Meltdown und Spectre: Alle Macs und iOS-Geräte betroffen

Inhaltsverzeichnis

Nach Tagen des Schweigens hat sich Apple nun erstmals zu den schwerwiegenden Sicherheitsproblemen in zahlreichen heute gebräuchlichen Chips geäußert. Wie das Unternehmen in einem am Donnerstagabend veröffentlichten englischsprachigen Supportdokument schreibt, sind "alle Mac- und iOS-Systeme" von den sogenannten Speculative Execution Vulnerabilities betroffen, wenn sie mit Intel- oder ARM-Chips ausgerüstet sind.

Damit ist es Anwendungen möglich, auf Kernel-Bereiche zuzugreifen, die sie eigentlich nicht sehen dürften – so lassen sich etwa Passwörter auslesen, die in einem anderen Fenster eingegeben werden.

Mehr Infos

Siehe dazu:

• Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates
• Massive Lücke in Intel-CPUs erfordert umfassende Patches
• Prozessor-Bug: Browser-Hersteller reagieren auf Meltdown und Spectre
• Prozessor-Bug: Intel-Chef stieß hunderttausende Aktien ab, Börsenkurs sackt ab

Vertrauenswürdige Softwarequellen nutzen

"Diese Probleme betreffen alle modernen Prozessoren und wirken auf nahezu alle aktuellen Computer und Betriebssysteme." Um "die meisten" dieser Probleme auszunutzen, müsste zunächst eine böswillige App gestartet werden, so Apple weiter. Der Konzern empfiehlt daher nur die Verwendung aus sicheren Quellen wie dem App Store des Konzerns. Erste Gegenmaßnahmen seien in den aktuellen Versionen von iOS (11.2), macOS (10.13.2) und tvOS (11.2) vorgenommen worden.

Weitere Updates geplant – inklusive Safari

Was mit älteren Betriebssystemversionen ist – zumindest auf dem Mac pflegt der Konzern aktuell auch noch macOS 10.11 und 10.10 weiter – wurde nicht kommuniziert. Die Apple Watch soll von Meltdown nicht betroffen sein. Parallel will Apple auch seinen eigenen Browser Safari abdichten – "in den kommenden Tagen". Weitere Gegenmaßnahmen seien in "kommenden Updates" für iOS, macOS, tvOS und watchOS geplant.

Safari-JavaScript-Performance leicht reduziert

Apple erklärt in seinem Dokument weiterhin, wie Meltdown und Spectre arbeiten und erläutert, dass ein Spectre-Schutz für Safari die JavaScript-Leistung zumindest im JetStream-Benchmark um 2,5 Prozent reduzieren kann, im ARES-6-Test hingegen wird Safari durch die Bugfixes hingegen nicht verlangsamt. Die aktuellen Meltdown-Maßnahmen tangierten macOS und iOS laut GeekBench 4 ebenfalls nicht messbar. Sicherheitsforscher hatten zuvor gewahnt, dass Fixes für die Probleme bis zu 30 Prozent Leistungseinbußen bei Intel-Systemen hervorrufen könnten.

Mehr zum Thema:

• Bericht: Intel-Chip-Lücke in macOS High Sierra bereits gefixt – teilweise

[Update 06.01.18 20:42 Uhr:] Apple hat sein Supportdokument mittlerweile um die Angabe ergänzt, die Apple Watch sei weder für Meltdown noch Spectre anfällig. Zuvor hieß es nur, Meltdown sei auf der Computeruhr nicht ausnutzbar. (bsc)