Sicherheitslücke: Supergau bei Prozessorherstellern

You do not have permission to view link please Anmelden or Registrieren

haben kürzlich mehrere schwere

You do not have permission to view link please Anmelden or Registrieren

in zahlreichen Computer-Prozessoren (CPUs) entdeckt, die ein Auslesen von geschützten Inhalten durch normale Programme sogar aus der

You do not have permission to view link please Anmelden or Registrieren

ermöglichen. Dadurch ist es theoretisch möglich, dass eine Webseite mittels Javascript auf Passwörter und andere sensible Inhalte des Computers eines Besuchers zugreifen kann, die sich gerade in seinem Arbeitsspeicher befinden.

Besonders schlimm hat es

You do not have permission to view link please Anmelden or Registrieren

getroffen, da hier gleich zwei verschiedene Hardware-Bugs entdeckt wurden. Der Intel-spezifische Fehler wird als

You do not have permission to view link please Anmelden or Registrieren

(“Kernschmelze”) bezeichnet und befindet sich in Prozessoren der letzten 20 Jahre bis zurück zum Pentium Pro. Der andere Fehler, der teilweise auch

You do not have permission to view link please Anmelden or Registrieren

und die Hersteller von ARM-CPUs betrifft, wird

You do not have permission to view link please Anmelden or Registrieren

(“Gespenst”) genannt. Insbesondere Spectre wird sich nicht vollständig durch Software beheben lassen. Die beiden Namen wurden übrigens wegen der Dramatik der Fehler aus

You do not have permission to view link please Anmelden or Registrieren

entnommen.

[h=3]Betriebssystem-Hersteller arbeiten fieberhaft an einer Lösung[/h]

Seit Tagen arbeiten

You do not have permission to view link please Anmelden or Registrieren

und zahlreiche Linux-Entwickler mit Hochdruck an ihren Produkten, um Notfall-Patches zu entwickeln und die Fehler durch neue Software des innersten Bereichs des Betriebssystems – den Kernel – zu beheben.

You do not have permission to view link please Anmelden or Registrieren

hält sich mit Aussagen etwas bedeckt, doch auch deren CPUs, unter anderem von ARM und Intel, enthalten den Fehler.
Die neue Kernel-Software bringt je nach Prozessor auch erhebliche Geschwindigkeitseinbußen von bis zu 30% mit sich, was insbesondere für Netzwerk- und Datei-intensive Programme gilt, bei denen häufig Funktionen des Betriebssystems aufgerufen werden. Diese sogenannten Kontext-Wechsel zwischen Benutzer-Programmen und Kernel können durch die geflickte Software sehr verlangsamt werden – sehr zum Ärger der Benutzer.

[h=3]Fehlerhafte Hardware ist verantwortlich[/h]

Normalerweise werden Fehler in Computern durch neue Software behoben, doch in diesem Fall ist die Hardware schuld, was eine Reparatur mit Software-Updates sehr erschwert. Daher wäre es wesentlich sinnvoller, den Fehler direkt zu beseitigen, statt an der Software herumzudoktern. Doch leider gibt es noch keine fehlerfreie Hardware, weil die erst entwickelt werden muss. Bis dahin wird man mit geflickten Betriebssystemen vorlieb nehmen müssen, sofern diese überhaupt zur Verfügung gestellt werden. Insbesondere für ältere Geräte mit fester Firmware wird das zum Problem. Betroffen ist der komplette Sektor von Smartphones und Routern, über Unterhaltungselektronik, Industrie-Maschinen und alles was als

You do not have permission to view link please Anmelden or Registrieren

bezeichnet wird oder irgendwie am Internet hängt und mit defekten CPUs arbeitet.

[h=3]Intel-Führung hat bereits ihre Firmenaktien verkauft[/h]

Wohl in weiser Voraussicht des kommenden Schadens hat die

You do not have permission to view link please Anmelden or Registrieren

bereits Ende letzten Jahres die

You do not have permission to view link please Anmelden or Registrieren

an der Firma zu Geld gemacht, um einem drohenden Kursverlust zu entgehen. Der Chef bestreitet natürlich die

You do not have permission to view link please Anmelden or Registrieren

. Das ist die hässliche Seite des Problems. Andere Firmen werden möglicherweise auch bald folgen…
Zwischen dem 5. und 10. Januar beabsichtigen

You do not have permission to view link please Anmelden or Registrieren

und

You do not have permission to view link please Anmelden or Registrieren

schrittweise ihre großen Cloudserver herunterzufahren, um Notfall-Patches zu installieren, da auch deren riesige Computerfarmen betroffen sind.

You do not have permission to view link please Anmelden or Registrieren

Autor: Kati Mueller

You do not have permission to view link please Anmelden or Registrieren

 

[TBow]

Eine gute Nachricht gibt es jedoch.

Weißes Haus: NSA wusste nichts von Computerchip-Schwachstelle

"Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten", sagte der Cybersicherheitskoordinator im Weißen Haus, Rob Joyce, der Washington Post.

You do not have permission to view link please Anmelden or Registrieren

Ja, das ist wahr und gar nicht gelogen.
Das würden sie sogar vor einem US Kongressausschuss, so wie einst der Lügenbaron Clapper, schwören.

 

[Jan_de_Marten]

Für Smartphones finde ich das aber noch ne Nummer heftiger, da man hier wohl niemals mehr ein Update sehen wird, wenn das auch nur "etwas" älter" ist. Da könnte man sich wirklich überlegen ein Gerät zu rooten, so lange eine neue Version mit einem Fix irgendwie verfügbar ist...

MS hat wohl schon etwas ab dem 5.1. für Ihre Handys getan ....... zumindest die unter Windows10mobile welche ja schon 2015 erschienen sind. ich denke mal Apple, Nokia und Google vverden da relativ schnell nachziehen.

 

[Pleitgengeier]

"Aussehen vor Sicherheit"

Für mich ergeht aus dem Artikel eher, dass bei diesem Medium in der Personalabteilung die Devise "Aussehen vor Kompetenz" lautet...

 

[BurnerR]

Grad von fefe geholt:
Der hats vor 6 Jahren schon gewusst, aber seine Liste der Techniken, die Daten leaken können, die scheint mir doch etwas länger zu sein?!?

You do not have permission to view link please Anmelden or Registrieren

 

[LadyRavenous]

AMD rudert zurück und meint, dass Spectre 2 u.U. doch ausgenutzt werden kann und bei Intel kann es bei Haswell- und Broadwell-Prozessoren zu spontanen Neustarts kommen (ja, konnte ich auch schon feststellen... )
Quelle:

You do not have permission to view link please Anmelden or Registrieren

(Neustarts) und

You do not have permission to view link please Anmelden or Registrieren

(AMD)

Wenns so weiter geht, kann das Jahr nur lustig werden

 

[Abul]

Hab "zum Glück" noch 1511 und dafür wird es kein Update von Microsoft geben (Kann ja nicht Upgraden, vollverschlüsselt und so). Abgesehen davon wird es für den i5-3xxx wahrscheinlich seitens Intel auch nichts geben, geschweige denn für mein ASUS-Board aus 2012. Also werde ich von dem Geschwindigkeitsverlust nichts merken. Ich schalte dann mal JavaScript im Browser aus

 

[Trolling Stone]

Was kann man denn jetzt eigentlich machen, um sich zu schützen?

@Abul: Joar, wenn Intel weiter auf stur schaltet und bockig ist, wird meine nächste CPU halt 'n AMD.

Und wenn dort eine zwar nicht der Allgemeinheit, aber wem anders bekannte Sicherheitslücke drin ist?

 

[cokeZ]

@Trolling Stone: Wenn dem so ist und AMD auch so bockt, dann muss ich zw. Pest und Cholera wählen

 

[Jan_de_Marten]

Ich habe es so verstanden als verhält sich diese Lücke doch nur wie ein Aus-und-Einbruch beim Sandboxing nur eben auf der Ebene des Prozessorcaches und Schuld hat die Warscheinlichkeitsberechung des nächsten Befehls, das dieser Zugriff nicht sofort bemerkt wird ....... oder?

 

[Shodan]

Was kann man denn jetzt eigentlich machen, um sich zu schützen?

Immer:

• Browser updaten (Mitigation für: Spectre in JavaScript)
• Andere Software updaten (Mitigaton für: Spectre, ongoing! die meisten Binaries wurden noch nicht mit experimentellen Fixes neu kompiliert)
• Updates vom Hardware Hersteller einspielen (Mitigaton für: Meltdown, Spectre)
• Keine untrusted Apps installieren (Mitigaton für: Meltdown, Spectre)

Windows:

1. Virenscanner updaten
2. Nachschauen ob der Registry Eintrag gesetzt wurde (bei Bedarf selber setzen)
3. Betriebssystem updaten (2+3 = Mitigaton für: Meltdown)

Linux

1. Kernel update (Mitigaton für: Meltdown)

Android

1. Kernel update (Mitigaton für: Meltdown)

Hypervisoren + kernel-sharing sandboxes

1. Advisories der Distro lesen
2. Kernel update (Mitigaton für: Meltdown)
3. Keine untrusted guests laufen lassen (Mitigaton für: Spectre)

Weh tut das ganze vor allen jenen, die das Betreiben von "untrusted Guests" als Service auf dem freien Markt verkaufen
Allein die theoretische Möglichkeit, dass da ein Gast den Speicher andere Gäste auslesen kann, wird bei einigen Leuten Panik verursachen. (Behörden, Konzerne)

Insofern gibt es da noch eine relevante Mitigation für alle:

1. Geheimnisse nicht in der Cloud lagern

Also im Grunde läuft es für die meisten Leute auf das übliche hinaus:

1. Updates machen
2. Nicht jeden Dreck installieren
3. Geheimnisse geheim halten

Sorry an alle, die gehofft haben Heldenruhm zu erlangen, indem sie in den brennenden Reaktor rennen.
Hier nimm eine Retpoline gegen die Geister in der Maschine

 

[profi200]

Das ist natürlich toll. Hab ne Haswell CPU. Das BIOS Update vom Hersteller fasse ich nicht an bis der reboot bug gefix ist. Grub/Linux updatet den microcode sowieso schon (0x23 jetzt nach dem Update laut /proc/cpuinfo).