Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Meltdown und Spectre werden uns noch länger auf Trab halten ... bild: zvg

Spectre und Meltdown: Alle iPhones und Android-Geräte betroffen – was du jetzt tun kannst

Fast jeder moderne Computer ist durch gefährliche Sicherheitslücken angreifbar. Das sind die wichtigsten Fakten für PC- und Smartphone-User.



«For now, stay informed and stay updated.»

Gratis-Tipp von Rene Ritchie quelle: imore.com

Am Mittwoch haben Forscher schwerwiegende Schwachstellen in aktuellen Prozessoren enthüllt. Die präsentierten Angriffsmethoden Meltdown und Spectre betreffen praktisch jeden Intel-Rechner, der in den vergangenen zwei Jahrzehnten gebaut wurde. Angreifbar sind aber auch gewisse AMD- und ARM-Chips, die in Notebooks, Tablets und Smartphones stecken.

Seit letzter Nacht wissen wir (offiziell), dass auch sämtliche Macs und iOS-Geräte wie das iPhone betroffen sind.

Und auch Web-Browser müssen abgesichert werden.

Dieser Beitrag listet alle wichtigen Informationen rund um Meltdown und Spectre aus User-Sicht auf. Und zwar zu:

(Stand: 5. Januar 2018).

Das Wichtigste in Kürze (falls du gestern in einer Höhle ohne Internetverbindung verbracht hast 😉):

Die gute Nachricht: Die Hersteller sind dran, so schnell wie möglich System-Updates («Patches») zu veröffentlichen, um die publik gemachten Sicherheitslücken so weit es geht zu schliessen oder die Risiken zumindest abzuschwächen.

Endgültig beseitigt werden die Schwachstellen erst mit zukünftigen Prozessor-Generationen.

Was den Kauf neuer Hardware betrifft, kann man derzeit eigentlich nur zum Abwarten raten. Noch liegen viele Informationen nicht vor. Wir wissen in vielen Fällen nicht, wie stark neue Sicherheits-Updates die Geräte ausbremsen werden ...

Im Internet kursieren bereits erste Demonstrationen, wie sich die Angriffsmethoden zum Stehlen von Passwörtern nutzen lassen. Wobei die verantwortungsbewussten Sicherheitsforscher den Programmcode erst später veröffentlichen wollen.

Diese Rechner sind ganz bestimmt sicher (kein Scherz! 😱) 

Helfen Antivirus-Programme?

Nope.

Zur Frage, ob Antiviren-Programme Angriffe erkennen können, schreiben die Forscher, die Spectre und Co. entdeckt haben:

«Das ist theoretisch möglich, in der Praxis aber unwahrscheinlich. Im Gegensatz zu gewöhnlicher Malware sind Meltdown und Spectre schwer von normalen gutartigen Anwendungen zu unterscheiden. Ihr Antivirusprogramm kann jedoch Malware erkennen, die die Angriffe nutzt, indem es Binärdateien vergleicht, nachdem sie bekannt geworden sind.»

quelle: spectreattack.com

Android

Android-Geräte sind grundsätzlich betroffen.

User sollen ihr System auf dem neusten Stand halten und Sicherheit-Updates möglichst schnell installieren.

Laut Google wird ein Sicherheitsupdate von heute Freitag, 5. Januar, «Schadensminderungen» (Mitigations) enthalten, um Smartphones und Tablets zu schützen. Ausserdem sollen zukünftige Android-Updates weitere Korrekturen bringen.

Im Vorteil sind Nutzer, die Geräte mit «purem» Android haben. Sie erhalten die Sicherheits-Updates am schnellsten. Bei Pixel-Smartphones und anderen Google-Geräten muss nichts unternommen werden, Updates erfolgen automatisch.

Bei Android-Geräten von anderen Herstellern wie Samsung könnte es etwas länger dauern. Sofern es (bei älteren Modellen) überhaupt noch System-Software-Updates gibt.

Firefox (Browser)

Firefox ist grundsätzlich angreifbar.

Mozilla hat bereits ein Update für den populären Webbrowser veröffentlicht. User sollten die Software aktualisieren.

Details gibt's im Mozilla Security Blog.

Google Chrome (Browser)

Auch hier gilt es, den Browser zu aktualisieren.

Am 23. Januar soll eine neue Version von Google Chrome für Desktop-Rechner und Mobilgeräte veröffentlicht werden, die vor webbasierten Angriffen schützt.

Wer nicht so lange warten will, kann ein experimentelles Feature namens «Site Isolation» aktivieren. CNET erklärt in diesem Beitrag, wie es geht.

Für Chrome auf iOS-Geräten (iPhone, iPad) sagt Google, dass Apple alle notwendigen Korrekturen liefern werde.

Weitere Infos gibt's hier bei heise.de.

Schädlinge mit Logo

Auf der von der Technischen Universität (TU) Graz entworfenen Website meltdownattack.com gibt es nicht nur ein FAQ zu den gefährlichen Angriffsmethoden. Zur leichteren Wiedererkennbarkeit sind Meltdown und Spectre auch eigene Logos verpasst worden. Laut dem IT-Experten Daniel Gruss wurde dafür eigens eine Designerin engagiert. «Das Problem der aufgedeckten Sicherheitslücke wird in nächster Zeit viele Menschen beschäftigen. Denn während es für Meltdown bereits eine funktionierende Lösung gibt, stellt sich die Sache bei Spectre komplizierter dar.»

Google Chromebooks

Chromebooks sind oder werden laut Google automatisch vor den Schwachstellen geschützt, verspricht Google in diesem FAQ.

Vorsichtige können noch vor der Veröffentlichung von Patches die oben erwähnte Site Isolation aktivieren.

Gemäss Google sind Chromebooks mit ARM-Chips überhaupt nicht betroffen, und für diejenigen mit anderen Prozessoren (in der Regel Intel) gibt eine Behelfslösung ab der Chrome-OS-Version 63, die seit Mitte Dezember ausgeliefert wird.

Eine Liste mit Chrome-OS-Geräten, die keinen Patch erhalten, ist auf dieser Webseite zu finden. In der Spalte ganz rechts ist bei den entsprechenden Notebooks ein «No» zu finden.

Weitere Google-Produkte

Google sagt, dass abgesehen von Chrome  und Chrome OS keine anderen Produkte durch Meltdown oder Spectre gefährdet seien. Sicher sind demnach laut CNET:

Windows-PCs

Microsoft hat bereits ein Sicherheitsupdate für Windows 10 veröffentlicht, um die Sicherheitslücken zu entschärfen. Allerdings könnte der Notfall-Patch Probleme verursachen.

Grundsätzlich lädt Windows 10 die notwendigen Sicherheitsupdates automatisch herunter und installiert sie häufig selbst. Was User verärgere: In der Regel erfordere dies einen vollständigen Neustart und einen langwierigen Shutdown-Prozess.

Es gibt laut The Verge Probleme mit mehreren Antiviren-Programmen, die die Installation des Patches verhindern. Sicherheitsforscher versuchten, eine Liste der unterstützten Antiviren-Software zu erstellen, aber die Situation sei chaotisch.

Gemäss dem Spectre-FAQ und Rückmeldungen bei Twitter wird derzeit für Windows daran gearbeitet, die System-Software gegen zukünftige Angriffsversuche abzusichern.

Erforderlich ist auch ein Firmware-Update, um zusätzlichen Hardware-Schutz zu gewährleisten. Das liegt aber in der Verantwortung der diversen PC-Hersteller, nicht nur von Microsoft.

«Wenn Sie einen PC oder Laptop mit Windows-Betriebssystem besitzen, ist das Beste, was Sie jetzt tun können, sicherzustellen, dass Sie die neuesten Windows-10-Updates und BIOS-Updates von Dell, HP, Lenovo oder einem der vielen anderen PC-Hersteller erhalten.»

quelle: the verge

Für den Internet Explorer liegt ebenfalls ein Update vor.

Cloud-Server-Dienste von Microsoft und Amazon

Erste Patches wurden bereits installiert.

Die grossen Cloud-Anbieter Microsoft und Amazon haben laut heise.de angekündigt, zwischen dem 5. und 10. Januar wichtige «Sicherheits- und Wartungs-Updates» auf ihren Server-Systemen (Azure, Amazon Web Services) aufzuspielen.

Zur Microsoft-Mitteilung für Azure-Nutzer geht's hier.

Macs von Apple

In allen neueren Desktop-Macs und Macbooks sind Intel-Prozessoren verbaut. Die Geräte sind also auch gefährdet. Dies hat Apple letzte Nacht in einem offiziellen Statement bestätigt. Und auch iOS-Geräte sind betroffen (siehe weiter unten).

Die Stellungnahme gibt's hier auf der Apple-Website.

Das Wichtigste: Solange man keine manipulierten Anwendungen installiert (und ausführt), soll keine Gefahr bestehen.

«All Mac systems and iOS devices are affected, but there are no known exploits impacting customers at this time. Since exploiting many of these issues requires a malicious app to be loaded on your Mac or iOS device, we recommend downloading software only from trusted sources such as the App Store.»

quelle: apple.com

Mac-User müssen nichts unternehmen, falls ihre System-Software auf dem neusten Stand ist. Apple versichert, es seien bereits mit mehreren System-Updates so genannte «Schadensminderungen» (Mitigations) ausgeliefert worden.

Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. Apple Watch is not affected by Meltdown. In the coming days we plan to release mitigations in Safari to help defend against Spectre. We continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Über Geschwindigkeitseinbussen ist nichts bekannt. Laut Apple sollen die Patches das System nicht messbar bremsen.

iPhones und andere iOS-Geräte, Apple Watch und TV

In iPhones und anderen iOS-Geräten laufen keine Intel-Prozessoren, sondern Eigenentwicklungen von Apple. Und diese Ein-Chip-Systeme, wie etwa der neueste A-Serie-Prozessor (A11 Bionic), werden von den Forschern, die die Sicherheitslücken publik gemacht haben, in ihrem FAQ nicht erwähnt.

Apple hat für seine A-Prozessoren aber ARM-Technik lizenziert und wie wir spätestens seit letzter Nacht wissen, sind auch auch alle iOS-Geräte von den Schwachstellen betroffen.

Apple-User können müssen allerdings vorläufig nichts tun, ausser ihre Software auf dem neusten Stand zu halten:

Auch hier gilt, dass iOS-User keine Anwendungen aus dubiosen Quellen installieren sollten, was aber sowieso nur möglich ist, wenn man das Gerät per Jailbreak «aufgebohrt» hat. 

Mit der Spectre-Schwachstelle ein iOS-Gerät (oder einen Mac) erfolgreich zu attackieren, sei extrem schwierig, schreibt Apple. Selbst wenn eine manipulierte App auf dem Gerät laufe.

Weitere Sicherheit-Updates sollen folgen.

Safari (Browser)

Ein gewisses Risiko besteht wegen der Spectre-Schwachstelle bei Apples eigenem Webbrowser für Macs und iOS-Geräte. Angreifer könnten via JavaScript Daten stehlen. Darum stellt Apple Safari-Updates für Macs, iPhone und Co. in Aussicht.

«Apple will release an update for Safari on macOS and iOS in the coming days to mitigate these exploit techniques. Our current testing indicates that the upcoming Safari mitigations will have no measurable impact on the Speedometer and ARES-6 tests and an impact of less than 2.5% on the JetStream benchmark.»

quelle: apple.com

Die Geschwindigkeitseinbussen beim Surfen sollen weniger als 2,5 Prozent betragen, zitiert Apple eigene Messungen.

Linux

Für das Open-Source-Betriebssystem Linux sind bereits Patches gegen die Angriffsmethode Meltdown verfügbar. Sie wurden umgangssprachlich als KPTI, kurz für Kernel Page Table Isolation, bekannt und wurden in der Vergangenheit auch als «KAISER» und scherzhaft als «F**CKWIT» bezeichnet.

Bei Linux sind die Patches teilweise in Kernel 4.15 integriert und weitere für 4.16 geplant. Seit gestern Abend ist bereits Kernel 4.14.11 gepatched.

Stand: 3. Januar 2018 quelle: linuxnews.de

Im Gegensatz zu Meltdown funktioniert der Spectre-Angriff auch auf Prozessoren, die nicht von Intel stammen, einschliesslich AMD und ARM. Darüber hinaus schützt der KPTI-Patch, der seit 2008 für Linux-Systeme verfügbar ist, nicht vor Spectre.

Gemäss dem Spectre-FAQ und Rückmeldungen bei Twitter wird derzeit für Linux (fieberhaft) daran gearbeitet, die System-Software gegen zukünftige Angriffsversuche abzusichern.

Gut zu wissen

«Meltdown ist wie ein Taschendieb. Er stiehlt dir etwas so schnell, dass du das gar nicht mitbekommst. Spectre ist eher so wie ein ‹Jedi Mind Trick›. Ein Programm flösst dabei einem anderen die Botschaft ‹Du möchtest mir deine Daten senden› ein.»

Der österreichische Sicherheitsforscher und Spectre-Mitentdecker Daniel Gruss quelle: standard.at

Dass sich die Gefahr durch Spectre in Grenzen hält, wird auch in einem ARM Security Update von dieser Woche bestätigt:

«It is important to note that this [attack] method is dependent on malware running locally which means it’s imperative for users to practice good security hygiene by keeping their software up-to-date and avoid suspicious links or downloads.»

quelle: 9to5mac

Für den Artikel verwendete Quellen:

Das könnte dich auch interessieren:

Das war der Landeanflug in den Windböen von «Burglind»

Video: srf

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

Hardware-Tests: Die neusten Handys, Tablets und PCs im Test

Ich hab die 3 neuen Huawei-Handys 2 Monate im Alltag getestet – es gab einen klaren Sieger

Link zum Artikel

iRobot Roomba i7+ – der Rolls-Royce unter den Roboterstaubsaugern im grossen Test

Link zum Artikel

Das soll der schönste Fernseher der Welt sein? Ich habe ihn zwei Monate getestet

Link zum Artikel

Was am iPhone XS Max genial ist – und was mich brutal nervt

Link zum Artikel

Wetten? Dieses 180-Franken-Handy ist sogar für dich gut genug

Link zum Artikel

Googles smarte Lautsprecher verstehen nun Schweizerdeutsch – und das können sie sonst noch

Link zum Artikel

Ich habe mich 2 Monate mit dem Huawei P40 Pro durchgeschlagen – ohne Google Apps

Link zum Artikel

Das Shiftphone im Test – dieses Handy gibt dir ein verdammt gutes Gefühl, aber ...

Link zum Artikel

Hat Samsung das ultimative Kamera-Handy gebaut? Wir haben es einen Monat lang getestet

Link zum Artikel

Beinahe hätte Nokia die Handy-Kamera neu erfunden – aber der Test enthüllt ein Problem

Link zum Artikel

Beinahe hätte Samsung das perfekte Allzweck-Handy gebaut, aber es gibt da ein Problem ...

Link zum Artikel

Asus hat den spektakulärsten Laptop der Welt gebaut – und wir haben ihn getestet

Link zum Artikel

Grosser Screen zum kleinen Preis – doch wie gut ist das Nokia 7 Plus wirklich?

Link zum Artikel

Auf der Suche nach einem Top-Smartphone? Wir haben da einen Geheimtipp

Link zum Artikel

Back to the Future – so gut ist das iPhone X wirklich

Link zum Artikel

Wie in den 90ern: Der Mini-Super-Nintendo ist genau so cool, wie wir gehofft haben

Link zum Artikel

Ich war mit dem neuen iPhone auf Elba und ging durch die «Food Porn»-Hölle

Link zum Artikel

Top oder Flop? Das musst du über die neue Apple Watch wissen

Link zum Artikel

OnePlus 7 Pro im Test: Kein Preishit mehr – lohnt sich der Kauf trotzdem?

Link zum Artikel

Warum ein 350-Franken-Handy das schnellste Smartphone ist, das ich je getestet habe

Link zum Artikel

HP will den perfekten Laptop für unterwegs gebaut haben – es ist ihnen fast gelungen

Link zum Artikel

Warum dieses völlig unterschätzte Smartphone ein echter «Geheimtipp» ist

Link zum Artikel

Beinahe hätte UPC die perfekte TV Box gebaut, aber es gibt da ein, zwei Probleme

Link zum Artikel

Die neuen «Pro»-Ohrstöpsel von Apple sind genial, haben aber einen grossen Haken

Link zum Artikel

Beinahe hätte Microsoft den perfekten Laptop gebaut, aber es gibt da ein Problem...

Link zum Artikel

Oppos Reno 5G ist ein spektakuläres Smartphone – das seiner Zeit voraus ist

Link zum Artikel

Dieses 500-Franken-Handy zeigt perfekt, warum 1000-Franken-Smartphones Quatsch sind

Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

Link zum Artikel

10 Dinge zu Apples neuen AirPods, die nicht nur iPhone-User wissen sollten

Link zum Artikel

Dells neues XPS 13 ist der Laptop, an dem sich die Konkurrenz messen muss

Link zum Artikel

Vergiss teure E-Reader! Warum du mit dem günstigen Tolino-Modell am besten liest

Link zum Artikel

Warum Huaweis P20 Pro das nützlichste Smartphone ist, das ich je getestet habe

Link zum Artikel

11 Dinge, die jeder Android- und iPhone-Nutzer über das Fairphone 3 wissen sollte

Link zum Artikel

Huawei Freebuds 3 im Langzeittest: Günstige Airpods-Alternative oder teurer Schrott?

Link zum Artikel

Samsungs Wunderwaffe im Test: Kann man mit dem Handy wie mit einem PC arbeiten?

Link zum Artikel

Ich habe Huaweis Mate 20 Pro vier Wochen getestet – und das ist die ungeschminkte Wahrheit

Link zum Artikel

Ein beinahe perfekter Kopfhörer – doch das hat seinen Preis

Link zum Artikel

Die Switch Lite ist der fast perfekte Game Boy, den ich mir als Kind gewünscht hätte

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Zoom hat's vermasselt – die unglaubliche Chronologie der Zoom-Fails

Zoom ist der grosse Profiteur der Corona-Pandemie. Über 200 Millionen Menschen tauschen sich täglich über die Videokonferenz-App aus. Doch nun tauchen täglich neue Probleme auf. IT-Experten nennen Zoom «ein Datenschutz-Desaster» oder schlicht «Schadsoftware».

Zoom wird seit Wochen von neuen Nutzern überrannt, da die Corona-Pandemie immer mehr Menschen dazu zwingt, von zuhause aus zu arbeiten. Das schlagende Argument des Skype-Rivalen sind die nahezu reibungslos funktionierenden Videoanrufe und Videokonferenzen. Egal ob mit zwei oder 100 Personen, egal ob am PC oder Smartphone, es funktioniert. Und zwar so einfach, dass es jede und jeder nutzen kann (sogar Boris Johnson).

>> Coronavirus: Alle News im Liveticker

Darum zoomen längst nicht nur …

Artikel lesen
Link zum Artikel