Update zu diesem Artikel
Microsoft, Linux, Google und Apple begannen mit dem Ausrollen von Patches, die Designfehler in Prozessorchips adressieren, die von Sicherheitsforschern als "Meltdown" und "Spectre" benannt wurden. Dieser Beitragt fasst zusammen was Sie über diese Fehler wissen müssen:
Was sind Meltdown und Spectre?
Meltdown, als CVE-2017-5754 bezeichnet, kann es Hackern ermöglichen, privilegierten Zugriff auf Teile des Arbeitsspeichers eines Computers zu erhalten, die von einer Anwendung/einem Programm und dem Betriebssystem verwendet werden. Die Meltdown Lücke betrifft Intel-Prozessoren.Spectre, bezeichnet als CVE-2017-5753 und CVE-2017-5715, kann es Angreifern ermöglichen, Informationen zu stehlen, die in den Kernel/Cache Dateien oder Daten, die im Speicher laufender Programme gespeichert sind (Passwörter, Login-Keys, etc.). Spectre wirkt sich mutmaßlich auf Prozessoren von Intel, AMD und ARM aus.
Moderne Prozessoren sind so konzipiert, dass sie zukünftige Rechenoperation durch "spekulative Ausführung" vorbereiten. Die Prozessoren werden so leistungsfähiger, da sie die erwarteten Funktionen "spekulieren" können, und indem diese Spekulationen im Voraus in eine Warteschlange gestellt werden, können sie Daten effizienter verarbeiten und Anwendungen/Software schneller ausführen. Diese Technik erlaubt jedoch den Zugriff auf normalerweise isolierte Daten, so dass ein Angreifer möglicherweise einen Exploit senden kann, der auf die Daten zugreifen kann.
Was sind die Auswirkungen?
Intel-Prozessoren, die seit 1995 gebaut wurden, sind Berichten zufolge von Meltdown betroffen, während Spectre Geräte betrifft, die auf Intel, AMD und ARM-Prozessoren laufen. Meltdown hängt mit der Art und Weise zusammen, wie Privilegien verwendet werden. Spectre hingegen ermöglicht Zugriff auf sensible Daten die im Speicher der laufenden Anwendung abgelegt sind.Die potenziellen Auswirkungen sind weitreichend: Desktops, Laptops und Smartphones, die auf anfälligen Prozessoren laufen, können unbefugtem Zugriff und Datendiebstahl ausgesetzt sein. Cloud-Computing, virtuelle Umgebungen, Mehrbenutzer-Server - auch in Rechenzentren und Unternehmensumgebungen - die diese Prozessoren ausführen, sind betroffen.
Zusätzlich zu erwähnen ist, dass die Patches, die für Windows- und Linux-Betriebssysteme veröffentlicht wurden, die Systemleistung je nach Auslastung um 5 bis 30 Prozent reduzieren können.
Googles Project Zero verfügt über Proof-of-Concept Exploits, die gegen bestimmte Software arbeiten. Glücklicherweise berichteten Intel und Google, dass sie bisher noch keine Angriffe gesehen haben, die diese Schwachstellen aktiv ausnutzen.
Beheben die Patches Meltdown und Spectre?
Microsoft hat vor dem monatlichen Patch-Zyklus ein Sicherheits-Bulletin herausgegeben, um die Schwachstellen in Windows 10 zu beheben. Updates/Fixes für Windows 7 und 8 wurden am Patchday im Januar. Microsoft hat auch Empfehlungen und Best Practices für Clients und Server herausgegeben.Google hat Abhilfemaßnahmen für die betroffene Infrastruktur und Produkte (YouTube, Google Ads, Chrome, etc.) veröffentlicht. Außerdem wurde ein Security Patch Level (SPL) für Android veröffentlicht, der Updates abdeckt, die Angriffe, die Meltdown und Spectre ausnutzen könnten, weiter einschränken können. Ein separates Sicherheitsupdate für Android wurde ebenfalls am 5. Januar veröffentlicht. Man muss allerdings beachten, dass das Patchen auf Android aufgesplittet ist, so dass Benutzer ihre OEMs über die Verfügbarkeit informieren müssen. Nexus- und Pixel-Geräte können das Update automatisch herunterladen.
Berichten zufolge wurde Apples MacOS in der Version 10.13.2 gepatcht, Sicherheitsupdates für 10.12.6 sind gefolgt.64-Bit-ARM-Kernel sind ebenfalls aktualisiert worden. VMWare hat eine eigene Stellungnahme herausgegeben. Mozilla, dessen Team bestätigt hat, dass Browser basierte Angriffe möglich sein könnten, hat die Schwachstellen mit Firefox 57 behoben. Google kündigte an mit der Version 64 von Chrome einen Fix bereit zu stellen.