04.01.2018, 16:14 von Redaktion CHIP/DPA
Im Laufe der vergangen Woche begannen erste Informationen durchzusickern - jetzt haben Sicherheitsforscher die wohl größte Sicherheitslücke der letzten Jahre öffentlich gemacht. Anders als zunächst angenommen, sind nicht nur Intel-Prozessoren betroffen, sondern auch unzählige andere Geräte.
In Computerchips von Milliarden Geräten ist eine Sicherheitslücke entdeckt worden, durch die Angreifer an vertrauliche Daten kommen könnten. Forscher demonstrierten, dass es möglich sei, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen. Die Tech-Firmen sind dabei, die Lücke mit Software-Aktualisierungen zu stopfen.Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden. Diese als "speculative execution" bekannte Technik wird seit Jahren von diversen Anbietern eingesetzt. Damit dürfte eine Masse von Computer-Geräten zumindest theoretisch bedroht sein.
Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei, erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen können, denn die Attacken hinterließen keine Spuren in traditionellen Log-Dateien.
Veröffentlichung der Sicherheitslücke nach Gerüchten vorgezogen
Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an einer Lösung gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle bereits ausgenutzt worden sei. Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig dafür seien.
Die Sicherheitslücke war bereits vor einiger Zeit entdeckt worden. Die Tech-Industrie arbeitete seitdem daran, die Schwachstelle mit Software-Updates zu schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9. Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, "irreführenden Berichten" zu widersprechen und betonte, es handele sich um ein allgemeines Problem.
"Meltdown" und "Spectre" erschüttern die Tech-Branche
Die Forscher, die unter anderem bei Google arbeiten, beschrieben zwei Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen "Meltdown" gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig - sie kann aber mit Software-Updates gestopft werden.Die zweite Attacke, "Spectre", lässt zu, dass Programme einander ausspionieren können. "Spectre" sei schwerer umzusetzen als "Meltdown" - aber es sei auch schwieriger, sich davor zu schützen. Man könne aber zumindest bekannte Schadsoftware durch Updates stoppen. Von "Spectre" seien "fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones", erklärten die Forscher. Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.
Sicherheitsupdates verschlechtern die Leistung
Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In ersten Berichten war noch von bis zu 30 Prozent die Rede.Besonders brenzlig werden könnte das Problem zumindest theoretisch in Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Die Cloud-Schwergewichte Google, Microsoft und Amazon sicherten ihre Dienste mit Software-Updates.
In den vergangenen Jahren hatten die Tech-Unternehmen ihre Geräte und Dienste unter anderem mit Verschlüsselung abgesichert - gingen dabei jedoch davon aus, dass von den Prozessoren selbst keine Gefahr droht.
Was können Sie tun? Jetzt Updates installieren!
Von diesen Sicherheitslücken dürfte nahezu jeder betroffen sein, der einen Computer oder ein Mobilgerät verwendet. Daher sollten Sie umgehend die Sicherheits-Updates für die Betriebssysteme Ihrer Geräte installieren, sobald sie verfügbar sind.
Während Linux-Systeme in den vergangenen Wochen schon erste Patches erhalten haben, hat nun auch Microsoft nachgezogen, zumindest für Windows 10. Heute, und damit 6 Tage vor dem nächsten offiziellen Patchday, hat Microsoft das Sicherheitsupdate KB4056890 bereitgestellt, das via Windows Update automatisch installiert wird und die Sicherheitslücke schließen soll. Updates für Windows 8 und 7 erwarten wir ebenfalls in Kürze.
Apple wird ebenfalls in Kürze ein Update für macOS veröffentlichen. Die Version 10.13.3 soll das Problem endgültig beheben. Laut Apple hat jedoch bereist das Anfang Dezember veröffentlichte Update 10.13.2 die Sicherheitslücke adressiert.
Quelle: Mega-Sicherheitslücke erschüttert Tech-Welt: Prozessor-Fehler betrifft Milliarden Geräte - CHIP
Meltdown & Spectre
Super-GAU: Massive Sicherheitslücken in CPUs von Intel, AMD & Co.
Sicherheitsforscher haben die massiven Prozessor-Schwachstellen Meltdown und Spectre aufgedeckt. Sie betreffen nahezu alle modernen CPUs von AMD, Intel und ARM. Für Windows und Linux werden bereits Notfall-Patches verteilt.
Nach den Spekulationen vom Mittwoch um eine schwere Sicherheitslücke in Intel-Prozessoren, gibt es nun Gewissheit: Google Project Zero veröffentlichte heute ausführliche Informationen zu den Meltdown und Spectre getauften Schwachstellen. Diese betreffen im Widerspruch zu den Gerüchten vom Vortag nicht nur alle Intel-CPUs seit 1995 sondern offenbar nahezu alle modernen Prozessoren - also auch von AMD und ARM.
Wichtiger Hinweis: Alle aktuellen Informationen zu Meltdown und Spectre erfahren Sie ausführlich in unserer FAQ Meltdown & Spectre: Was Sie über die CPU-Sicherheitslücken wissen müssen.
Microsoft hat zum Patch-Day bereits einen Notfall-Patch angekündigt, der für Windows 10 bereits ausgerollt wird. Auch für Linux steht ein Patch schon bereit. Android soll mit dem kommenden Januar-Sicherheitspatch versorgt werden. Doch während gegen die Meltdown-Attacke Fixes eingespielt werden können, ist die Spectre-Schwachstelle in der grundlegenden CPU-Architektur angelegt. Die Sicherheitslücke ist laut den Forschern zwar schwer auszunutzen - aber auch sehr schwer zu schließen. Lediglich gegen bekannte Attacken können Softwareentwickler Schutzmaßnahmen treffen.
Intel droht der Super-GAU: Notfall-Patches könnten CPUs verlangsamen [Originalmeldung vom 3. Januar]
Ein schwerer, sicherheitsrelevanter Designfehler in Intel-CPUs könnte womöglich dramatische Konsequenzen nach sich ziehen. Wie das IT-Magazin The Register berichtet, soll ein Bug entdeckt worden sein, der alle Intel-Prozessoren mit Virtual-Memory-Support betrifft, die in den vergangenen 10 Jahren hergestellt wurden. Aktuell soll die Schwachstelle noch unter Embargo sein. Intel hat sich noch nicht offiziell geäußert.
Windows- und Linux-Entwickler sollen aktuell an Patches arbeiten, die die Intel-Sicherheitslücke auf Kernel-Ebene schließen. Auch Apples MacOS soll ein Update benötigen. Besonders brisant: Diese Kernel-Anpassungen könnten laut dem Bericht von The Register zu Performance-Verlusten von 5 bis 30 Prozent führen - je nach Prozessor-Modell und Anwendungsfall. Noch sollen hier Benchmarks durchgeführt werden - sollten sich diese Gerüchte jedoch bewahrheiten, so wären sie für Intel der Super-GAU.
Da die Sicherheitslücke noch nicht veröffentlicht wurde gibt es bisher nur Spekulationen über ihre Ursache und mögliche Auswirkugnen. Kurz zusammengefasst soll es der Bug Hackern und Malware ermöglichen, unberechtigt auf Speicherbereiche der CPU zuzugreifen und so etwa Inhalte wie Passwörter, Login-Daten, gecachte Dateien und mehr auszulesen. Die kommenden Patches für Windows und Linux sollen derartige Memory Leaks unterbinden
AMD-Prozessoren nicht betroffen?
Beruhigt sein dürfen dagegen offenbar Besitzer von AMD-CPUs. Die Prozessoren des Intel-Konkurrenten sollen laut bisherigen Informationen aufgrund ihrer andersartigen Microarchitektur nicht von der Schwachstelle betroffen seien. Diese unterstütze laut einem AMD-Entwickler nicht spekulative Speicherreferenzen, welche für die unerlaubte Rechteausweitung bei Intel-CPUs verantwortlich seien.
+++ Update: Während die Meltdown-Attacke offenbar auf Intel-CPUs beschränkt ist, gilt die Spectre-Sicherheitslücke auch für Prozessoren von AMD und ARM. +++
Sobald die Patches für Windows und Linux ausgerollt werden, dürften verlässliche Informationen über die Intel-Sicherheitslücke an die Öffentlichkeit gelangen. Wir halten Sie auf dem Laufenden.
4.1.2018 von Manuel Medicus
Quelle: Super-GAU: Massive Sicherheitslücken in CPUs von Intel, AMD & Co. - PC Magazin
Android-Sicherheitsupdate
Googles Android-Patch für Januar schützt vor Spectre
Mit dem Januar-Patch von Android schließt Google die aktuelle Spectre-Sicherheitslücke. Durch sie können sicherheitsrelevante Daten wie Passwörter aus dem Systemspeicher ausgelesen werden.
Hört man den Namen Spectre, denkt man vielleicht erst einmal an den letzten James-Bond-Film aus dem Jahr 2015. Im Film steht der Name für eine gegnerische Organisation. Eventuell ist die Namensgebung für die aktuelle Prozessor-Sicherheitslücke also nicht ganz zufällig gewählt. Wie Anfang Januar bekannt wurde, haben Google-Forscher des auf IT-Sicherheit spezialisierten Project Zero mit Spectre eine schwere Sicherheitslücke entdeckt, die CPUs aller namenhaften Hersteller wie Intel, AMD und ARM betrifft. Die Experten konnten ebenfalls ein mögliches Angriffsszenario feststellen, das bislang nur bei Intel-Prozessoren funktionieren könnte und tauften die Sicherheitslücke Meltdown.
Da die Prozessoren der Hersteller nicht nur in Laptops oder Desktop-PCs zum Einsatz kommen, sind auch Smartphones mit Android-Betriebssystem sowie Cloud Server betroffen. Wie Google auf seinem Sicherheits-Blog bekannt gab, lässt sich durch die Schwachstellen der Systemspeicher laufender Anwendungen auslesen. Somit könnten sensitive Information, Passwörter und Verschlüsselungs-Codes in die Hände von Angreifern fallen. Das Ausnutzen der Spectre-Schwachstelle bei Android-Geräten ist laut Google schwierig. Google ist bislang offenbar noch kein erfolgreicher Versuch bekannt. Meltdown soll hingegen leichter ausführbar sein. Das Unternehmen hat nun einen Sicherheits-Patch für Android in Umlauf gebracht, der vor Attacken mithilfe der Spectre- und Meltdown-Sicherheitslücken schützen soll.
Googles G-Suite-Anwendungen bereits sicher vor Spectre
Anwendungen der G-Suite wie Gmail, Google Drive oder Calender sind bereits sicher und benötigen kein gesondertes Update durch den Nutzer. Anders sieht es beim mobilen Betriebssystem Android aus. Im aktuellsten Android Security Bulletin gibt Google an, mit dem Januar-Patch auch die Spectre-Sicherheitslücke zu schließen.
Wer also ein Android-Smartphone sein Eigen nennt, sollte den Januar-Sicherheits-Patch installieren, sobald er verfügbar ist. Googles eigene Pixel- und Nexus-Smartphones sind klassischerweise die ersten Geräte in der Update-Kette. Wann und wie schnell Hersteller wie Samsung oder Huawei das Update verteilen, ist nicht bekannt.
Auf seiner Support-Seite hat Google bekannt gegeben, welche hauseigenen Produkte und Software von Spectre betroffen sind, bereits mit einem Update versorgt wurden oder demnächst versorgt werden. Hardware wie Google Home, Google Wifi und Chromecast sind übrigens nicht von der Sicherheitslücke befallen.
Bei unseren Kollegen vom PC Magazin finden Sie alle aktuellen Infos zu den Sicherheitslücken Meltdown und Spectre.
4.1.2018 von Lennart Holtkemper
Quelle: Googles Android-Patch für Januar schützt vor Spectre - connect