Frohes Neues Jahr! Drei massive Sicherheitslücken bei Intel, AMD, ARM und anderen Prozessoren wurden am Mittwoch (3. Januar) bekannt. Microsoft hat einen Notfall-Patch für alle unterstützten Windows-Versionen herausgegeben, einschließlich Windows 7, Windows 8.1 und Windows 10, fügte jedoch hinzu, dass Benutzer auch Firmware-Updates anwenden sollten, wenn sie von den Geräteherstellern verfügbar sind. Google hat den Fehler in Android mit dem Update Januar 2022-2023 behoben, das am Dienstag (2. Januar) veröffentlicht wurde, obwohl es vorerst nur von Google verwaltete Geräte haben. Patches für macOS, iOS und Linux sind möglicherweise noch nicht vollständig verfügbar.
Zwei Proof-of-Concept-Angriffe namens "Meltdown" und "Spectre" nutzen diese drei Fehler aus, die die Art und Weise betreffen, wie moderne Computerprozessoren mit dem laufenden Speicher von Anwendungen und dem Kernsystem oder Kernel auf aktuellen Betriebssystemen umgehen.
"Meltdown und Spectre funktionieren auf PCs, mobilen Geräten und in der Cloud", sagen die Websites, die jedem Fehler gewidmet sind und denselben Inhalt haben. "Abhängig von der Infrastruktur des Cloud-Anbieters kann es möglich sein, Daten von anderen Kunden zu stehlen."
In einem Google-Blog-Posting wurde erklärt, dass die Fehler es ermöglicht haben, dass "ein Unbefugter sensible Informationen im Systemspeicher wie Passwörter, Verschlüsselungsschlüssel oder in Anwendungen geöffnete sensible Informationen lesen kann".
Meltdown hebt die Grenzen zwischen Kernelprozessen und Benutzerprozessen auf und scheint sich auf Intel-Chips zu beschränken. Spectre stiehlt Daten aus laufenden Anwendungen und funktioniert auch auf AMD- und ARM-Chips. Auf den Websites von Spectre und Meltdown wurde nicht detailliert beschrieben, wie die verschiedenen Chipsätze, die auf Mobilgeräten verwendet werden, betroffen waren.
AMD bestritt jedoch, dass es von irgendwelchen Fehlern betroffen war.
„AMD ist nicht für alle drei Varianten anfällig“, sagte das Unternehmen gegenüber CNBC. "Aufgrund der Unterschiede in der Architektur von AMD glauben wir, dass derzeit ein Risiko für AMD-Prozessoren nahezu null besteht."
Was ist zu tun
Wenn Sie Windows 7, 8.1 oder 10 verwenden, sollten Sie das heute veröffentlichte Windows-Sicherheitsupdate installieren. Frühe Versionen der Patches wurden im November und Dezember an Windows Insider-Benutzer gesendet.
„Wir sind dabei, Schutzmaßnahmen für Cloud-Dienste bereitzustellen und veröffentlichen heute Sicherheitsupdates, um Windows-Kunden vor Sicherheitslücken zu schützen, die unterstützte Hardwarechips von AMD, ARM und Intel betreffen“, heißt es in einer Microsoft-Erklärung teilweise. "Wir haben keine Informationen erhalten, die darauf hindeuten, dass diese Schwachstellen genutzt wurden, um unsere Kunden anzugreifen."
Es gibt jedoch ein paar Haken. Wenn Sie keinen von Microsoft bereitgestellten Laptop oder ein von Microsoft bereitgestelltes Tablet wie ein Surface, Surface Pro oder Surface Book verwenden, müssen Sie zunächst auch ein Firmware-Update vom Hersteller Ihres Computers installieren.
"Kunden, die nur die Windows-Sicherheitsupdates Januar 2022-2023 installieren, erhalten nicht alle bekannten Schutzmaßnahmen gegen die Sicherheitslücken", heißt es in einem online veröffentlichten Microsoft-Supportdokument. „Zusätzlich zur Installation der Sicherheitsupdates vom Januar ist ein Prozessor-Mikrocode- oder Firmware-Update erforderlich. Dieses sollte über Ihren Gerätehersteller erhältlich sein. Surface-Kunden erhalten ein Mikrocode-Update über Windows-Update.“
Zweitens besteht Microsoft darauf, dass Kunden sicherstellen, dass "unterstützte" Antivirensoftware ausgeführt wird, bevor sie den Patch anwenden. In einem separaten Dokument, in dem der neue Sicherheitspatch erläutert wird, sagt Microsoft, dass nur Maschinen, auf denen solche Software ausgeführt wird, den Patch automatisch erhalten.
Es ist nicht genau klar, was Microsoft unter "unterstützter" Antivirensoftware versteht oder warum Microsoft darauf besteht, dass diese Software auf dem Computer installiert sein sollte, bevor der Patch installiert wird. Es gibt einen Link zu einem Dokument, das all dies erklären soll, aber zum Zeitpunkt des Schreibens am späten Mittwochabend ging der Link nirgendwo hin.
Zuletzt räumt Microsoft ein, dass mit den Patches "potenzielle Leistungseinbußen" verbunden sind. Mit anderen Worten, Ihr Computer läuft möglicherweise langsamer, nachdem Sie die Patches angewendet haben.
„Bei den meisten Verbrauchergeräten sind die Auswirkungen möglicherweise nicht spürbar“, heißt es in der Empfehlung. "Die spezifischen Auswirkungen variieren jedoch je nach Hardwaregeneration und Implementierung durch den Chiphersteller."
Um Windows Update manuell auszuführen, klicken Sie auf die Schaltfläche Start, klicken Sie auf das Zahnradsymbol Einstellungen, klicken Sie auf Updates und Sicherheit und klicken Sie auf Nach Updates suchen.
Apple-Benutzer sollten zukünftige Updates installieren, indem sie auf das Apple-Symbol klicken, App Store auswählen, auf Updates klicken und neben allen Elementen von Apple auf Update klicken. Auf Twitter gab es einen unbestätigten Bericht, dass Apple die Fehler bereits Anfang Dezember mit macOS 10.13.2 gepatcht hatte, aber die in den Apple-Patches vom Dezember behandelten Schwachstellen-ID-Nummern (CVEs) stimmen nicht mit denen überein, die Meltdown und Spectre zugewiesen wurden.
Linux-Maschinen benötigen auch Patches, und es scheint, dass etwas fast fertig ist. Wie oben erwähnt, behebt der Android-Sicherheitspatch vom Januar 2022-2023 den Fehler, obwohl nur ein kleiner Prozentsatz der Android-Geräte ihn vorerst erhalten wird. (Es ist nicht klar, wie viele Android-Geräte anfällig sind.)
Wie die Angriffe funktionieren
Der Meltdown-Angriff, der nach Kenntnis der Forscher nur Intel-Chips betrifft, die seit 1995 entwickelt wurden (außer der Itanium-Reihe und der Atom-Reihe vor 2013), lässt reguläre Programme auf Systeminformationen zugreifen, die geschützt werden sollen. Diese Informationen werden im Kernel gespeichert, dem tief versenkten Zentrum des Systems, an das Benutzeroperationen niemals herankommen sollen.
„Meltdown durchbricht die grundlegendste Isolation zwischen Benutzeranwendungen und dem Betriebssystem“, erklärten die Websites von Meltdown und Spectre. "Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Geheimnisse anderer Programme und des Betriebssystems zuzugreifen."
"Wenn Ihr Computer über einen anfälligen Prozessor verfügt und ein ungepatchtes Betriebssystem ausgeführt wird, ist es nicht sicher, mit sensiblen Informationen zu arbeiten, ohne dass die Informationen preisgegeben werden."
Meltdown wurde so genannt, weil es "im Wesentlichen die Sicherheitsgrenzen auflöst, die normalerweise von der Hardware durchgesetzt werden".
Um den damit verbundenen Fehler zu beheben, müsste der Kernelspeicher noch stärker von Benutzerprozessen isoliert werden, aber es gibt einen Haken. Es scheint, dass der Fehler teilweise besteht, weil die gemeinsame Nutzung des Speichers zwischen dem Kernel und den Benutzerprozessen es Systemen ermöglicht, schneller zu laufen, und das Stoppen dieser gemeinsamen Nutzung könnte die CPU-Leistung verringern.
Einigen Berichten zufolge könnten die Fixes die Systeme um bis zu 30 Prozent verlangsamen. Unsere Kollegen von Tom's Hardware sind der Meinung, dass die Auswirkungen auf die Systemleistung viel geringer wären.
Spectre hingegen ist universell und "bricht die Isolation zwischen verschiedenen Anwendungen", heißt es auf den Websites. "Es ermöglicht einem Angreifer, fehlerfreie Programme, die Best Practices befolgen, dazu zu bringen, ihre Geheimnisse preiszugeben. Tatsächlich erhöhen die Sicherheitsprüfungen dieser Best Practices die Angriffsfläche und können Anwendungen anfälliger für Spectre machen."
"Alle modernen Prozessoren, die in der Lage sind, viele Anweisungen im Flug zu halten, sind potenziell anfällig", sagt Spectre. "Insbesondere haben wir Spectre auf Intel-, AMD- und ARM-Prozessoren verifiziert."
Die Websites erklären weiter, dass die Erkennung solcher Angriffe nahezu unmöglich sei und dass Antivirensoftware nur Malware erkennen könne, die vor dem Start der Angriffe in das System eingedrungen sei. Sie sagen, Spectre sei schwieriger durchzuziehen als Meltdown, aber es gab keine Beweise dafür, dass ähnliche Angriffe "in freier Wildbahn" durchgeführt wurden.
Sie sagten jedoch, dass Spectre, das so genannt wird, weil es die spekulative Ausführung missbraucht, ein üblicher Chipsatzprozess, "uns noch einige Zeit verfolgen wird".
Die verlorene Kunst, ein Geheimnis zu bewahren
Intel, AMD und ARM wurden von Google bereits im Juni 2022-2023 von diesen Fehlern informiert, und alle beteiligten Parteien versuchten, alles im Stillen zu halten, bis die Patches nächste Woche fertig waren. Aber Informationssicherheitsexperten, die nicht in das Geheimnis eingeweiht waren, konnten erkennen, dass etwas Großes bevorstand.
Diskussionen in Linux-Entwicklungsforen betrafen radikale Überarbeitungen des Umgangs des Betriebssystems mit Kernel-Speicher, Details wurden jedoch nicht bekannt gegeben. Leute mit Microsoft-, Amazon- und Google-E-Mail-Adressen waren auf mysteriöse Weise involviert. Ungewöhnlicherweise sollten die Überholungen auf mehrere frühere Linux-Versionen zurückportiert werden, was darauf hindeutet, dass ein großes Sicherheitsproblem behoben wurde.
Das löste ein paar Tage lang Verschwörungstheorien auf Reddit und 4chan aus. Am Montag (1. Januar) hat ein Blogger, der sich Python Sweetness nennt, in einem langen Posting die unsichtbaren Punkte verbunden, in dem er mehrere parallele Entwicklungen unter Windows- und Linux-Entwicklern in Bezug auf den Umgang mit Kernelspeicher detailliert beschreibt.
Später Dienstag (2. Januar). Das Register sammelte viele ähnliche Informationen. Es stellte auch fest, dass Amazon Web Services am kommenden Freitagabend (5. Januar) Wartungsarbeiten durchführen und seine Cloud-Server neu starten würden. und dass Microsofts Azure Cloud für den 10. Januar etwas Ähnliches geplant hatte.
Der Damm brach am Mittwoch, als ein niederländischer Sicherheitsforscher twitterte, er habe einen Proof-of-Concept-Bug erstellt, der zumindest einen der Fehler auszunutzen schien.
Um 3 Uhr nachmittags. EST Mittwoch, Intel, dessen Aktie an diesem Tag um etwa 10 Prozent gefallen war, gab eine Pressemitteilung heraus, in der die Mängel heruntergespielt wurden, und seine Aktie gewann dementsprechend etwas an Boden. Das Unternehmen gab jedoch zu, dass die Fehler zum Diebstahl von Daten genutzt werden könnten und dass es und andere Chiphersteller daran arbeiteten, das Problem zu beheben.
"Intel und andere Anbieter hatten geplant, dieses Problem nächste Woche offenzulegen, wenn weitere Software- und Firmware-Updates verfügbar sein werden", heißt es in der Erklärung. "Allerdings macht Intel diese Aussage heute aufgrund der aktuellen ungenauen Medienberichte."
Um 17 Uhr meldete sich Daniel Gruss, Postdoktorand im Bereich Informationssicherheit an der TU Graz in Österreich, um Meltdown und Spectre anzukündigen. Er sagte Zack Whittaker von ZDNet, dass "fast jedes System", das seit 1995 auf Intel-Chips basierte, von den Fehlern betroffen war. Es stellte sich heraus, dass das Problem noch schlimmer war.
Gruss war einer von sieben Grazer Forschern, die im Oktober 2022-2023 ein technisches Papier veröffentlichten, in dem theoretische Mängel im Umgang von Linux mit Kernelspeicher beschrieben und eine Lösung vorgeschlagen wurden. Python Sweetness, der pseudonyme Blogger, auf den eingangs dieser Geschichte Bezug genommen wurde, lag offenbar richtig, als er vermutete, dass dieses Papier von zentraler Bedeutung für den Intel-Fehler war, an dem jetzt gearbeitet wird.
Um 6 Uhr abends. EST, die Spectre- und Meltdown-Sites gingen zusammen mit einem Google-Blog-Posting online, in dem die eigene Forschung des Unternehmens detailliert beschrieben wird. Es stellte sich heraus, dass zwei Teams Meltdown unabhängig voneinander entdeckt hatten und drei verschiedene Teams gleichzeitig Spectre gefunden hatten. An beiden waren Googles Project Zero und Gruss' Grazer Team beteiligt.
Bildnachweis: Natascha Eidl/Public domain
- 12 Computersicherheitsfehler, die Sie wahrscheinlich machen
- Bester Virenschutz für PC, Mac und Android
- Die Sicherheit Ihres Routers stinkt: So beheben Sie das Problem