Am Mittwoch haben Forscher schwerwiegende Schwachstellen in aktuellen Prozessoren enthüllt. Die präsentierten Angriffsmethoden Meltdown und Spectre betreffen praktisch jeden Intel-Rechner, der in den vergangenen zwei Jahrzehnten gebaut wurde. Angreifbar sind aber auch gewisse AMD- und ARM-Chips, die in Notebooks, Tablets und Smartphones stecken.
Seit letzter Nacht wissen wir (offiziell), dass auch sämtliche Macs und iOS-Geräte wie das iPhone betroffen sind.
Und auch Web-Browser müssen abgesichert werden.
Dieser Beitrag listet alle wichtigen Informationen rund um Meltdown und Spectre aus User-Sicht auf. Und zwar zu:
(Stand: 5. Januar 2018).
Das Wichtigste in Kürze (falls du gestern in einer Höhle ohne Internetverbindung verbracht hast 😉):
Die gute Nachricht: Die Hersteller sind dran, so schnell wie möglich System-Updates («Patches») zu veröffentlichen, um die publik gemachten Sicherheitslücken so weit es geht zu schliessen oder die Risiken zumindest abzuschwächen.
Was den Kauf neuer Hardware betrifft, kann man derzeit eigentlich nur zum Abwarten raten. Noch liegen viele Informationen nicht vor. Wir wissen in vielen Fällen nicht, wie stark neue Sicherheits-Updates die Geräte ausbremsen werden ...
Im Internet kursieren bereits erste Demonstrationen, wie sich die Angriffsmethoden zum Stehlen von Passwörtern nutzen lassen. Wobei die verantwortungsbewussten Sicherheitsforscher den Programmcode erst später veröffentlichen wollen.
Using #Meltdown to steal passwords in real time #intelbug #kaiser #kpti /cc @mlqxyz @lavados @StefanMangard @yuvalyarom https://t.co/gX4CxfL1Ax pic.twitter.com/JbEvQSQraP
— Michael Schwarz (@misc0110) 4. Januar 2018
#Meltdown- und #Spectre-sichere Systeme für den akuten Hochsicherheitsbedarf: Xbox 360, Wii, Wii U, PlayStation 3, Amiga, C64, Mac (<2006) ;-)
— Oliver P. Bayer (@kreon_nrw) 4. Januar 2018
Nope.
Zur Frage, ob Antiviren-Programme Angriffe erkennen können, schreiben die Forscher, die Spectre und Co. entdeckt haben:
Android-Geräte sind grundsätzlich betroffen.
User sollen ihr System auf dem neusten Stand halten und Sicherheit-Updates möglichst schnell installieren.
Laut Google wird ein Sicherheitsupdate von heute Freitag, 5. Januar, «Schadensminderungen» (Mitigations) enthalten, um Smartphones und Tablets zu schützen. Ausserdem sollen zukünftige Android-Updates weitere Korrekturen bringen.
Im Vorteil sind Nutzer, die Geräte mit «purem» Android haben. Sie erhalten die Sicherheits-Updates am schnellsten. Bei Pixel-Smartphones und anderen Google-Geräten muss nichts unternommen werden, Updates erfolgen automatisch.
Bei Android-Geräten von anderen Herstellern wie Samsung könnte es etwas länger dauern. Sofern es (bei älteren Modellen) überhaupt noch System-Software-Updates gibt.
Firefox ist grundsätzlich angreifbar.
Mozilla hat bereits ein Update für den populären Webbrowser veröffentlicht. User sollten die Software aktualisieren.
Mozilla Confirms Web-Based Execution Vector for Meltdown and Spectre Attacks https://t.co/bHWAvdLCSv #spectre #meltdown #firefox #chrome pic.twitter.com/STprVC4R5e
— Catalin Cimpanu (@campuscodi) 4. Januar 2018
Details gibt's im Mozilla Security Blog.
Auch hier gilt es, den Browser zu aktualisieren.
Am 23. Januar soll eine neue Version von Google Chrome für Desktop-Rechner und Mobilgeräte veröffentlicht werden, die vor webbasierten Angriffen schützt.
Wer nicht so lange warten will, kann ein experimentelles Feature namens «Site Isolation» aktivieren. CNET erklärt in diesem Beitrag, wie es geht.
Für Chrome auf iOS-Geräten (iPhone, iPad) sagt Google, dass Apple alle notwendigen Korrekturen liefern werde.
Weitere Infos gibt's hier bei heise.de.
Chromebooks sind oder werden laut Google automatisch vor den Schwachstellen geschützt, verspricht Google in diesem FAQ.
Vorsichtige können noch vor der Veröffentlichung von Patches die oben erwähnte Site Isolation aktivieren.
Gemäss Google sind Chromebooks mit ARM-Chips überhaupt nicht betroffen, und für diejenigen mit anderen Prozessoren (in der Regel Intel) gibt eine Behelfslösung ab der Chrome-OS-Version 63, die seit Mitte Dezember ausgeliefert wird.
Eine Liste mit Chrome-OS-Geräten, die keinen Patch erhalten, ist auf dieser Webseite zu finden. In der Spalte ganz rechts ist bei den entsprechenden Notebooks ein «No» zu finden.
Google sagt, dass abgesehen von Chrome und Chrome OS keine anderen Produkte durch Meltdown oder Spectre gefährdet seien. Sicher sind demnach laut CNET:
Microsoft hat bereits ein Sicherheitsupdate für Windows 10 veröffentlicht, um die Sicherheitslücken zu entschärfen. Allerdings könnte der Notfall-Patch Probleme verursachen.
Grundsätzlich lädt Windows 10 die notwendigen Sicherheitsupdates automatisch herunter und installiert sie häufig selbst. Was User verärgere: In der Regel erfordere dies einen vollständigen Neustart und einen langwierigen Shutdown-Prozess.
Es gibt laut The Verge Probleme mit mehreren Antiviren-Programmen, die die Installation des Patches verhindern. Sicherheitsforscher versuchten, eine Liste der unterstützten Antiviren-Software zu erstellen, aber die Situation sei chaotisch.
Gemäss dem Spectre-FAQ und Rückmeldungen bei Twitter wird derzeit für Windows daran gearbeitet, die System-Software gegen zukünftige Angriffsversuche abzusichern.
Erforderlich ist auch ein Firmware-Update, um zusätzlichen Hardware-Schutz zu gewährleisten. Das liegt aber in der Verantwortung der diversen PC-Hersteller, nicht nur von Microsoft.
Für den Internet Explorer liegt ebenfalls ein Update vor.
Erste Patches wurden bereits installiert.
Die grossen Cloud-Anbieter Microsoft und Amazon haben laut heise.de angekündigt, zwischen dem 5. und 10. Januar wichtige «Sicherheits- und Wartungs-Updates» auf ihren Server-Systemen (Azure, Amazon Web Services) aufzuspielen.
It’s cool when Amazon emails you to let you know about an apparent undisclosed critical Xen vulnerability to be published in January. pic.twitter.com/Dbrpx78VAd
— Jan Schaumann (@jschauma) 14. Dezember 2017
Zur Microsoft-Mitteilung für Azure-Nutzer geht's hier.
In allen neueren Desktop-Macs und Macbooks sind Intel-Prozessoren verbaut. Die Geräte sind also auch gefährdet. Dies hat Apple letzte Nacht in einem offiziellen Statement bestätigt. Und auch iOS-Geräte sind betroffen (siehe weiter unten).
Die Stellungnahme gibt's hier auf der Apple-Website.
Das Wichtigste: Solange man keine manipulierten Anwendungen installiert (und ausführt), soll keine Gefahr bestehen.
Mac-User müssen nichts unternehmen, falls ihre System-Software auf dem neusten Stand ist. Apple versichert, es seien bereits mit mehreren System-Updates so genannte «Schadensminderungen» (Mitigations) ausgeliefert worden.
Über Geschwindigkeitseinbussen ist nichts bekannt. Laut Apple sollen die Patches das System nicht messbar bremsen.
In iPhones und anderen iOS-Geräten laufen keine Intel-Prozessoren, sondern Eigenentwicklungen von Apple. Und diese Ein-Chip-Systeme, wie etwa der neueste A-Serie-Prozessor (A11 Bionic), werden von den Forschern, die die Sicherheitslücken publik gemacht haben, in ihrem FAQ nicht erwähnt.
Apple hat für seine A-Prozessoren aber ARM-Technik lizenziert und wie wir spätestens seit letzter Nacht wissen, sind auch auch alle iOS-Geräte von den Schwachstellen betroffen.
Apple-User können müssen allerdings vorläufig nichts tun, ausser ihre Software auf dem neusten Stand zu halten:
Auch hier gilt, dass iOS-User keine Anwendungen aus dubiosen Quellen installieren sollten, was aber sowieso nur möglich ist, wenn man das Gerät per Jailbreak «aufgebohrt» hat.
Mit der Spectre-Schwachstelle ein iOS-Gerät (oder einen Mac) erfolgreich zu attackieren, sei extrem schwierig, schreibt Apple. Selbst wenn eine manipulierte App auf dem Gerät laufe.
Weitere Sicherheit-Updates sollen folgen.
Ein gewisses Risiko besteht wegen der Spectre-Schwachstelle bei Apples eigenem Webbrowser für Macs und iOS-Geräte. Angreifer könnten via JavaScript Daten stehlen. Darum stellt Apple Safari-Updates für Macs, iPhone und Co. in Aussicht.
Die Geschwindigkeitseinbussen beim Surfen sollen weniger als 2,5 Prozent betragen, zitiert Apple eigene Messungen.
Für das Open-Source-Betriebssystem Linux sind bereits Patches gegen die Angriffsmethode Meltdown verfügbar. Sie wurden umgangssprachlich als KPTI, kurz für Kernel Page Table Isolation, bekannt und wurden in der Vergangenheit auch als «KAISER» und scherzhaft als «F**CKWIT» bezeichnet.
Im Gegensatz zu Meltdown funktioniert der Spectre-Angriff auch auf Prozessoren, die nicht von Intel stammen, einschliesslich AMD und ARM. Darüber hinaus schützt der KPTI-Patch, der seit 2008 für Linux-Systeme verfügbar ist, nicht vor Spectre.
Gemäss dem Spectre-FAQ und Rückmeldungen bei Twitter wird derzeit für Linux (fieberhaft) daran gearbeitet, die System-Software gegen zukünftige Angriffsversuche abzusichern.
Dass sich die Gefahr durch Spectre in Grenzen hält, wird auch in einem ARM Security Update von dieser Woche bestätigt:
Für den Artikel verwendete Quellen: