Viele Nutzer haben von den Sicherheitslücken gehört, die nun als Meltdown und Spectre bekannt sind. Die meisten News erklären aber nicht genau, wer von diesen Sicherheitslücken betroffen ist und so tummeln sich allerlei widersprüchliche Informationen im Internet.
Sind nur Intel Informationen von Meltdown und Spectre betroffen oder müssen auch AMD und ARM-Nutzer um die Sicherheit ihrer Daten fürchten? Gibt es bereit einen Patch und kann man selbst etwas dafür tun, um sich zu schützen?
Auf diese und einige andere Fragen möchten wir nun eingehen. Bedenkt bitte, dass das Thema sehr vielfältig ist und eine einfache Erklärung der Problematik auch für uns eine Herausforderung darstellt. Außerdem tauchen immer mehr Informationen zu diesem Thema auf, sodass wir diesen Artikel gegebenfalls aktualisieren müssen.
Nun denn, lasst uns mit der Entwirrung des Informationschaos rund um Meltdown und Spectre beginnen.
Meltdown & Spectre: Was ist das?
Bei Meltdown und Spectre handelt es sich um Sicherheitslücken auf Kernelebene von Prozessoren, die den sogenannten „speculative execution“-Prozess ausnutzen, um ein nutzersensible Daten heranzukommen.
Googles „Project Zero“ hat die Sicherheitslücken ausfindig gemacht und beschreibt die Problematik folgendermaßen:
Im letzten Jahr entdeckte das Google Project Zero-Team ernsthafte Sicherheitslücken, die durch „spekulative Ausführung“ verursacht wurden, eine Technik, die von den meisten modernen Prozessoren (CPUs) zur Leistungsoptimierung verwendet wird.
Der Project Zero-Forscher Jann Horn zeigte, dass böswillige Akteure die spekulative Ausführung nutzen können, um Systemspeicher zu lesen, der eigentlich nicht zugänglich sein sollte. Beispielsweise kann eine nicht autorisierte Partei vertrauliche Informationen im Systemspeicher lesen, z. B. Kennwörter, Verschlüsselungsschlüssel oder in Anwendungen geöffnete vertrauliche Informationen. Tests zeigten auch, dass ein Angriff, der auf einer virtuellen Maschine ausgeführt wurde, auf den physischen Speicher der Host-Maschine zugreifen konnte und dadurch Lesezugriff auf den Speicher einer anderen virtuellen Maschine auf demselben Host erhielt.
Diese Sicherheitsanfälligkeiten betreffen viele CPUs, einschließlich der von AMD, ARM und Intel sowie der Geräte und Betriebssysteme, auf denen sie ausgeführt werden.
Und weiter:
Wir haben entdeckt, dass CPU-Daten-Cache-Timing missbraucht werden kann, um Informationen aus falsch spekulativer Ausführung effizient zu erlangen, was zu (im schlimmsten Fall) beliebigen Sicherheitslücken des virtuellen Speichers über lokale Sicherheitsgrenzen in verschiedenen Kontexten führt.
Von Varianten dieses Problems ist bekannt, dass sie viele moderne Prozessoren betreffen, einschließlich bestimmter Prozessoren von Intel, AMD und ARM. Für einige Intel- und AMD-CPU-Modelle haben wir Exploits, die gegen echte Software arbeiten. Wir haben dieses Problem am 1. Juni 2017 an Intel, AMD und ARM gemeldet [1].
Bisher gibt es drei bekannte Varianten des Problems:
Variante 1: Grenzen prüfen umgehen (CVE-2017-5753)
Variante 2: Verzweigungszieleinspritzung (CVE-2017-5715)
Variante 3: Rogue Data Cache Laden (CVE-2017-5754)
Da es sich um ein Problem mit den Prozessoren selbst handelt, können Intel und andere Prozessorhersteller das Problem nicht mit einem Softwarepatch beheben. Die verschiedenen Betriebsystemhersteller wie Microsoft, Apple und die Linux Foundation, haben ihrerseits Patches veröffentlicht, die die Sicherheitslücken umgehen.
Warum sind die Informationen so widersprüchlich? Ist nur Intel oder auch AMD und ARM von Spectre und Meltdown betroffen?
Meltdown betrifft nur Intel Prozessoren. Spectre betrifft auch AMD und ARM Prozessoren. Da Intel als erstes im Fokus stand, hat der Chipriese das erste offizielle Statement zu der Problematik veröffentlicht.
…() Intel hat sich der Produkt- und Kundensicherheit verschrieben und arbeitet eng mit vielen anderen Technologieunternehmen wie AMD, ARM Holdings und verschiedenen Betriebssystemanbietern zusammen, um einen branchenweiten Ansatz zur schnellen und konstruktiven Lösung dieses Problems zu entwickeln. Intel hat mit der Bereitstellung von Software- und Firmware-Updates begonnen, um diese Exploits abzumildern. Im Gegensatz zu einigen Berichten sind Leistungseinflüsse von der Arbeitslast abhängig und sollten für den durchschnittlichen Computerbenutzer nicht signifikant sein und werden im Laufe der Zeit gemildert.
Auch wenn erste Meldungen eine Post-Patch Leistungsabnahme von 30% für Intel-Prozessoren befürchteten, scheint der Verlust zwischen den einzelnen Prozessorarchitekturen stark zu variieren. Prozessoren ab der Intel Skylake Generation (6. Gen), scheinen nur geringe Einbußen zu verzeichnen.
AMD äußerte sich sehr selbstbewusst zu der Spectre-Problematik. Es handele sich durch die unterschiedliche Prozessorarchitektur um keine „reale“ Gefahr, die von Spectre hervorgeht.
ARM hat folgendes Statement bekannt gegeben:
Basierend auf den jüngsten Forschungsergebnissen von Google zu den potenziellen neuen Cache-Timing-Nebenkanälen, bei denen Prozessorspekulationen genutzt werden, finden Sie hier die neuesten Informationen zu möglichen betroffenen Arm-Prozessoren und deren möglichen Abschwächungen. Wir werden hier bei Bedarf neue Forschungsergebnisse veröffentlichen.
Cache Timing Side-Channels sind ein gut verstandenes Konzept auf dem Gebiet der Sicherheitsforschung und daher kein neues Ergebnis. Dieser Nebenkanal-Mechanismus könnte jedoch jemanden dazu befähigen, möglicherweise einige Informationen zu extrahieren, die ansonsten für die Software von Prozessoren, die wie vorgesehen funktionieren und nicht auf einem Fehler oder Fehler beruhen, nicht zugänglich wären. Dies ist das Thema, das hier und im Cache-Spekulation-Side-Channels-Whitepaper behandelt wird.
Es ist wichtig zu beachten, dass diese Methode davon abhängig ist, dass Malware lokal ausgeführt wird, was bedeutet, dass Benutzer eine gute Sicherheitshygiene durchführen müssen, indem sie ihre Software auf dem neuesten Stand halten und verdächtige Links oder Downloads vermeiden.
Die Mehrheit der Arm-Prozessoren wird nicht durch irgendeine Variation dieses Seitenkanal-Spekulationsmechanismus beeinflusst. Eine definitive Liste der kleinen Untergruppe der von Arm entworfenen Prozessoren, die anfällig sind, kann unten gefunden werden.
Die genaue Liste betroffener Prozessoren, findet ihr hier.
Keine aktuellen ARM-Prozessoren scheinen von dem Problem betroffen zu sein.
Also alles nur ein riesiger PR-GAU?
Alle großen Betriebssystemhersteller haben Patches ausgeliefert, die die Gefahr von Meltdown und Spectre ausschalten sollen.
Besitzer älterer Intel Prozessoren (5.Gen und darunter) könnten durch die Patches Leistungseinbußen bemerken. AMD und ARM Prozessoren scheinen nicht signifikant von Spectre betroffen zu sein.
Ein riesiger PR-GAU ist es in jedem Fall – das bekommt Intel gerade an der Börse zu spüren. Wie groß die Gefahr durch Meltdown und Spectre genau ist, wird sich erst in einigen Wochen oder Monaten zeigen.
Für Nutzer gilt: Ladet euch die aktuellsten Patches herunter und beobachtet die Leistung eures PCs. Und vor allem: Lasst euch von den divesen Berichterstattungen nicht in Panik versetzen, sondern verarbeitet die wichtigen Details mit kühlen Kopf.
Wir werden euch bezüglich Meltdown und Spectre auf dem Laufenden halten.
Teilt diesen Beitrag gerne mit Freunden und Bekannten , um die Verwirrung zu dem Thema etwas zu mildern.
Intel hat vor ein paar Wochen dieses Tool zum testen vorgestellt.
https://downloadcenter.intel.com/download/27150
Demnach ist mein System nicht betroffen… Weil es seitens Microsoft schon gepatcht wurde oder weil meine CPU (Core i7-4610Y) nicht betroffen ist? Weiß jemand wie dieses Toll arbeitet?
Sicher dass das Tool richtig ist? Laut Intel prüft es glaube ich andere CVE-Nummern ab, ist also für eine ältere Sicherheitslücke
Bei dem Tool geht’s um die schon ältere Lücke in der Intel ME. Das hat nix mit Spectre und Meltdown zu tun…
Danke für deinen Hinweis.
„Bei Meltdown und Spectre handelt es sich um Sicherheitslücken auf Kernelebene von Prozessoren, die den sogenannten “speculative execution”-Prozess ausnutzen, um ein nutzersensible Daten heranzukommen.“. Klar, dass Google die Lücke als erster gefunden hat. Aber wieso Lücke? Wahrscheinlich weil Google die Lizenz „nutzersensible Daten“ abzugreifen alleine für sich beansprucht. Nein, sehr selbstlos von Google, diese Aktion. 🤔😉
geht’s auch kürzer? Immer diese langen langen Texte die am Ende doch alles offen laden 🤔
Vielleicht für dich einfach mit Bildchen…?
Es ist, denke ich, wichtig zu berichten, dass nicht alle Systeme Sicherheitspatches erhalten und man diese nicht erzwingen sollte (Quelle: Dr. Windows).
Das ist selbstvertändlich Leute! Hirn einschaltet! Das ist jetzt die erste Welle Hotfixes! Die nennt man nicht umsonst so. Wartet einfach mal die Autoupdates ab. Finger weg von manuellen Installationen der Fixes!
Edit:
Auch hier nochmal das Gleiche Thema – wer manuell installiert, kann sich das System zerschießen. Ich dachte das sei bekannt;
https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
Interessant finde ich den Text von ARM. Er sagt in Kurzform etwa: It’s not a bug, it’s a Feature“ und dass der User selber Schuld ist, wenn er Schadsoftware ausführt. Ja, so kann man das auch betrachten.
Da ist mir Intel lieber, die gehen angenehm offen damit um.
Interessant wäre es nun zu wissen, welche genauen Updates man braucht, um geschützt zu sein, so dass man kontrollieren kann. Evtl. könnt Ihr die Info noch nachliefern?
Lieber Klint, ich widerspreche dir nur ungern, aber Cortex-A57, Cortex-A72, Cortex-A73, Cortex-A75 sind sehr wohl akuelle Architekturen!
Habe gerade das Januar-Sicherheitsupdate für Windows 10 desktop bekommen welches ja anscheinend erste Patches enthält.
Bin außerdem auf diese Seite von Microsoft gestoßen wo steht was für Gegenmaßnahmen bei einem schon funktionieren: https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
„Die gute Nachricht vorweg: Die Google-Hardware ist sicher. Android-Smartphones sind mit dem neuen Sicherheits-Update ebenfalls auf der sicheren Seite – wenn sie es denn bekommen. Es liegt also an den Herstellern, ob sie das Update verteilen oder nicht. Chrome OS ist seit der Version 63 bereits sauber, während alle Versionen darunter betroffen sind – und das gilt dann insbesondere für ältere Chromebooks, die nicht mehr mit Updates versorgt werden. Der Chrome-Browser selbst ist ab der kommenden Version 64 nicht mehr anfällig.“ Zitat aus dem googlewatch Blog von heute. Falls jemand den Chrome Browser nutzt sollte er also schauen, welche Version… Weiterlesen »
Wäre cool wenn es mal ein Video zu diesen ganzen Fehlern gäbe, wo man mal sieht wie so eine Schwachstelle ausgenutzt werden kann. Und mit welcher Software und vor allem von wo, lokal oder Netzwerk. Einfach um es zu verstehen.
Also anders formuliert, du willst für jeder Mann, also auch für die Hacker-Communities, eine öffentlich zugängliche ToDo-Anleitung, wie man die Daten abgreifen kann. Da werden sich die betroffenen Firmen im jetzigem Status hüten, solches Material zu erstellen, solange das Thema aktuell ist und Schadensersatzanforderungen gestellt werden könnten. Von WO die Schadsoftware wirken kann, hat das Zitat von ARM beantwortet „Es ist wichtig zu beachten, dass diese Methode davon abhängig ist, dass Malware lokal ausgeführt wird …“ und laut dem Zitat von Google zwischen virtuellen Maschinen auf dem selben Host. Netzwerkfähiger Zugriff ist wohl nicht möglich. Von Apps im Sandbox-Prinzip ist… Weiterlesen »
Ja. Naja, zumindest geschlossene Lücken. Oder welche die man zeigen kann. Manchmal findet man ja was, aber leider sehr selten. Mir gehts ja nur um das wissen an sich. Die Vorgehensweise, das man sich vlt selber vor sowas schützen kann. Ja leider können dann auch die bösen was böses machen. Dieser Computer Chaos Club zeigt zB immermal was, wie man zB die irisscanner oder Gesichts Erkennung oder Fingerabdruck umgehen kann. Ist wirklich interessant sowas.
Also ich versteh schon was @Enner meint.
Das ganze ist schon sehr komplex und beim Lesen nicht so leicht verständlich…
meltdownattack.com
Da sind die wissenschaftlichen paper zu den Sicherheitslücken verlinkt die alles zumindest deutlich ausführlicher erklären als ich verstehen werde. Unten auf der Seite sind sogar zwei Videos, viel sehen kann man da aber natürlich nicht außer dass es wohl funktioniert
Das ist nicht schlecht. Danke. Vor allem das Video mit den hexcodes. Gibt es da wirklich Leute die sich da den halben Tag davor setzten und versuchen da was raus zu lesen, was irgendwie nach einem Passwort aussieht? Und erstmal auf sowas zu kommen und raus zu finden. Unser eins ist ja schon froh wenn das Startmenü mal nicht verbugt ist, und das kontexmenü im Explorer funktioniert.
Statt hinzusetzen schreibt man sich Programme die das übernommen. So wird auch das Internet z.B. nach nicht aktualisierten und unsicheren WordPress Installationen durchforstet.
Das hört sich für mich so an, wie wenn bei dem Datenabgriff nicht direkt Passwörter abgegriffen werden können, sondern nur zufällige Daten. Wenn der Angreifer Glück hat, dann ist unter dem Datenbrei ein Passwort dabei. Das macht es für ein kleines Malware-Programm aber auch schwierig, da eine aufwendige Datenauswertung direkt auf dem Zielsystem erfolgen muss. Inklusive Feststellung für welches Kontosystem das Passwort sein soll. Ist das nicht zu aufwändig? Das ist, als würde ich mich in den Papiermüll einer großen Firma setzen in der Hoffnung innerhalb eines Jahres ein Passwort und zugehörigem Kontodaten abzugreifen… Zumal hierdurch scheinbar auch keine Daten… Weiterlesen »
Nein, so schwierig ist das nicht. Jeder Datensatz im Speicher hat vornedran eine Adresse, zu wem er gehört. Man braucht also nur den kompletten Speicher, der zugänglich ist, zu scannen. Hat man parallel dazu die Info, dass gerade PWs eingegeben werden z.B., also Malware, dann kann man damit sehr viel anfangen. Stell Dir vor, dass Du beim Briefträger oben in die Tasche gucken kannst, während er Briefe austrägt und aus dem Briefkasten nimmt, – irgendwann kommt auch was Interessantes zum Vorschein. Man braucht nur Geduld. Und davon haben die Hacker unendlich viel…. Und wenn man die Daten lesen kann, kann… Weiterlesen »
Mal ne dumme Frage: wo sehe ich jetzt ob meine CPU zu einem der genannten (Cortex-XYZ) gehört?
Auf der Herstellerseite des Gerätes sollte es stehen. Wenn es sich nicht direkt um einen ARM-Prozessor, sondern um eine lizenzierte Version „SoC“ bzw. „System on a Chip“ handelt, wie z.B. ein Snapdragon von Qualcomm, dann bei dessen Webseite die Aufschlüsselung für den ARM-Core zu suchen.
https://de.wikipedia.org/wiki/ARM-Architektur#%C3%9Cbersicht
https://de.wikipedia.org/wiki/Snapdragon_(Prozessor)#Modellnummern_und_Klassifizierung
Zugegebenermaßen bin ich nicht imstande, die Bedrohungslage, die sich aus den entdeckten Sicherheitslücken ergibt, qualifiziert zu beurteilen. Wenn ich aber bedenke, welche Masse an Sicherheitslücken ständig in bekannten Software-Produkten entdeckt wird (was auch Schätzungen über den Umfang der NOCH NICHT entdeckten – also potentiell sehr viel gefährlicheren – Sicherheitslücken ermöglicht), so finde ich den Medien-Hype hierzu wirklich erschreckend. So lese ich gerade im Moment im ZDF-Videotext (erste Meldung auf der Startseite!): „… Hacker könnten Passwörter und andere geheime Informationen auf den Geräten ausspähen…“. Da muss doch der „Feld-Wald-und-Wiesen“-User denken: „Oh mein Gott … ist mein Rechner womöglich schon gehackt? Sind… Weiterlesen »
Zitat aus dem Artikel “ARM bringt CPU-Kern für Windows-10-Geräte” auf golem.de zur Computex 2017: “Zusammen mit dem CCI-550-Interconnect und der neuen Mali-G72-Grafikeinheit ist der Cortex-A75 für Systems-on-a-Chip gedacht, die 2018 in Geräten stecken sollen.”. Der ganze Artikel hier: https://www.golem.de/specials/computex2017/. Hauptbetroffener von Attacken auf diese Sicherheitslücken bzw. von diesem „PR-Gag“ wären also weder Intel noch ARM, sondern viel mehr Microsoft, so scheint es mir. Und das wird leider in diesem Artikel von Leo zugunsten der Konkurrenz stark runtergespielt von wegen „Keine aktuellen ARM-Prozessoren scheinen von dem Problem betroffen zu sein.“. Microsoft wird den Cortex A75 für Windows 10 on ARM verwenden.… Weiterlesen »
Das OS ist der Treiber schlechthin zwischen Prozessor und Software also dem User und seinen Daten. Also kannte der Android-Hersteller Google den „speculative execution”-Prozess vom Anfang an. Vor dem Hintergrund ist es schon fast lustig, zumindest aber peinlich, dass Hacker aus dem Hause Google die im sog. “Projekt Zero” tätig sind, der Welt glauben machen wollen, in dem Prozess ganz plötzlich Sicherheitslücken zu sehen? Also doch “nur” ein schlechter PR-Gag? Oder war das ein Versehen? Wusste die eine Abteilung nichts von der Arbeit der anderen? Konnte Google nicht mehr zurück bzw. anders aus der Nummer als mit dieser Veröffentlichung nach… Weiterlesen »
Die Prozessoren baut nicht Google sondern Intel, AMD oder ARM, ein Betriebssystem wie Android oder Windows hat in diesem Fall überhaupt nichts mit dem Problem zu tun, das stellt nur der Software Schnittstellen zur Verfügung um die Features der Prozessoren zu nutzen, ohne sich selbst um die genaue Hardware-Implementierung wissen zu müssen. Ich persönlich halte es für glaubwürdig, dass wirklich niemandem aufgefallen ist, dass man die tollen neuen „speculative execution“ Features (die Prozessoren übrigends deutlich schneller machen), mit zugegeben ziemlichem Aufwand dazu nutzen kann, Speicher auszulesen den man nicht sehen dürfte. AMD hat das ja auch etwas anders implementiert als… Weiterlesen »
Und noch deutlicher: Ist man Verschwörungstheoretiker, wenn man hinter dieser plötzlich das Licht der Welt erblickenden, wo doch schon lange in allen genannten Prozessoren aller 3 Prozessorhersteller eingebauten und von den OS aller großen OS-Hersteller umschifften und jetzt plötzlich schließenden Lücke, zwar eine Sicherheitslücke vermutet, aber keine plötzliche und vorher unbekannte? War das ein für die NSA eingebautes und nach den Leaks von Snowden und den darauf folgenden öffentlichen Diskussionen dicht gemachtes per amerikanischem Recht verordnetes Schlupfloch? Alle beteiligten Chip- und OS-Hersteller sind US-Amerikanische Unternehmen. Wollte man warten mit der Veröffentlichung bis man es über das ominöse Projekt Zero glaubte,… Weiterlesen »
Tja, Verschwörungstheorien sind halt heutzutage „in“…
Welche Prozesoren sind betroffen?
https://windowsunited.de/2018/01/05/meltdown-und-spectre-liste-der-betroffenen-cpus-und-benchmark/
Ich besitze das neue Lenovo Ideapad (2017), mit einem i5 Prozessor. Nur hab ich bis jetzt keine Updates bekommen. Woran kann das liegen?
Edit: habe heute Abend das Update bekommen :)!
Schonmal manuell nach Updates gesucht? Was zeigt denn die Liste zuletzt installierter Updates an?