Link genau das Gegenteil, nämlich eine Schadsoftware, die dem Absender Tür und Tor zum so infizierten Rechner eröffnen soll. Daher: Augen auf, das BSI versendet solch geartete E-Mails nicht!
[Update 12.1.2018] Der G DATA Security Blog hat mit Anders Gogh (einem der Entdecker von Meltdown und Spectre) ein interessantes Interview geführt. Darin erzählt er, wie er die CPU-Schwachstellen. entdeckt hat, nennt die Wahrscheinlichkeit eines ersten Malware-Angriffs auf betroffene Computersysteme, und und was sich Hacker von ihren Schadcode-Einschleusversuchen versprechen.
[Update 11.1.2018] Nachdem es ja am Anfang noch hieß, dass Betriebssystem-Updates und Microcode-Patches wohl kaum nennenswerte Auswirkungen auf die Prozessorleistung nach sich zögen, räumt Intel jetzt doch Einbußen bei der CPU-Performance ein. Von bis zu 10 Prozent ist die Rede, im Kontext von SSD-Speicher könnte es noch drastischer ausfallen. Nachzulesen ist das Ganze direkt bei Intel. Respekt für soviel Transparenz!
[/Update]
Wer erinnert sich nicht an den Pentium-FDIV-Bug, der Mitte der 90er Jahre für einen Riesenwirbel sorgte. So generierte der damals gerade erst am Markt eingeführte Intel-Prozessor unter ganz bestimmten Umständen einen Rundungsfehler. Einen Rundungsfehler! Und doch entpuppte sich das Ganze für Intel zum PR-Gau: Zunächst wurde darüber nicht geredet, später dann doch, aber nicht wirklich geschickt, am Schluss entschuldigte sich der damalige CEO, Andy Grove, bei allen Betroffenen und stellte 475 Millionen US-Dollar für ein groß angelegtes Austauschprogramm zur Verfügung.
Und heute? Da entdecken findige Leute zwei CPU-Schwachstellen, die sie „Meltdown“ und „Spectre“ nennen, die ein maßgebliches Sicherheitsrisiko für nahezu jeden aktuellen PC-Anwender darstellen. Und Intel? Macht erst einmal wieder nix. Zumindest soll der Chiphersteller von den CPU-Macken bereits im Juni 2017 in Kenntnis gesetzt worden sein. Und doch veröffentlicht Intel erst am 3. Januar 2018 eine Pressemeldung, in der das Unternehmen zugibt, auf die Prozessorfehler seitens externer Fachleute hingewiesen worden zu sein.
Mehr noch: Intel weist in dieser Pressemeldung die Schuld erst einmal von sich und erinnert daran, dass auch andere Prozessorhersteller offensichtlich Probleme haben. Obendrein werden falsche Medienberichte dafür verantwortlich gemacht, dass sich Intel quasi genötigt fühlte, die Prozessorprobleme offenkundig zu machen. Also, in Sachen Kommunikation hat der Chiphersteller wohl nicht viel dazu gelernt seit dem Pentium-Bug.
[irp posts=“158365″ ]
So funktionieren „Meltdown“ und „Spectre“
Doch was hat es mit „Meltdown“ und „Spectre“ genau auf sich? Nun, um im Intel-Duktus zu bleiben, sind die Anwender an diesen Bugs selber Schuld. Denn aufgrund ihrer Forderung, immer schnellere Prozessoren kaufen zu wollen, gelang Intel (und anderen Prozessorherstellern) ein Kunstgriff, der sich Out-of-Order-Execution nennt.
Hierbei werden Befehle im Vorhinein ausgeführt, also quasi auf Halde, um die Verarbeitung der nächsten damit in Verbindung stehenden Befehle beschleunigen zu können. In diesem Kontext werden Daten z.B. in einer virtuellen, also nach außen hin nicht sichtbaren Seite des Cache-Speichers abgelegt. Spectre geht im Gegensatz zu Meltdown sogar noch einen Schritt weiter, indem er versucht, mithilfe eines bösartigen Javascript-Aufrufs innerhalb eines Webbrowsers die Daten auszuspionieren, die im Kennwortspeicher von Google Chrome und Co. vorhanden sind.
Und genau auf diese Daten könnten Hacker zugreifen, und das mithilfe eines geeigneten Programms, das die Schwachstellen der betreffenden Prozessoren ausnutzen. Damit können Kennwörter, Kreditkartendaten, etc. entwendet werden – und der Anwender bekommt davon nicht einmal etwas mit. Genauso wenig wie die aktuellen Antiviren-Programme, die offenkundig auf eine derartige Gefahrenlage nicht eingestellt sind.
[irp posts=“161228″ ]
Diese Maßnahmen sind erforderlich
Doch was kann dagegen getan werden? Nun, auf Seiten der Prozessorarchitektur muss dafür gesorgt werden, dass der Adressraum des Systemkernels und der physikalische Speicher nicht in den Adressraum des Prozesses abgebildet werden, falls sich der Prozessor um User-Modus befindet. Außerdem müssen beide Adressräume stets denselben Inhalt aufweisen, was den Prozessor ausbremsen könnte.
Intel, ARM und AMD sind mehr oder weniger betroffen
Doch welche Prozessoren sind im besonderen Maße von Spectre und Meltdown betroffen? Nun, die Frage sollte eher lauteten: Welche sind es nicht! Denn sämtliche Intel-Prozessoren, die nach 2008 gebaut und produziert wurden, weisen die genannten Lücken auf. Das betrifft sowohl die CPUs der Intel-Core-Reihe (Intel Core i3, i5 und i7) und die Intel Atom-Prozessoren der Serien C, E, A, x3 und Z sowie die Celeron- und Pentium-Reihen J und N. Außerdem sind betroffen: Intel Xeon 3400, 3600, 5500, 5600, 6500 und 7500 sowie die Xeon-Familien E3 (v1 bis v6), E5 (v1 bis v4), E7 (v1 bis v4). Auch anfällig sind Prozessoren der Serie Xeon Scalable und die Rechenkarten Xeon Phi 3200, 5200 und 7200.
[irp posts=“158148″ ]
Aber auch viele ARM-Prozessoren der Cortex-Serie sind mögliches Ziel von Spectre und Meltdown. Diese Kleinst-CPUs stecken vor allem in Smartphones und Tablet-Computern. So hat Apple beispielsweise schon eingeräumt, dass sämtliche iPhone-Modelle den Prozessor-Bug aufweisen. Die Liste der unsicheren ARM-CPUs werden auf der zugehörigen ARM-Seite aufgelistet.
AMD-Prozessoren hingegen sind aufgrund ihrer von Intel- und ARM-CPUs unterschiedlichen Technik nicht im selben Umfang von Spectre und Meltdown betroffen, jedoch nicht komplett unangreifbar.
Updates sind oberste Anwenderpflicht
Klar, aktuelle Software-Updates regelmäßig zu installieren, ist immer eine gute Idee, da kein System und keine Software frei von Fehlern ist. Doch im Falle von Spectre und Meltdown ist es oberste Anwenderpflicht, seine Gerätschaften auf den neuesten Stand zu bringen. Seitens der großen Hersteller und Anbieter von Betriebssystemen und Webbrowsern ist hierfür schon einiges geschehen.
So hat Apple hat mit iOS 11.2.2 und macOS 10.13.2 zwei Versionen ihrer Betriebssysteme zum Download freigegeben, die die möglichen Gefahrenquelle möglichst vollständig einschränken sollen. Zudem rät Apple, Software für Mac, iPhone und Co. nur aus vertraueneswürdigen Softwarequellen wie dem App Store zu installieren. Denn für die Angriffsszenarien „Meltdown“ sind bösartige Anwendungen und Apps erforderlich, die nicht in den Apple Appstore gelangen können.
Microsoft fährt eine zweigleisige Update-Strategie. Für Windows-10-Rechner gibt es bereits die notwendigen Updates, die entweder automatisch eingespielt werden oder bei Bedarf über die Microsoft-Update-Katalogseite installiert werden können. Rechner mit Windows 7 und Windows 8.1 hingegen werden erst am regulären Patchday auf einen sicheren Stand gebracht, der auf den 16. Januar 2018 fällt.
Google hat die Schwachstellen ebenfalls entfernt, und das mit dem Januar-Sicherheitspatch für Android. Dies betrifft zunächst nur die Smartphones aus der Google-eigenen Pixel- und Nexus-Serie. Wann und ob alle anderen Hersteller wie Samsung oder LG nachziehen, ist derzeit nicht bekannt.
Webbrowser sind noch nicht komplett geschützt
Seitens der Browser-Anbieter stehen erste Patches bereit, so wie beispielsweise für den Mozilla Firefox-Browser mit der Version 57.0.4. Google Chrome-Anwendern wird bis zu einem sicheren Update empfohlen, die Option „Website-Isolierung“ zu aktivieren. Dazu muss man in die Adressleiste des Chrome-Browsers die Kommandozeile chrome://flags/#enable-site-per-process eingeben und hinter „Strict site isolation“ auf den Button „Aktivieren“ klicken.
Microsoft hat ebenfalls bereits einen einen Patch für seine Browser Edge und Internet Explorer veröffentlicht. Apple arbeitet laut eigener Aussage an einem Update für ihren Safari-Browser.
Und was macht Intel?
Nun, der Prozessorhersteller hat angekündigt, bis Mitte Januar 2018 90 Prozent seiner Prozessoren der letzten fünf Jahre mithilfe geeigneter Patches gegen Spectre und Meltdown absichern zu wollen. Was mit den CPUs geschieht, die vor 2012 produziert wurden, ist derzeit leider nicht klar.