Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates
Nach diversen Spekulationen über Ursache und Auswirkungen der CPU-Sicherheitslücke nehmen Intel und Google Stellung. Google veröffentlicht Details, außerdem zeigten Sicherheitsforscher mit Spectre und Meltdown zwei Angriffsszenarien.
- Jürgen Kuri
Mehr zu Meltdown und Spectre:
- Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau
- Intel und ARM nennen betroffene Prozessoren, Nvidia analysiert noch
- Meltdown und Spectre: Alle Macs und iOS-Geräte betroffen
- Browser-Hersteller reagieren
- Intel-Chef stieß hunderttausende Aktien ab
- Massive Lücke in Intel-CPUs erfordert umfassende Patches
Die Berichte über eine gravierende Sicherheitslücke in Intel-CPUs, die sensible Daten für Angreifer auslesbar machen und aufgrund der notwendigen Updates Performance-Einbußen bringen soll, haben nun zu Reaktionen von Herstellern geführt. Sie wollen die Spekulationen mit ersten Informationen korrigieren und die Schwere der Lücke sowie die Auswirkungen ins rechte Licht rücken.
Google immerhin veröffentlicht im Rahmen seines Project Zero auch Details zu der Lücke, Sicherheitsforscher haben mit Meltdown und Spectre zudem zwei Angriffsszenarien beschrieben, die das Leck ausnutzen.
Nicht nur Intel-CPUs betroffen
Intel hat als Erster zu den bisherigen Berichten und Mutmaßungen über die Lücke in Intel-CPUs Stellung genommen – allerdings, ohne wirklich Klarheit zu schaffen. Denn Intel gibt nicht genau bekannt, in was die Sicherheitslücke genau besteht und welche Auswirkungen sie haben kann. Immerhin erklärt der Prozessorhersteller, die Lücke habe das Potenzial, dass Angreifer sensitive Daten auf Systemen abgreifen könnten, die eigentlich wie vorgesehen arbeiten. Man gehe aber nicht davon aus, dass durch die Lücke Daten korrumpiert, manipuliert oder gelöscht werden könnten.
Allerdings betont Intel, dass nicht nur die hauseigenen Prozessoren betroffen seien: Berichte, die Sicherheitslücke trete nur bei Intel-CPUs auf, seien nicht richtig. Auf vielen Systemen mit unterschiedlichen Prozessoren und Betriebssystemen könne das Leck ausgenutzt werden. Intel arbeite mit anderen Herstellern, darunter AMD und ARM, und Betriebssystemanbietern zusammen, um das Problem allgemein zu lösen.
Auch seien mögliche Performance-Einbußen immer vom Workload abhängig, erklärt Intel. Für Nutzer würden sie im Allgemeinen kaum bemerkbar sein, zudem würden mögliche Performance-Probleme mit der Zeit ebenfalls gelöst werden. In einigen Berichten war dagegen von Performance-Einbußen von bis zu 30 Prozent die Rede gewesen, während die meisten mit der Lücke beschäftigten Entwickler von bis zu 5 Prozent ausgegangen waren.
Man werde Details zur Lücke und zu den Gegenmaßnahmen in der kommenden Woche veröffentlichen, wenn Software- und Firmware-Updates auf einer breiteren Basis zur Verfügung stünden. Intel habe sich aber nun zu einem Statement veranlasst gesehen, um die kursierenden Berichte, die falsche Informationen enthielten, zu korrigieren.
Google: Auch AMD und ARM betroffen
Google sah sich ebenfalls veranlasst, zu den Berichten über die CPU-Sicherheitslücke Stellung zu nehmen, geht aber weit mehr ins Detail und erklärt die Hintergründe. Google betont allerdings wie Intel, man habe am 9. Januar Details veröffentlichen wollen, wenn die notwendigen Korrekturen allgemein verfügbar seien. Auch Google erklärt, dass nicht nur Intel-CPUs, sondern auch Prozessoren von AMD und ARM betroffen seien – Android-Systeme etwa seien ebenfalls gefährdet, seien aber mit dem bislang letzten Security-Update vom 2. Januar geschützt.
Google selbst habe bereits die eigenen Systeme sowie betroffenen Produkte aktualisiert. Auch habe man mit Hardware- und Software-Herstellern in der gesamten Industrie zusammengearbeitet, um die Systeme und die User zu schützen. Google gibt zudem detaillierten Hinweise zum Status einzelner Produkte und Dienstleistungen sowie dazu, ob User-Aktivitäten zum Schutz vor dem Ausnutzen der Lücke notwendig sind.
Ähnlich wie Google haben Microsoft und Amazon bereits begonnen, ihre Cloud-Dienste mit Updates abzusichern. Außerdem will Microsoft wohl noch am heutigen Donnerstag ein Security-Update für Windows veröffentlichen. Auch Apple soll mit einem früheren Update für macOS das Leck bereits partiell geschlossen haben und mit dem geplanten Update auf 10.3.3 weitere Fixes nachziehen.
Googles Project Zero hat inzwischen auch Details zu der Sicherheitslücke in Prozessoren und den Auswirkungen veröffentlicht. Darin verweisen Googles Sicherheitsforscher auch auf die zwei Angriffsszenarien, die von anderen Sicherheitsexperten entwickelt wurden und die Spectre beziehungsweise Meltdown getauft wurden.
AMD: Eingeschränkte Verwundbarkeit
AMD erklärte, dass die eigenen Prozessoren von den in den Analysen durch Google Project Zero beschriebenen Angriffsvarianten nach den bisherigen Untersuchungen nur in einem Fall (Variant One, Bounds Check Bypass) betroffen seien.
Bei Variante Zwei (Branch Target Injection) sehe man durch Unterschiede in der Architektur bei AMD-CPUs praktisch keine Gefahr, dass die Lücke genutzt werden könne, Variante 3 (Rogua Data Cache Load) könne aufgrund dieser Architekturunterschiede auf keinen Fall ausgenutzt werden.
Insgesamt stellt sich die Situation für die normalen User jedenfalls als sehr undurchsichtig dar – immerhin schätzen alle Sicherheitsforscher und Hersteller die Lücke als sehr gravierend ein, und alle Hersteller bemühen sich offensichtlich um schnelle Updates. Klar scheint nach den Analysen von Google jedenfalls zu sein, dass man lokal Code auführen können muss, um einen Angriff einzufädeln. Die weiteren Entwicklungen und die einzelnen Patches werden aber erst noch zeigen müssen, welche Auswirkungen die Lücke und die Gegenmaßnahmen wirklich haben.
[Update 04.01.2018 10:51]
Das Windows-Update, das Microsoft in der Nacht herausgegeben hat, um der Sicherheitslücke zu begegnen, ist offensichtlich das Update, das für den 9. Januar mit Bekanntgabe der Details zu den Problemen vorgesehen war. Allerdings bekommen nicht alle Anwender das Update angeboten: Es gibt Probleme mit einigen Antivirus-Produkten. Betroffen ist Antiviren-Software, die laut Microsoft nicht unterstützte Aufrufe in den Windows-Kernelspeicher macht. Um die Kompatibilität ihrer Antiviren-Produkte mit dem Sicherheitsupdate zu dokumentieren, müssen die Hersteller einen bestimmten Registry-Key in Windows setzen; Microsoft dokumentiert dies in seinem Support-Hinweis. Einige Antiviren-Hersteller, etwa Kaspersky oder Avast, haben schon reagiert und Updates bereitgestellt oder sie für den 9. Januar angekündigt. Microsoft warnt ausdrücklich davor, das Windows-Update zu installieren, solange nicht kompatible Antiviren-Software eingesetzt wird.
[Update 08.01.2018 12:15]:
Für Windows Server sind unter Umständen neben den Updates zudem einige zusätzliche Maßnahmen erforderlich. MIcrosoft beschreibt die notwendigen Änderungen an der Registry in einem eigenen Support-Dokument: Windows Server guidance to protect against speculative execution side-channel vulnerabilities. Dort warnt Microsoft aber auch bereits davor, dass zusätzliche Prozessor-Microcode-Updates notwendig seien. Außerdem können die beschriebenen Fixes negativen Einfluss auf die Performance der Server haben – dies hänge aber stark von der Art der Server-Anwendungen und vom Workload ab. (jk)
