DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Meltdown und Spectre werden uns noch länger auf Trab halten ...
Meltdown und Spectre werden uns noch länger auf Trab halten ...bild: zvg

Spectre und Meltdown: Alle iPhones und Android-Geräte betroffen – was du jetzt tun kannst

Fast jeder moderne Computer ist durch gefährliche Sicherheitslücken angreifbar. Das sind die wichtigsten Fakten für PC- und Smartphone-User.
05.01.2018, 07:1205.01.2018, 19:16
«For now, stay informed and stay updated.»
Gratis-Tipp von Rene Ritchiequelle: imore.com

Am Mittwoch haben Forscher schwerwiegende Schwachstellen in aktuellen Prozessoren enthüllt. Die präsentierten Angriffsmethoden Meltdown und Spectre betreffen praktisch jeden Intel-Rechner, der in den vergangenen zwei Jahrzehnten gebaut wurde. Angreifbar sind aber auch gewisse AMD- und ARM-Chips, die in Notebooks, Tablets und Smartphones stecken.

Seit letzter Nacht wissen wir (offiziell), dass auch sämtliche Macs und iOS-Geräte wie das iPhone betroffen sind.

Und auch Web-Browser müssen abgesichert werden.

Dieser Beitrag listet alle wichtigen Informationen rund um Meltdown und Spectre aus User-Sicht auf. Und zwar zu:

  • Android
  • Firefox (Browser)
  • Google Chrome (Browser)
  • Google Chromebooks
  • Weitere Google-Produkte
  • Windows-PCs
  • Cloud-Server-Dienste von Microsoft und Amazon
  • Macs von Apple
  • iPhones und andere iOS-Geräte, Apple Watch und TV
  • Safari (Browser)
  • Linux

(Stand: 5. Januar 2018).

Das Wichtigste in Kürze (falls du gestern in einer Höhle ohne Internetverbindung verbracht hast 😉):

  • Mit Meltdown lassen sich Intel-Prozessoren attackieren, die in fast jedem PC, Notebook und Server stecken. Betroffen sind Windows (Microsoft), macOS (Apple) und Linux.
  • Spectre gefährdet auch AMD- und ARM-Chips, die unter anderem in Android-Smartphones und iPhones verbaut sind.
  • Das ganze Ausmass und die Auswirkungen, die die Enthüllungen haben, sind noch nicht absehbar.

Die gute Nachricht: Die Hersteller sind dran, so schnell wie möglich System-Updates («Patches») zu veröffentlichen, um die publik gemachten Sicherheitslücken so weit es geht zu schliessen oder die Risiken zumindest abzuschwächen.

Endgültig beseitigt werden die Schwachstellen erst mit zukünftigen Prozessor-Generationen.

Was den Kauf neuer Hardware betrifft, kann man derzeit eigentlich nur zum Abwarten raten. Noch liegen viele Informationen nicht vor. Wir wissen in vielen Fällen nicht, wie stark neue Sicherheits-Updates die Geräte ausbremsen werden ...

Im Internet kursieren bereits erste Demonstrationen, wie sich die Angriffsmethoden zum Stehlen von Passwörtern nutzen lassen. Wobei die verantwortungsbewussten Sicherheitsforscher den Programmcode erst später veröffentlichen wollen.

Helfen Antivirus-Programme?

Nope.

Zur Frage, ob Antiviren-Programme Angriffe erkennen können, schreiben die Forscher, die Spectre und Co. entdeckt haben:

«Das ist theoretisch möglich, in der Praxis aber unwahrscheinlich. Im Gegensatz zu gewöhnlicher Malware sind Meltdown und Spectre schwer von normalen gutartigen Anwendungen zu unterscheiden. Ihr Antivirusprogramm kann jedoch Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind.»

Android

Android-Geräte sind grundsätzlich betroffen.

User sollen ihr System auf dem neusten Stand halten und Sicherheit-Updates möglichst schnell installieren.

Laut Google wird ein Sicherheitsupdate von heute Freitag, 5. Januar, «Schadensminderungen» (Mitigations) enthalten, um Smartphones und Tablets zu schützen. Ausserdem sollen zukünftige Android-Updates weitere Korrekturen bringen.

Im Vorteil sind Nutzer, die Geräte mit «purem» Android haben. Sie erhalten die Sicherheits-Updates am schnellsten. Bei Pixel-Smartphones und anderen Google-Geräten muss nichts unternommen werden, Updates erfolgen automatisch.

Bei Android-Geräten von anderen Herstellern wie Samsung könnte es etwas länger dauern. Sofern es (bei älteren Modellen) überhaupt noch System-Software-Updates gibt.

Firefox (Browser)

Firefox ist grundsätzlich angreifbar.

Mozilla hat bereits ein Update für den populären Webbrowser veröffentlicht. User sollten die Software aktualisieren.

Details gibt's im Mozilla Security Blog.

Google Chrome (Browser)

Auch hier gilt es, den Browser zu aktualisieren.

Am 23. Januar soll eine neue Version von Google Chrome für Desktop-Rechner und Mobilgeräte veröffentlicht werden, die vor webbasierten Angriffen schützt.

Wer nicht so lange warten will, kann ein experimentelles Feature namens «Site Isolation» aktivieren. CNET erklärt in diesem Beitrag, wie es geht.

Für Chrome auf iOS-Geräten (iPhone, iPad) sagt Google, dass Apple alle notwendigen Korrekturen liefern werde.

Weitere Infos gibt's hier bei heise.de.

Schädlinge mit Logo
Auf der von der Technischen Universität (TU) Graz entworfenen Website meltdownattack.com gibt es nicht nur ein FAQ zu den gefährlichen Angriffsmethoden. Zur leichteren Wiedererkennbarkeit sind Meltdown und Spectre auch eigene Logos verpasst worden. Laut dem IT-Experten Daniel Gruss wurde dafür eigens eine Designerin engagiert. «Das Problem der aufgedeckten Sicherheitslücke wird in nächster Zeit viele Menschen beschäftigen. Denn während es für Meltdown bereits eine funktionierende Lösung gibt, stellt sich die Sache bei Spectre komplizierter dar.»

Google Chromebooks

Chromebooks sind oder werden laut Google automatisch vor den Schwachstellen geschützt, verspricht Google in diesem FAQ.

Vorsichtige können noch vor der Veröffentlichung von Patches die oben erwähnte Site Isolation aktivieren.

Gemäss Google sind Chromebooks mit ARM-Chips überhaupt nicht betroffen, und für diejenigen mit anderen Prozessoren (in der Regel Intel) gibt eine Behelfslösung ab der Chrome-OS-Version 63, die seit Mitte Dezember ausgeliefert wird.

Eine Liste mit Chrome-OS-Geräten, die keinen Patch erhalten, ist auf dieser Webseite zu finden. In der Spalte ganz rechts ist bei den entsprechenden Notebooks ein «No» zu finden.

Weitere Google-Produkte

Google sagt, dass abgesehen von Chrome  und Chrome OS keine anderen Produkte durch Meltdown oder Spectre gefährdet seien. Sicher sind demnach laut CNET:

  • Google Chromecast (TV-Stick)
  • Google Home (Smart-Lautsprecher)
  • Gmail
  • Andere Google-Apps und -Dienste.

Windows-PCs

Microsoft hat bereits ein Sicherheitsupdate für Windows 10 veröffentlicht, um die Sicherheitslücken zu entschärfen. Allerdings könnte der Notfall-Patch Probleme verursachen.

Grundsätzlich lädt Windows 10 die notwendigen Sicherheitsupdates automatisch herunter und installiert sie häufig selbst. Was User verärgere: In der Regel erfordere dies einen vollständigen Neustart und einen langwierigen Shutdown-Prozess.

Es gibt laut The Verge Probleme mit mehreren Antiviren-Programmen, die die Installation des Patches verhindern. Sicherheitsforscher versuchten, eine Liste der unterstützten Antiviren-Software zu erstellen, aber die Situation sei chaotisch.

Gemäss dem Spectre-FAQ und Rückmeldungen bei Twitter wird derzeit für Windows daran gearbeitet, die System-Software gegen zukünftige Angriffsversuche abzusichern.

Erforderlich ist auch ein Firmware-Update, um zusätzlichen Hardware-Schutz zu gewährleisten. Das liegt aber in der Verantwortung der diversen PC-Hersteller, nicht nur von Microsoft.

«Wenn Sie einen PC oder Laptop mit Windows-Betriebssystem besitzen, ist das Beste, was Sie jetzt tun können, sicherzustellen, dass Sie die neuesten Windows-10-Updates und BIOS-Updates von Dell, HP, Lenovo oder einem der vielen anderen PC-Hersteller erhalten.»
quelle: the verge

Für den Internet Explorer liegt ebenfalls ein Update vor.

Cloud-Server-Dienste von Microsoft und Amazon

Erste Patches wurden bereits installiert.

Die grossen Cloud-Anbieter Microsoft und Amazon haben laut heise.de angekündigt, zwischen dem 5. und 10. Januar wichtige «Sicherheits- und Wartungs-Updates» auf ihren Server-Systemen (Azure, Amazon Web Services) aufzuspielen.

Zur Microsoft-Mitteilung für Azure-Nutzer geht's hier.

Macs von Apple

In allen neueren Desktop-Macs und Macbooks sind Intel-Prozessoren verbaut. Die Geräte sind also auch gefährdet. Dies hat Apple letzte Nacht in einem offiziellen Statement bestätigt. Und auch iOS-Geräte sind betroffen (siehe weiter unten).

Die Stellungnahme gibt's hier auf der Apple-Website.

Das Wichtigste: Solange man keine manipulierten Anwendungen installiert (und ausführt), soll keine Gefahr bestehen.

«All Mac systems and iOS devices are affected, but there are no known exploits impacting customers at this time. Since exploiting many of these issues requires a malicious app to be loaded on your Mac or iOS device, we recommend downloading software only from trusted sources such as the App Store.»
quelle: apple.com

Mac-User müssen nichts unternehmen, falls ihre System-Software auf dem neusten Stand ist. Apple versichert, es seien bereits mit mehreren System-Updates so genannte «Schadensminderungen» (Mitigations) ausgeliefert worden.

Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. Apple Watch is not affected by Meltdown. In the coming days we plan to release mitigations in Safari to help defend against Spectre. We continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Über Geschwindigkeitseinbussen ist nichts bekannt. Laut Apple sollen die Patches das System nicht messbar bremsen.

iPhones und andere iOS-Geräte, Apple Watch und TV

In iPhones und anderen iOS-Geräten laufen keine Intel-Prozessoren, sondern Eigenentwicklungen von Apple. Und diese Ein-Chip-Systeme, wie etwa der neueste A-Serie-Prozessor (A11 Bionic), werden von den Forschern, die die Sicherheitslücken publik gemacht haben, in ihrem FAQ nicht erwähnt.

Apple hat für seine A-Prozessoren aber ARM-Technik lizenziert und wie wir spätestens seit letzter Nacht wissen, sind auch auch alle iOS-Geräte von den Schwachstellen betroffen.

Apple-User können müssen allerdings vorläufig nichts tun, ausser ihre Software auf dem neusten Stand zu halten:

  • Mit der Auslieferung des System-Updates iOS 11.2 wurden bereits Schutzmechanismen gegen die Angriffsmethode Meltdown auf iPhone, iPads und iPods installiert.
  • Mit der Aktualisierung auf tvOS 11.2 sind die TV-Set-Top-Boxen Apple TV so gut es geht geschützt.
  • Die Apple Watch ist nicht von Meltdown betroffen.

Auch hier gilt, dass iOS-User keine Anwendungen aus dubiosen Quellen installieren sollten, was aber sowieso nur möglich ist, wenn man das Gerät per Jailbreak «aufgebohrt» hat. 

Mit der Spectre-Schwachstelle ein iOS-Gerät (oder einen Mac) erfolgreich zu attackieren, sei extrem schwierig, schreibt Apple. Selbst wenn eine manipulierte App auf dem Gerät laufe.

Weitere Sicherheit-Updates sollen folgen.

Safari (Browser)

Ein gewisses Risiko besteht wegen der Spectre-Schwachstelle bei Apples eigenem Webbrowser für Macs und iOS-Geräte. Angreifer könnten via JavaScript Daten stehlen. Darum stellt Apple Safari-Updates für Macs, iPhone und Co. in Aussicht.

«Apple will release an update for Safari on macOS and iOS in the coming days to mitigate these exploit techniques. Our current testing indicates that the upcoming Safari mitigations will have no measurable impact on the Speedometer and ARES-6 tests and an impact of less than 2.5% on the JetStream benchmark.»
quelle: apple.com

Die Geschwindigkeitseinbussen beim Surfen sollen weniger als 2,5 Prozent betragen, zitiert Apple eigene Messungen.

Linux

Für das Open-Source-Betriebssystem Linux sind bereits Patches gegen die Angriffsmethode Meltdown verfügbar. Sie wurden umgangssprachlich als KPTI, kurz für Kernel Page Table Isolation, bekannt und wurden in der Vergangenheit auch als «KAISER» und scherzhaft als «F**CKWIT» bezeichnet.

Bei Linux sind die Patches teilweise in Kernel 4.15 integriert und weitere für 4.16 geplant. Seit gestern Abend ist bereits Kernel 4.14.11 gepatched.
Stand: 3. Januar 2018quelle: linuxnews.de

Im Gegensatz zu Meltdown funktioniert der Spectre-Angriff auch auf Prozessoren, die nicht von Intel stammen, einschliesslich AMD und ARM. Darüber hinaus schützt der KPTI-Patch, der seit 2008 für Linux-Systeme verfügbar ist, nicht vor Spectre.

Gemäss dem Spectre-FAQ und Rückmeldungen bei Twitter wird derzeit für Linux (fieberhaft) daran gearbeitet, die System-Software gegen zukünftige Angriffsversuche abzusichern.

Gut zu wissen

«Meltdown ist wie ein Taschendieb. Er stiehlt dir etwas so schnell, dass du das gar nicht mitbekommst. Spectre ist eher so wie ein ‹Jedi Mind Trick›. Ein Programm flösst dabei einem anderen die Botschaft ‹Du möchtest mir deine Daten senden› ein.»
Der österreichische Sicherheitsforscher und Spectre-Mitentdecker Daniel Grussquelle: standard.at

Dass sich die Gefahr durch Spectre in Grenzen hält, wird auch in einem ARM Security Update von dieser Woche bestätigt:

«It is important to note that this [attack] method is dependent on malware running locally which means it’s imperative for users to practice good security hygiene by keeping their software up-to-date and avoid suspicious links or downloads.»
quelle: 9to5mac

Für den Artikel verwendete Quellen:

Das könnte dich auch interessieren:

Das war der Landeanflug in den Windböen von «Burglind»

Video: srf

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Mehr Reviews: Die neusten Smartphones und Co. im Test

Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Keine Mobilfunktechnik hat sich so schnell am Markt durchgesetzt wie 5G, sagt diese Studie
Der gesamte mobile Datenverkehr im Mobilfunknetz wird laut Ericsson bis 2028 auf voraussichtlich 370 Exabyte steigen.

Keine Mobilfunktechnik hat sich so schnell am Markt durchgesetzt wie 5G. Das geht aus dem aktuellen Ericsson Mobility Report hervor, der am Dienstag in Stockholm veröffentlicht wurde.

Zur Story