Spectre und Meltdown: CPU-Bugs sind laut Google schon seit Juni 2017 bekannt

Intel will sich schnell um die Sicherheitslücke in Prozessoren kümmern, die in den vergangenen Tagen für Furore gesorgt hat. Laut einer eigenen Stellungnahme arbeitet das Unternehmen dafür mit anderen Prozessorherstellern wie AMD und ARM Holdings zusammen. Über die Lücke können Angreifer auf Daten zugreifen, die im Kernel abgelegt sind, zum Beispiel Passwörter oder andere verschlüsselte Informationen.

Intel zufolge haben die Bugs nicht das Potenzial, Daten zu "korrumpieren, zu verändern oder zu löschen". Tatsächlich ist das simple Lesen von Daten der eigentliche Kern des Problems. Aus Intels Stellungnahme geht indirekt hervor, wann erste Patches für die Sicherheitslücken zu erwarten sind: Kommende Woche sollen diese wohl verteilt werden.

Erste Patches bereits verteilt oder in Planung

Microsoft scheint darauf nicht warten zu wollen und hat ein erstes Notfall-Update verteilt. Laut dem Onlinemagazin The Verge kann es auf Windows-10-Maschinen bereits heruntergeladen werden. Systeme mit installiertem Windows 7 oder 8 werden jedoch nicht vor nächstem Dienstag aktualisiert. Es ist wahrscheinlich, dass die Bugs dadurch nicht vollständig behoben werden.

Laut einem Blogpost hat Google ein Update für das Mobilbetriebssystem Android in Arbeit, das den Fehler für ARM-Prozessoren addressiert. Der Patch wird zum 5. Januar erwartet. Allerdings dürfte die Verteilung auf die vielen verschiedenen Android-Telefone länger dauern. Google Chrome wird ein Sicherheitsupdate am 23. Januar mit der Version 64 erhalten. Chromebooks und die GSuite-Software sollen nicht betroffen sein.

Apple äußerte sich bisher nicht klar zur Sicherheitslücke. Das Onlinemagazin Macrumor spricht von einem Fix für MacOS 10.13.2, der bereits im Dezember 2017 ausgerollt wurde. Allerdings ist das Problem wohl nur zum Großteil und nicht komplett behoben.

Der Teufel hat einen Namen: Spectre und Meltdown

Das Team von Googles IT-Sicherheitsabteilung Project Zero hat mitgeteilt, dass ihm der Fehler bereits seit dem 1. Juni 2017 bekannt gewesen sei. Er sei Herstellern wie AMD, ARM und Intel mitgeteilt worden. Es sind also nicht wie zunächst angenommen nur Intel-Prozessoren betroffen, sondern auch diverse andere Prozessoren - darunter AMD- und ARM-CPUs. Google teilt die Lücke in drei Kategorien ein und gibt diesen zwei Namen: Die ersten beiden Kategorien werden Spectre genannt, die dritte Meltdown.

Unter Spectre fasst Google den Fehler zusammen, dass durch falsch spekulierte Ausführung von Instruktionen einer CPU innerhalb des gleichen Prozesses eigentlich geschützte Daten ausgelesen werden können. Diese Lücke tritt sowohl bei Haswell-Xeon-Prozessoren von Intel als auch bei AMD-CPUs der FX- und der Pro-Serie auf. Auch der ARM Cortex A57 ist davon betroffen. Diese Variante nennt Google Bounds Check Bypass.

Unter den gleichen Namen stellt Google auch ein anderes Problem: Bei normalen Userrechten und voreingestellter Konfiguration können Lesezugriffe auf den virtuellen Speicher eines modernen Linux-Kernels vorgenommen werden, vorausgesetzt, der Rechner nutzt eine Intel-Haswell-Xeon-CPU. Die Lesegeschwindigkeit hat das Team mit etwa 2.000 Bytes pro Sekunde gemessen. Sollte die Just-in-Time-Kompilierung des BPF im Kernel aktiviert sein, funktioniert diese Technik auch mit AMD-Pro-CPUs. Das ist aber nicht die Voreinstellung.

Google konnte Spectre auch für eine Kernel Virtual Machine bei Nutzung der Intel-Xeon-CPU reproduzieren, die mit virt-manager betrieben wird. Allerdings haben die Tester dazu eine alte Kernelversion von Debian verwendet. Der Kernelspeicher des VM-Hosts kann dadurch mit einer Transferrate von 1.500 Bytes pro Sekunde gelesen werden. Je nach Größe des RAM dauert die Initialisierung eine Zeit lang - bei 64 GByte sind es 10 bis 30 Minuten. Dieser Fehler wird von Google Branch Target Injection genannt.

Meltdown betrifft wohl nur Intel-CPUs

Der zweite Fehler, Meltdown, ermöglicht Prozessen mit herkömmlichen Nutzerrechten das Auslesen von Kernelspeicher unter bestimmten Bedingungen. Google geht davon aus, dass die angreifbaren Daten des Kernels im L1D-Cache des Prozessors abgelegt sein müssen, damit der Zugriff funktioniert. Hier kommt das Problem mit der spekulativen Ausführung bei Intel-Prozessoren zum Tragen. Prozessoren anderer Hersteller sind laut Google vom Rogue Data Cache Load genannten Fehler vorerst nicht betroffen.

Zu Meltdown äußerte sich auch Linux-Entwickler Linus Torvalds in einer Nachricht. Er hat keine guten Worte für Intel übrig: "Ein kompetenter CPU-Entwickler würde das beheben, indem er sicherstellt, dass spekulative Ausführung nicht über geschützte Bereiche hinaus auftritt", schrieb er. Er rief auch Intel dazu auf, den Fehler offen und ehrlich zuzugeben, statt "PR-Geschwafel" abzugeben.

AMD sieht sich nur teilweise betroffen

In einer separaten Stellungnahme meldet sich Intel-Konkurrent AMD zu Wort. Es sieht sich nur von Spectre betroffen. Sicherheitsingenieure des Unternehmens teilen den Fehler wie Google in drei Kategorien auf: Bounds Check Bypass, Branch Target Injection und Rogue Data Cache Load. Der erste Fehler solle durch Betriebssystemaktualisierungen von Drittanbietern behoben werden. Dabei sei eine "vernachlässigbar kleine" Leistungseinbuße zu erwarten.

Eine Gefahr durch die zweite, Branch Target Injection genannte Variante, sieht AMD fast nicht bestehen. Bisher sei dieser Angriff noch auf keinem AMD-Prozessor nachgestellt worden. Variante drei sei gar nicht auf AMD-Prozessoren möglich, da sich die Architektur von Intels Prozessoren unterscheide.

Nachtrag vom 5. Januar 2018, 9:25 Uhr

Apple teilt in einem Blogpost mit, dass alle Geräte des Herstellers von Spectre oder Meltdown betroffen sind, auf denen MacOS oder iOS läuft. Die Apple Watch sei jedoch nicht von Meltdown betroffen. Außerdem haben MacOS 10.13.2, iOS 11.2 und tvOS 11.2 bereits Patches gegen Meltdown erhalten, die das Problem aber wohl nicht vollständig beheben. In den kommenden Tagen will Apple einen Patch gegen Spectre für den Browser Safari bereitstellen. Kommende Updates für iOS, MacOS und tvOS sollen weitere Maßnahmen gegen die Sicherheitslücken implementieren. Bis dahin rät Apple seinen Nutzern, nur Software aus vertrauenswürdigen Quellen zu installieren.