Abo
  • Services:
Anzeige
Google tauft die CPU-Sicherheitslücken Spectre und Meltdown.
Google tauft die CPU-Sicherheitslücken Spectre und Meltdown. (Bild: Pixabay/Montage: Golem.de/CC0 1.0)

Spectre und Meltdown: CPU-Bugs sind laut Google schon seit Juni 2017 bekannt

Google tauft die CPU-Sicherheitslücken Spectre und Meltdown.
Google tauft die CPU-Sicherheitslücken Spectre und Meltdown. (Bild: Pixabay/Montage: Golem.de/CC0 1.0)

Nicht nur Intel ist von der gravierenden Sicherheitslücke in Prozessoren betroffen, durch die Angreifer heikle Daten auslesen können. Googles Project Zero erklärt die Funktionsweise der Speicher-Leaks und Linus Torvalds erwartet Ehrlichkeit. Auch Apple hat sich bereits zu Wort gemeldet.

Intel will sich schnell um die Sicherheitslücke in Prozessoren kümmern, die in den vergangenen Tagen für Furore gesorgt hat. Laut einer eigenen Stellungnahme arbeitet das Unternehmen dafür mit anderen Prozessorherstellern wie AMD und ARM Holdings zusammen. Über die Lücke können Angreifer auf Daten zugreifen, die im Kernel abgelegt sind, zum Beispiel Passwörter oder andere verschlüsselte Informationen.

Anzeige

Intel zufolge haben die Bugs nicht das Potenzial, Daten zu "korrumpieren, zu verändern oder zu löschen". Tatsächlich ist das simple Lesen von Daten der eigentliche Kern des Problems. Aus Intels Stellungnahme geht indirekt hervor, wann erste Patches für die Sicherheitslücken zu erwarten sind: Kommende Woche sollen diese wohl verteilt werden.

Erste Patches bereits verteilt oder in Planung

Microsoft scheint darauf nicht warten zu wollen und hat ein erstes Notfall-Update verteilt. Laut dem Onlinemagazin The Verge kann es auf Windows-10-Maschinen bereits heruntergeladen werden. Systeme mit installiertem Windows 7 oder 8 werden jedoch nicht vor nächstem Dienstag aktualisiert. Es ist wahrscheinlich, dass die Bugs dadurch nicht vollständig behoben werden.

Laut einem Blogpost hat Google ein Update für das Mobilbetriebssystem Android in Arbeit, das den Fehler für ARM-Prozessoren addressiert. Der Patch wird zum 5. Januar erwartet. Allerdings dürfte die Verteilung auf die vielen verschiedenen Android-Telefone länger dauern. Google Chrome wird ein Sicherheitsupdate am 23. Januar mit der Version 64 erhalten. Chromebooks und die GSuite-Software sollen nicht betroffen sein.

Apple äußerte sich bisher nicht klar zur Sicherheitslücke. Das Onlinemagazin Macrumor spricht von einem Fix für MacOS 10.13.2, der bereits im Dezember 2017 ausgerollt wurde. Allerdings ist das Problem wohl nur zum Großteil und nicht komplett behoben.

Der Teufel hat einen Namen: Spectre und Meltdown

Das Team von Googles IT-Sicherheitsabteilung Project Zero hat mitgeteilt, dass ihm der Fehler bereits seit dem 1. Juni 2017 bekannt gewesen sei. Er sei Herstellern wie AMD, ARM und Intel mitgeteilt worden. Es sind also nicht wie zunächst angenommen nur Intel-Prozessoren betroffen, sondern auch diverse andere Prozessoren - darunter AMD- und ARM-CPUs. Google teilt die Lücke in drei Kategorien ein und gibt diesen zwei Namen: Die ersten beiden Kategorien werden Spectre genannt, die dritte Meltdown.

Unter Spectre fasst Google den Fehler zusammen, dass durch falsch spekulierte Ausführung von Instruktionen einer CPU innerhalb des gleichen Prozesses eigentlich geschützte Daten ausgelesen werden können. Diese Lücke tritt sowohl bei Haswell-Xeon-Prozessoren von Intel als auch bei AMD-CPUs der FX- und der Pro-Serie auf. Auch der ARM Cortex A57 ist davon betroffen. Diese Variante nennt Google Bounds Check Bypass.

Unter den gleichen Namen stellt Google auch ein anderes Problem: Bei normalen Userrechten und voreingestellter Konfiguration können Lesezugriffe auf den virtuellen Speicher eines modernen Linux-Kernels vorgenommen werden, vorausgesetzt, der Rechner nutzt eine Intel-Haswell-Xeon-CPU. Die Lesegeschwindigkeit hat das Team mit etwa 2.000 Bytes pro Sekunde gemessen. Sollte die Just-in-Time-Kompilierung des BPF im Kernel aktiviert sein, funktioniert diese Technik auch mit AMD-Pro-CPUs. Das ist aber nicht die Voreinstellung.

Google konnte Spectre auch für eine Kernel Virtual Machine bei Nutzung der Intel-Xeon-CPU reproduzieren, die mit virt-manager betrieben wird. Allerdings haben die Tester dazu eine alte Kernelversion von Debian verwendet. Der Kernelspeicher des VM-Hosts kann dadurch mit einer Transferrate von 1.500 Bytes pro Sekunde gelesen werden. Je nach Größe des RAM dauert die Initialisierung eine Zeit lang - bei 64 GByte sind es 10 bis 30 Minuten. Dieser Fehler wird von Google Branch Target Injection genannt.

Meltdown betrifft wohl nur Intel-CPUs

Der zweite Fehler, Meltdown, ermöglicht Prozessen mit herkömmlichen Nutzerrechten das Auslesen von Kernelspeicher unter bestimmten Bedingungen. Google geht davon aus, dass die angreifbaren Daten des Kernels im L1D-Cache des Prozessors abgelegt sein müssen, damit der Zugriff funktioniert. Hier kommt das Problem mit der spekulativen Ausführung bei Intel-Prozessoren zum Tragen. Prozessoren anderer Hersteller sind laut Google vom Rogue Data Cache Load genannten Fehler vorerst nicht betroffen.

Zu Meltdown äußerte sich auch Linux-Entwickler Linus Torvalds in einer Nachricht. Er hat keine guten Worte für Intel übrig: "Ein kompetenter CPU-Entwickler würde das beheben, indem er sicherstellt, dass spekulative Ausführung nicht über geschützte Bereiche hinaus auftritt", schrieb er. Er rief auch Intel dazu auf, den Fehler offen und ehrlich zuzugeben, statt "PR-Geschwafel" abzugeben.

AMD sieht sich nur teilweise betroffen

In einer separaten Stellungnahme meldet sich Intel-Konkurrent AMD zu Wort. Es sieht sich nur von Spectre betroffen. Sicherheitsingenieure des Unternehmens teilen den Fehler wie Google in drei Kategorien auf: Bounds Check Bypass, Branch Target Injection und Rogue Data Cache Load. Der erste Fehler solle durch Betriebssystemaktualisierungen von Drittanbietern behoben werden. Dabei sei eine "vernachlässigbar kleine" Leistungseinbuße zu erwarten.

Eine Gefahr durch die zweite, Branch Target Injection genannte Variante, sieht AMD fast nicht bestehen. Bisher sei dieser Angriff noch auf keinem AMD-Prozessor nachgestellt worden. Variante drei sei gar nicht auf AMD-Prozessoren möglich, da sich die Architektur von Intels Prozessoren unterscheide.

Nachtrag vom 5. Januar 2018, 9:25 Uhr

Apple teilt in einem Blogpost mit, dass alle Geräte des Herstellers von Spectre oder Meltdown betroffen sind, auf denen MacOS oder iOS läuft. Die Apple Watch sei jedoch nicht von Meltdown betroffen. Außerdem haben MacOS 10.13.2, iOS 11.2 und tvOS 11.2 bereits Patches gegen Meltdown erhalten, die das Problem aber wohl nicht vollständig beheben. In den kommenden Tagen will Apple einen Patch gegen Spectre für den Browser Safari bereitstellen. Kommende Updates für iOS, MacOS und tvOS sollen weitere Maßnahmen gegen die Sicherheitslücken implementieren. Bis dahin rät Apple seinen Nutzern, nur Software aus vertrauenswürdigen Quellen zu installieren.


eye home zur Startseite
Sascha Klandestin 09. Jan 2018

Die Heizung steuern. SCNR

Themenstart

Niaxa 07. Jan 2018

Wir können gerne mal Ne Teamviewer Session starten.

Themenstart

BilboNeuling 07. Jan 2018

Solche Sprüche wie: dann muss man Geräte kaufen die lange mit Updates versorgt werden...

Themenstart

M.P. 05. Jan 2018

Ich werde sofort den teuren DOM Schließzylinder mit solch einem Schlüssel.... http://www...

Themenstart

cicero 05. Jan 2018

. Einfach Win 98 oder DOS installieren, dann wird der Rechner wieder schneller! ;-) . P...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Flottweg SE, Vilsbiburg Raum Landshut
  2. Bertrandt Ingenieurbüro GmbH, München
  3. Robert Bosch GmbH, Reutlingen
  4. Satisloh GmbH, Wetzlar


Anzeige
Blu-ray-Angebote
  1. 61,99€
  2. (Blu-rays, 4K UHDs, Box-Sets und Steelbooks im Angebot)
  3. 29,97€

Folgen Sie uns
       


  1. Omega Timing

    Kamera mit 2.000 x 1 Pixeln sucht Sieger

  2. Autonomes Fahren

    Waymo testet in Atlanta

  3. Newsletter-Dienst

    Mailchimp verrät E-Mail-Adressen von Newsletter-Abonnenten

  4. Gegen FCC

    US-Bundesstaat Montana verlangt Netzneutralität für Behörden

  5. Digital Rights Management

    Denuvo von Sicherheitsanbieter Irdeto gekauft

  6. Android 8.1

    Oreo erkennt Qualität von WLAN-Netzwerk vor Verbindung

  7. Protektionismus

    Trump-Regierung verhängt Einfuhrzölle auf Solarzellen

  8. Stylistic Q738

    Fujitsus 789-Gramm-Tablet strahlt mit 1.300 cd/m²

  9. Far Cry 5

    Vier Hardwareanforderungen für Hope County

  10. Quartalsbericht

    Netflix wächst trotz Preiserhöhung stark



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

BeA: Soldan will Anwälten das Internet ausdrucken
BeA
Soldan will Anwälten das Internet ausdrucken
  1. BeA Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein
  2. Chipkarten-Hersteller Thales übernimmt Gemalto
  3. Atos Gemalto bekommt 4,3-Milliarden-Euro-Angebot

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. NetzDG Streit mit EU über 100-Prozent-Löschquote in Deutschland
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Nutzen?

    ikhaya | 13:06

  2. Re: Elektroautos waren nie unbeliebt in Deutschland

    JackIsBlack | 13:05

  3. Re: Erste Anlage zum aktiven Climaforming

    Der Spatz | 13:05

  4. Re: Der Basispreis war doch bloss PR

    |=H | 13:05

  5. Re: Alexa, wo ist das nächste Freudenhaus?

    Insomnia88 | 13:05


  1. 12:07

  2. 12:06

  3. 11:46

  4. 11:31

  5. 11:17

  6. 10:54

  7. 10:39

  8. 10:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel