Spectre & Meltdown: Prozessor-Sicherheitslücke sorgt für Wirbel

Zwei von Google veröffentlichte Sicherheitslücken, die praktisch die meisten aktuellen Prozessoren von verschiedenen Herstellern betreffen, sorgen derzeit für sehr viel Wirbel.

Sicherheitsforscher von Google haben im Rahmen des Project Zero mit Meltdown und Spectre Angriffsszenarien veröffentlicht, mit denen eine Sicherheitslücke in aktuellen Prozessoren ausgenutzt werden kann.

Intel ist zuerst in den Fokus der Berichterstattung geraten – aber das Problem scheint auch bei anderen Prozessoren zu bestehen: potentiell können Programme auf andere Speicherbereiche zugreifen, und von dort aus Daten auslesen. Dies gefährdet praktisch jegliche Daten, gerade für Cloud-Anbieter mit den unterschiedlichsten Kunden und Applikationen auf einer physikalischen Maschine ist dies kritisch. Genauso sind jedoch private Daten in Gefahr, so könnte zum Beispiel ein Passwort-Manager ausgelesen werden.

Für den Linux-Kernel gibt es bereits Patches, Version 4.14.11 wurde bereits mit entsprechenden Änderungen aktualisiert. Ältere Kernel-Versionen sollen auch entsprechende Patches bekommen.

Laut Google sind nicht nur Intel-CPUs, sondern auch Rechenwerke von AMD und ARM betroffen – und damit auch mobile Betriebssysteme wie Android oder iOS. Für Android wurde die Lücke mit dem Security-Update vom 2. Januar 2018 gefixt – hier ergibt sich wieder das Problem von Android-Versionen, die keine Update vom Hersteller des Handys mehr bekommen und damit nicht mit den aktuellen Patches versorgt werden.

Allgemein ist die Situation sehr undurchsichtig. Fest steht vor allem, dass alle Big-Player, egal ob Software- oder Prozessor-Hersteller, in hektische Betriebsamkeit verfallen sind. Microsoft hat in der Nacht zum 04.01. ein Update veröffentlicht, das allerdings noch Inkompatibilitäten mit einigen Virenscannern verursacht. Was die genauen Auswirkungen der Lücke sind, welche Performance-Einbußen sich gegebenenfalls aus mit den Patches ergeben und ab welcher Hardware-Version keine Software-Fixes mehr nötigt sein werden.

Weitere Informationen:

  • Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates (heise.de)
  • Massive Lücke in Intel-CPUs erfordert umfassende Patches (heise.de)
  • CPU-Bugs sind laut Google schon seit Juni 2017 bekannt
  • Gespenstische Unsicherheit (Spiegel Online)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Name *