Sicherheitslücke: Supergau bei Prozessorherstellern

You do not have permission to view link please Anmelden or Registrieren

haben kürzlich mehrere schwere

You do not have permission to view link please Anmelden or Registrieren

in zahlreichen Computer-Prozessoren (CPUs) entdeckt, die ein Auslesen von geschützten Inhalten durch normale Programme sogar aus der

You do not have permission to view link please Anmelden or Registrieren

ermöglichen. Dadurch ist es theoretisch möglich, dass eine Webseite mittels Javascript auf Passwörter und andere sensible Inhalte des Computers eines Besuchers zugreifen kann, die sich gerade in seinem Arbeitsspeicher befinden.

Besonders schlimm hat es

You do not have permission to view link please Anmelden or Registrieren

getroffen, da hier gleich zwei verschiedene Hardware-Bugs entdeckt wurden. Der Intel-spezifische Fehler wird als

You do not have permission to view link please Anmelden or Registrieren

(“Kernschmelze”) bezeichnet und befindet sich in Prozessoren der letzten 20 Jahre bis zurück zum Pentium Pro. Der andere Fehler, der teilweise auch

You do not have permission to view link please Anmelden or Registrieren

und die Hersteller von ARM-CPUs betrifft, wird

You do not have permission to view link please Anmelden or Registrieren

(“Gespenst”) genannt. Insbesondere Spectre wird sich nicht vollständig durch Software beheben lassen. Die beiden Namen wurden übrigens wegen der Dramatik der Fehler aus

You do not have permission to view link please Anmelden or Registrieren

entnommen.

[h=3]Betriebssystem-Hersteller arbeiten fieberhaft an einer Lösung[/h]

Seit Tagen arbeiten

You do not have permission to view link please Anmelden or Registrieren

und zahlreiche Linux-Entwickler mit Hochdruck an ihren Produkten, um Notfall-Patches zu entwickeln und die Fehler durch neue Software des innersten Bereichs des Betriebssystems – den Kernel – zu beheben.

You do not have permission to view link please Anmelden or Registrieren

hält sich mit Aussagen etwas bedeckt, doch auch deren CPUs, unter anderem von ARM und Intel, enthalten den Fehler.
Die neue Kernel-Software bringt je nach Prozessor auch erhebliche Geschwindigkeitseinbußen von bis zu 30% mit sich, was insbesondere für Netzwerk- und Datei-intensive Programme gilt, bei denen häufig Funktionen des Betriebssystems aufgerufen werden. Diese sogenannten Kontext-Wechsel zwischen Benutzer-Programmen und Kernel können durch die geflickte Software sehr verlangsamt werden – sehr zum Ärger der Benutzer.

[h=3]Fehlerhafte Hardware ist verantwortlich[/h]

Normalerweise werden Fehler in Computern durch neue Software behoben, doch in diesem Fall ist die Hardware schuld, was eine Reparatur mit Software-Updates sehr erschwert. Daher wäre es wesentlich sinnvoller, den Fehler direkt zu beseitigen, statt an der Software herumzudoktern. Doch leider gibt es noch keine fehlerfreie Hardware, weil die erst entwickelt werden muss. Bis dahin wird man mit geflickten Betriebssystemen vorlieb nehmen müssen, sofern diese überhaupt zur Verfügung gestellt werden. Insbesondere für ältere Geräte mit fester Firmware wird das zum Problem. Betroffen ist der komplette Sektor von Smartphones und Routern, über Unterhaltungselektronik, Industrie-Maschinen und alles was als

You do not have permission to view link please Anmelden or Registrieren

bezeichnet wird oder irgendwie am Internet hängt und mit defekten CPUs arbeitet.

[h=3]Intel-Führung hat bereits ihre Firmenaktien verkauft[/h]

Wohl in weiser Voraussicht des kommenden Schadens hat die

You do not have permission to view link please Anmelden or Registrieren

bereits Ende letzten Jahres die

You do not have permission to view link please Anmelden or Registrieren

an der Firma zu Geld gemacht, um einem drohenden Kursverlust zu entgehen. Der Chef bestreitet natürlich die

You do not have permission to view link please Anmelden or Registrieren

. Das ist die hässliche Seite des Problems. Andere Firmen werden möglicherweise auch bald folgen…
Zwischen dem 5. und 10. Januar beabsichtigen

You do not have permission to view link please Anmelden or Registrieren

und

You do not have permission to view link please Anmelden or Registrieren

schrittweise ihre großen Cloudserver herunterzufahren, um Notfall-Patches zu installieren, da auch deren riesige Computerfarmen betroffen sind.

You do not have permission to view link please Anmelden or Registrieren

Autor: Kati Mueller

You do not have permission to view link please Anmelden or Registrieren

 

[Snake Pilsken]

Ich dachte, das mit dem ausbremsen der CPU wurde stark relativiert?

 

[Rakorium-M]

Das "Ausbremsen" von KPTI hängt stark davon ab, was du machst. Rechen-intensive Sachen / Spiele bekommen davon nichts mit, IO/Syscall-intensive Anwendungen (wie bspw. Datenbanken) schon eher:

You do not have permission to view link please Anmelden or Registrieren

 

[Meta]

Das Problem scheint zu sein, dass auch Server in Rechenzentren betroffen sein könnten.

You do not have permission to view link please Anmelden or Registrieren

 

[Abul]

Steht in der Mitte vom Artikel und im letzen Absatz. Überschrift gelesen?

 

[LadyRavenous]

Wohl eher, dass fast alle Prozessoren betroffen sind... Also PCs und Notebooks daheim, zumindest alle mit Intel und manche mit AMD, Server und Smartphones sowie IoT.
Für Android-Smartphones gabs am 2.1. ein Security Patch, was aber vermutlich noch nicht überall ausgerollt ist.
Windows-Patch läuft nicht mit allen Antivirensoftwaren.
Ach ja, Azure Cloud und Amazon Cloud haben auch Wartungsarbeiten.

Edit: aus dem Meltdown-Paper

Meltdown allows an unprivileged process to read data mapped in the kernel address space, including the entire physical memory on Linux and OS
X, and a large fraction of the physical memory on Windows. This may include physical memory of other processes, the kernel, and in case of kernel-sharing sand-box solutions (e.g., Docker, LXC) or Xen in paravirtualization mode, memory of the kernel (or hypervisor), and other co-located instances

Edit2: aus dem Spectre-Paper

Experiments were performed on multiple x86 processor architectures, including Intel Ivy Bridge (i7-3630QM), Intel Haswell (i7-4650U), Intel Skylake (unspecified Xeon on Google Cloud), and AMD Ryzen. The Spectre vulnerability was observed on all of these CPUs. Similar results were observed on both 32- and 64-bit modes, and both Linux and Windows.

 

[Pleitgengeier]

Für Android-Smartphones gabs am 2.1. ein Security Patch, was aber vermutlich noch nicht überall ausgerollt ist.

Ganz zu schweigen von vermutlich 1 Mrd. Smartphones die keine Updates mehr bekommen.

 

[LadyRavenous]

You do not have permission to view link please Anmelden or Registrieren

Ich hoffe, dass manche zumindest hier ein Update bekommen, aber wahrscheinlich...

 

[Abul]

Ich bin zwar kein BWLer, aber mit Updates für schon verkaufte Geräte macht man doch keine Kohle mehr. Ich würde sagen die sollen sich lieber alle ein neues Gerät kaufen, oder zwei. Das ist doch eine Win-Situation für alle.

 

[Pleitgengeier]

Es ist ja nicht nur so dass die Hersteller keine Updates anbieten sondern auch noch das aufspielen von fremden Roms verhindern.
Fragt sich also ob man hier nicht eine Haftung konstruieren kann

Edit: oder schlimmeres, das verhindern aktueller aber fremder Roms geschieht ja vorsätzlich

 

[LadyRavenous]

Bei

You do not have permission to view link please Anmelden or Registrieren

gibts eine Liste an Prozessoren, die von den verschiedenen Varianten betroffen sind.

Wenn man weiß, welchen das Smartphone einsetzt, kann man schauen, ob man betroffen ist. Raspberries sind übrigens nicht betroffen laut aktuellem Stand (mein Smartphone auch nicht ).

Edit: FireTV Version 2 (2015) müsste betroffen sein durch 2x ARM Cortex A72. Die anderen Versionen verwenden andere Prozessoren.

 

[Pleitgengeier]

You do not have permission to view link please Anmelden or Registrieren

Bei meinem One+ One ist nicht schwer herauszufinden, dass ein Qualcomm Snapdragon 801 drin steckt - aber auf welchem ARM basiert dieser jetzt?

 

[LadyRavenous]

Ich verstehe dein Problem

 

[nik]

You do not have permission to view link please Anmelden or Registrieren

Cortex-A15

You do not have permission to view link please Anmelden or Registrieren

 

[Pleitgengeier]

You do not have permission to view link please Anmelden or Registrieren

Krait is not a Cortex-A15 core, but it was designed in-house

Was heißt das nun bezüglich Spectre?
Meltdown betrifft ja offenbar nur Intel x86

 

[nik]

You do not have permission to view link please Anmelden or Registrieren

Ich lese das so, dass es nicht der gleiche Prozessor ist, aber darauf "basiert". Würde also damit rechnen, dass er die gleichen Sicherheitslücken hat.

 

[Steev]

Raspberries sind übrigens nicht betroffen

Yeah Strike!

Spoiler

 

[alter_Bekannter]

Laut der Liste von ARM sind auch Redmi 4 Geräte nicht betroffen. Und damit vermutlich keine oder kaum Xiaomis.

Also brauch ich keinen Patch für mein Handy. Best case.

 

[LadyRavenous]

You do not have permission to view link please Anmelden or Registrieren

zu den Bugs.
Und eine allgemein Übersicht bei

You do not have permission to view link please Anmelden or Registrieren

bzgl. Browser.

Eine Liste mit betroffenen/nicht betroffenen Smartphones wäre praktisch

 

[Steev]

Und eine allgemein Übersicht bei

You do not have permission to view link please Anmelden or Registrieren

bzgl. Browser.

Danke für den Tipp

Als Reaktion auf die schwerwiegende Prozesor-Sicherheitslücke, für die es bereits Angriffsszenarien gibt, haben nun Google und Mozilla für ihre Browser erste Gegenmaßnahmen angekündigt. Nutzern von Chromium (und damit Chrome) wird geraten, die Option "Website-Isolierung" zu aktivieren. Dazu muss man chrome://flags/#enable-site-per-process in die Adressleiste eingeben und hinter "Strict site isolation" auf den Button "Aktivieren" klicken. Ist diese Option aktiv, rendert Chrome den Inhalt jeder geöffneten Website in einem eigenen Prozess, was es Angreifern erschweren soll, das Sicherheitsproblem auszunutzen.