Meltdown – Spectre

Sicherheitslücken in Prozessoren


5. Januar 2018, von in IT-Sicherheit

Das Jahr 2018 hat nicht mal richtig Fahrt aufgenommen. Da haben Forscher schon zwei neue IT-Sicherheitslücken entdeckt: Meltdown und Spectre genannt. Diesmal sind Prozessoren verschiedener Hersteller betroffen. Das heißt: So gut wie jedes Gerät und jeder Nutzer ist potentiell gefährdet – unabhängig von Betriebssystem und Browser. Passiert ist aber noch nichts. Infos und Tipps zu Vorsichtsmaßnahmen gibt’s hier.

meltdown, spectre, intel-bug, sicherheitslücke

Die Sicherheitslücken Meltdown und Spectre haben Forscher auf Prozessoren entdeckt. Sie gefährden Ihre IT-Sicherheit. Montage: Linda Bögelein

Meltdown – Spectre: Was tun die?

Die entdeckten Sicherheitslücken Meltdown und Spectre in Computer-Chips machen Geräte anfällig für Datenklau. Laut Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) ermöglichen sie unter anderem das Auslesen von sensiblen Daten wie Passwörtern, Schlüsseln und beliebigen Speicherinhalten. Das betrifft so ziemlich jedes Gerät sowie alle gängigen Betriebssysteme und Browser– vom Computer, über Laptop und Tablet bis zum Smartphone. Aber auch Cloudanbieter und Hostingprovider seien durch diese Sicherheitslücken angreifbar.  Zwar liegt dem BSI noch kein Fall vor, in dem die Sicherheitslücken Meltdown und Spectre von Cyberkriminellen ausgenutzt worden seien, aber es ist auch nicht gerade einfach nachzuvollziehen, ob genau genau diese Sicherheitslücken benutzt wurden, um Ihre IT-Systeme anzugreifen. Wie dem auch sei, ein guter Antivirus könnte zumindest Schadsoftware identifizieren, die eventuell durch diese Lücken in Ihr System eingedrungen sind.

Meltdown – Spectre: Bin ich betroffen?

„Ja“. Das  ist in etwa 98 Prozent der Fälle die richtige Antwort auf die Frage, ob Sie von den Sicherheitslücken Meltdown oder Spectre auf Computer-Chips betroffen sind: Rechner, Server und Cloud-Dienste. Betroffen sind zum Beispiel Nutzer von Microsoft-, Apple- und auch Samsung-Produkten. Alles, das vor allem mit Intel-Prozessoren, AMD- oder ARM-basierte Chips angetrieben wird. Nichtsdestotrotz unterscheiden sich die beiden Sicherheitslücken voneinander.

Vergleich Meltdown – Spectre

Wie der Name andeutet, lässt Meltdown die IT-Sicherheit förmlich dahin schmelzen. „Meltdown“ (Schmelze) ermöglicht Angriffe auf Geräte mit Intel-Chips und damit auch auf Cloudlösungen wie Virtualisierung. Konkret sind jede Intel-Prozessoren seit 1995 betroffen – außer Intel Itanium und Intel Atom vor 2013. Dafür haben Forscher der TU Graz Meltdown auf Intel-Prozessor-Generationen ab 2011 getestet. Weiteres Ergebnis der Forscher: Generell ist Meltdown bis jetzt „nur“ auf Intel-Prozessoren (Intel-Bug) entdeckt worden. Das bedeute allerdings nicht, dass Chips von ARM und AMD dagegen immun seien. Intel hat hierzu eine eigenen Liste mit betroffenen Chips herausgegeben.

Die Sicherheitslücke Spectre (Gespenst) erschreckt Personen, deren Geräte auf Prozessoren von AMD und Arm-Architektur zurückgreifen – dazu zählen auch Nutzer von Apple- und Samsung-Geräten. Spectre lässt andere Programme ausspähen. Angriffe mittels Spectre seien jedoch laut Experten schwieriger umzusetzen als mit Meltdown. Jedoch haben die Forscher die Sicherheitslücke Spectre auf Chips von Intel, AMD und mit Arm-Technologie nachgewiesen. Auch ARM hat eine Liste mit betroffenen Prozessoren veröffentlicht.

Meltdown – Spectre: Software soll Hardware-Fehler beheben

Schnelligkeit vor Sicherheit: So lässt sich die Ursache des entdeckten Sicherheits-Dilemma wohl begründen. Denn Ursprung der Sicherheitslücken ist ein gängiges Verfahren, das Computerchips schneller machen soll. Jedoch macht sie das auch anfällig für Datendiebstahl. Grundsätzlich handelt es sich bei Meltdown und Spectre um IT-Sicherheitslücken in den Prozessoren, also um Hardwarefehler. Die sollen jetzt irgendwie mit Softwareupdates korrigiert werden. Eine mögliche Konsequenz könnte sein, dass sich die Prozessor-Leistung dadurch verlangsamt. Nachdem bei Windows-Nutzern vereinzelt Problemen beim Update auftauchten, hat Microsoft bestätigt, dass die Aktualisierungen auf älteren Computern mit Windows 7 und Windows 8 bei den meisten Nutzern zu „spürbaren Leistungseinbußen“ führen werde. Eine englischsprachige Informationsseite zu der so genannten „Schmelze“ Meltdown (PDF) und dem „Schreckgespenst“ Spectre (PDF) gibt’s schon – inklusive Icons. Wer sich für die technischen Unterschiede der beiden Sicherheitslücken im Detail interessiert, kann dort Informationen abrufen.

Meltdown – Spectre: Hier gibt’s Ihre Sicherheitsupdates

Mal davon abgesehen, dass Systemaktualisierungen wie auch ein grundlegendes Patch-Management zum Basis-Schutz Ihrer IT zählen, können Sie derzeit selbst nicht wirklich viel tun – außer folgende Sicherheitstipps zu beachten und Vorsichtmaßnahmen zu ergreifen. Sowohl das BSI als auch die betroffenen Konzerne wie Intel empfehlen Ihnen, nach verfügbaren Sicherheitsupdates für Ihre Betriebssysteme und insbesondere Browser zu suchen und diese sofort einzuspielen. Hier kommen Tipps und Links zu aktuell verfügbaren Sicherheitsupdates:

Google: Chrome – Android – Apps

Nutzer von Googles Browser Chrome und von Geräten mit Chrome OS (Chromebooks) brauchen die aktuelle Chrome-Version 63 oder Chrome OS 63 und müssen im Browser die Funktion „Website-Isolierung“  aktivieren. Dazu in die Adresszeile folgendes chrome://flags/#enable-site-per-process eingeben den ersten Punkt in der Liste aktivieren und den Browser neustarten. Die Nachfolgeversion Chrome 64 enthält dann direkt einen Patch für Meltdown und Spectre. Sie wird am 23. Januar veröffentlicht. Laut Google sind Geräte mit dem aktuellem Sicherheitsupdate (Stand 5. Januar) geschützt. Außerdem können auch Android-Nutzer die Funktion Webseiten-Isolierung so aktivieren. Neuere Android und Googles eigene Pixel-Smartphones (Nexus 5X, Nexus 6P, Pixel C, Pixel/XL und Pixel 2/XL) seien sowieso sicher, wie auch Google-Apps.

Microsoft: Windows – Edge – Azure

Microsoft hat seinen monatlichen Patchday aufgrund der Sicherheitslücken Meltdown und Spectre vorgezogen. Das Update hat die Kennung KB4056892. Windows 10 Nutzer sollen es automatisch erhalten. Nutzer von Windows 7 und Windows 8.1  werden am Dienstag, 16. Januar, zum regulären Patchday damit versorgt. Wenn sich das Software-Update nicht automatisch einspielt, sollten Sie in der Systemsteuerung unter „Windows Update“ nachschauen. Sie können das Update aber auch bereits jetzt manuell über den Microsoft-Update-Katalog herunterladen. Das Gleiche gilt für den Microsoft-Browser Edge. Übrigens: Seine Cloud-Dienste und Server (Microsoft Azure) hat Microsoft nach eigenen Angaben mit neuer Firmware und Software-Patches aktualisiert und abgesichert.

Das gleiche gelte nach jeweiligen Unternehmensauskünften auch für Amazon Web Services (AWS) und die Google-Cloud.

Apple: Mac OS – iOS – Apple Watch – Safari

Nach Apple-Angaben enthält die aktuelle Mac-OS-Version 10.13.2 bereits einen Patch. Weitere Verbesserungen seien geplant – mit Mac OS 10.13.3. Es befinde sich bereits in der Beta-Phase. Auch für mobile Geräte von Apple wie iPhones und iPads gebe es bereits entsprechende Updates: Mit der iOS-Version 11.2 sei bereits das mögliche Ausnutzen dieser Lücke erschwert worden. Der Apple-Browser Safari soll laut Entwickler Apple in den nächsten Tagen ein Update erhalten, das die Sicherheitslücken Meltdown und Spectre softwareseitig schließen soll. Die Apple Watch sei von Meltdown und Spectre nicht betroffen.

Mozilla

Für den Firefox-Browser will Entwickler Mozilla einige Maßnahmen umsetzen, die ein Ausnutzen der Prozessor-Schwachstellen Meltdown und Spectre erschweren. Zuerst werde dies beim aktuellen Firefox 57 umgesetzt.

Linux

Für Linux-basierte Systeme gibt es den Patch KAISER für die Sicherheitslücke Meltdown.

Die Sicherheitslücken Meltdown und Spectre zeigen, wie grundlegend wichtig es ist, einen Überblick über aktuelle Updates zu haben und diese regelmäßige einzuspielen. Dafür fehlt Ihnen Zeit und Lust? Sie können diese Aufgabe delegieren, beispielsweise an die IT-Dienstleister des Kompetenz-Verbunds IT-SERVICE.NETWORK. Ein umfassendes und fortlaufendes Patch Management ist ein Bestandteil der angebotenen IT-Services.

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses Akismet to reduce spam. Learn how your comment data is processed.