Spectre, Meltdown: Bei Intel, Google, Apple und Co wird auf Hochtouren gepatcht

Verfasst von ictk am 05.01.2018 - 14:56

Der US-Chipriese Intel will binnen Wochenfrist rund 90 Prozent seiner CPUs der vergangenen fünf Jahre mit einem Update gegen Spectre und Meltdown versehen. Auch bei Google, Apple und Co ist man fleissig mit Patchen beschäftigt.

Bei Intel scheint die älteste betroffene Generation Haswell zu sein, die durch die Bezeichnung 4xxx erkennbar ist. In einem Informationspost spricht der Konzern davon, betroffene Systeme gegen beide Angriffe immun zu machen. Weiters schreibt Intel, dass der Einfluss auf die Leistung der aktualisierten Systeme stark von der Rechenlast abhänge. Durchschnittliche Computernutzer sollen kaum einen Unterschied spüren. Im Laufe der Zeit und mit weiteren Updates sollen sich die Leistungseinbussen noch weiter verringern, heisst es. Einen genauen Wert nannte Intel jedoch nicht.

Ähnlicher Ansicht ist man auch bei Google, deren Project-Zero-Team die Bugs im Juni 2017 entdeckt und an die Hersteller gemeldet hatte. Die Alphabet-Tochter hat nach eigenen Aussagen eine binäre Modifikationstechnik mit dem Namen Retpoline entwickelt, die gegen Branch Target Injection, einem Teil von Spectre, schützen soll. Erste Tests auf den eigenen Testsystemen sollen bestätigen, dass ein solches Update nur minimale Leistungseinbussen mit sich bringe.

Während Retpoline laut Google die spekulative Ausführung von CPUs an sich nicht verhindert, versucht dieser Ansatz, Branch Target Injection zu nutzen, jedoch nicht um wichtige Daten auszulesen, sondern eigene Instruktionen zu injizieren, die angreifbare Branches isolieren sollen. Weitere Details zur Funktionsweise stellt Google in seinem Blogpost vor.

Das Onlinemagazin Phoronix konnte bereits Grafikkarten von NVidia und AMD testen, nachdem diverse Kernel-Page-Table-Isolation-Patches (KPTI) für Linux veröffentlicht wurden. Diese sollen Spectre und Meltdown verhindern. Sowohl eine AMD Vega 64 mit Linux-Kernel 4.15 als auch die Nvidia-Karten Geforce 1060 und GTX 1080 Ti mit Kernel-Version 4.14.11 funktionieren ohne merkliche Leistungseinbussen. Messbare Unterschiede gab es demnach nur bei starken Input-Output-Lasten mit aktivierter KPTI.

Von den gravierenden Sicherheitslücken auf IT-Chips sind auch alle iPhones, iPads und Mac-Computer von Apple betroffen. Ein Software-Update für den eigenen Internet-Browser Safari solle diese Einfallstore für Hacker in Kürze schliessen, teilte Apple mit. Es werde in den nächsten Tagen bereitgestellt. Das Update soll die Schwachstelle auf Mikroprozessoren von Intel, AMD und ARM beheben, mit der über Internet-Browser Anwenderprogramme ausgetrickst und sensible Daten wie Passwörter gestohlen werden könnten. Vor der zweiten Sicherheitslücke, die nur Intel-Chips betrifft, seien die Apple-Geräte dank der jüngsten Updates bereits geschützt. Die Apple Watch sei nicht davon betroffen.

Microsoft wiederum weist Nutzer darauf hin, dass die am 3. Januar veröffentlichten Sicherheitsupdates für Windows 10 für einen vollständigen Schutz gegen Spectre und Meltdown nicht ausreichten. Es sollte auch entsprechende Firmware der Hardwarehersteller installiert werden. Im entsprechenden Informationsartikel stellen die Redmonder ein Powershell-Script vor, mit dem Systeme auf die Sicherheitslücken geprüft werden können. Dieses wird über den Befehl "Install-Module Speculationcontrol" installiert.

Zur Erinnerung: Experten hatten zwei Schwachstellen auf Mikroprozessoren entdeckt, die in fast allen IT-Geräten verbaut sind. Die erste Sicherheitslücke namens "Meltdown" ("Kernschmelze") betrifft demnach nur Chips des Branchenführers Intel. Sie ermögliche es Hackern, die Barriere zwischen Anwender-Programmen und dem Datenspeicher eines Computers zu überwinden und so möglicherweise Passwörter auszulesen. Die zweite Schwachstelle mit dem Namen "Spectre" ("Geist") betrifft demnach auch Mikroprozessoren von AMD und des Chip-Entwicklers ARM - und damit Laptops, PCs, Smartphones, Tablets und Server gleichermassen. Behörden raten den betroffenen Personen und Unternehmen, umgehend Softwareaktualisierungen bei allen Geräten vorzunehmen.