Es ist für die IT-Branche ein Super-GAU. Fast alle Prozessoren seit 1995 sollen schwere Sicherheitslücken aufweisen. Damit sind Milliarden von Geräten durch Meltdown und Spectre angreifbar. Microsoft, Google und Apple arbeiten an Patches.

Worin liegt das Problem?
Das Problem ist ein Fehler in der Architektur der Prozessoren, der CPUs. Diese Schwachstelle liegt in einem Verfahren, dass sich „Speculative execution“ nennt. Hierbei ruft der Chip schon Informationen ab, die er möglicherweise später benötigen könnte. Dies ermöglicht im Normalfall ein Arbeiten ohne Verzögerungen.

Diese Schwachstelle ermöglicht es potenziellen Angreifern ohne Erlaubnis auf eine riesige Daten-Sammlung aller Informationen des Computersystems und des Nutzers zuzugreifen. Die Schwachstelle wurde deswegen aus Sicherheitsgründen auch nicht früher veröffentlicht, da es bis dato noch keine Lösung zum Beheben des Problems gab.

Wie kann diese Lücke ausgenutzt werden?
Es gibt zwei Möglichkeiten, wie die Geräte angegriffen werden können, „Meltdown“ und „Spectre“ genannt. „Meltdown“ zerstört alle wichtigen sicherheitsrelevanten Schutzmechanismen zwischen Hardware und Prozessor, in dem Fall also die grundlegende Isolation zwischen Nutzer-Anwendungen und dem Betriebssystem. Diese Attacke ermöglicht es dann speziellen Programmen auf den Speicher mit den Daten zuzugreifen.

„Spectre“ hingegen durchbricht die Trennung von unterschiedlichen Anwendungen. Es nutzt die Schwachstelle aus, um eigentlich fehlerfreie Programme auszutricksen, sodass diese dem Angreifer Zugriff auf andere Daten auf dem Speicher gewähren. Eine Attacke mit der „Spectre“-Variante ist zwar schwerer auszuführen, für diese Attacke sind aber mehr Geräte anfällig. Ob die Attacken schon „in freier Wildbahn“ genutzt worden sind, weiß aktuell niemand. Schließlich hinterlassen diese Angriffsmethoden keine Spuren, wie Logfiles.

Zunächst war unklar, ob auch Apples Produkte von dem Bug betroffen sind. Weil das Unternehmen aber ebenfalls Prozessoren von Intel beziehungsweise ARM einsetzt, wurde dies angenommen. Am Donnerstagabend bestätigte Apple nun, dass MacOS gegen Meltdown bereits gepatcht sei, Safari aber gegen Spectre ein Update benötige, das in Kürze verteilt werden solle.

Offenbar ist aber noch nicht vollständig geklärt, wie weitreichend diese Art von Angriff ist. „Den gesamten Umfang dieser Angriffsklasse müssen wir noch untersuchen“, gibt Mozilla zu. „Für die lange Frist haben wir begonnen, mit Techniken zu experimentieren, um den Informationsleak näher an seiner Quelle zu beheben, anstatt ihn nur mithilfe deaktivierter Timer zu verstecken.“ Wie lange diese Arbeiten dauern würden, sei schwer vorherzusehen, sagte Mozilla auf Nachfrage.

Gibt es schon Updates oder Patches?
Alle Hersteller arbeiten an einem „Flick“. Microsoft hat am soeben außerplanmäßig ein Sicherheitsupdate für alle Systeme eingeschoben. Apple hat in einem Statement erklärt, dass mit den Versionen iOS 11.2, macOS 10.13.2 und tvOS 11.2 die Sicherheitslücken teilweise geschlossen worden sind. Die Apple Watch-Reihe ist nicht betroffen.

Die Geräte von privaten Nutzern sind beziehungsweise werden also bald gegen die Attacken abgesichert sein. Aber auch Cloud-Provider wie Microsoft, Google und Amazon haben schon ihre Systeme aktualisiert. Dies ist besonders wichtig, denn ein Horrorszenario wäre es, würden Angreifer über die Chips in Rechenzentren an die gespeicherten Daten kommen.

Neben den Kernelentwicklern haben auch die großen Browserhersteller Notfallpatches bereitgestellt, die auf Spectre basierende Javascript-Angriffe verhindern sollen. Nutzer sollten ihre Browser aktualisieren.

Dass die Situation rund um die Updates bisher noch nicht eindeutig ist, kann man den beteiligten Unternehmen nur indirekt vorwerfen. Die Fehler sind schon seit Juni 2017 bekannt, seitdem arbeiten die Firmen an Reparaturen. Dafür war für die zweite Kalenderwoche 2018 eine gemeinsame Aktion geplant. Die Notfall-Updates für Windows und andere Software mussten aber vorgezogen werden, weil die Existenz der Sicherheitslücken durch die öffentliche Arbeit am Linux-Kernel bekannt wurde.

Nur Microcode-Updates können gegen Meltdown und Spectre wirklich helfen
In einer Stellungnahme vom 4. Januar 2017 weist Intel darauf hin, dass das Unternehmen in der folgenden Woche 90 Prozent seiner von Meltdown und Spectre betroffenen Produkte aktualisieren will. Das Unternehmen spricht dabei von „Firmware“ und vermeidet den Begriff, um den es eigentlich geht, und zwar: Updates des Microcodes der Prozessoren.

Der Microcode ist, vereinfacht dargestellt, das Betriebssystem eines Prozessors. Es handelt sich um sehr kompakte und hochspezialisierte Software, mit der Funktionen und beispielsweise auch die Bearbeitung von einzelnen CPU-Befehlen gesteuert werden können. So ist es unter anderem möglich, die Ausführung eines Kommandos von den eigentlich dafür vorgesehenen Funktionseinheiten auf andere zu verlagern. Der Haken: Solche Workarounds kosten fast immer etwas Rechenleistung.

Mit einem Update des Microcodes kann ein Prozessorhersteller aber Fehlfunktionen beheben, ohne dass die CPU ausgetauscht werden muss. Die Anbieter machen das regelmäßig, so behob Intel unter anderem Anfang 2016 Abstürze beim Ausführen von AVX-Code bei seinen Skylake-Prozessoren (Core i-6000).

Bis jetzt gibt es keine wirkliche Lösung gegen Meltdown und Spectre. Was wir tun können ist; alle erscheineden Updates installieren und abwarten was Intel bringt.

(Quellen:diverse IT-Portale)