Achtung: CPU-Schwachstellen "Meltdown" und "Spectre" ermöglichen Zugriff auf sensible Informationen

Mitte dieser Woche wurde bekannt, dass in vielen modernen Prozessoren mehrere Schwachstellen, "Meltdown" (CVE-2017-5754) und "Spectre" (CVE-2017-5753 & CVE-2017-5715) genannt, stecken können, die Angreifern den Zugriff auf sensible Informationen aus dem Speicher des Opfer-Systems ermöglichen können. Entdecker der Sicherheitslücken sind das "Institute of Applied Information Processing and Communications" (IAIK) der TU Graz sowie das Google Project Zero-Team.

Da umfangreiche Updates notwendig sind, um die Sicherheitslücken zu schließen, arbeiten aktuell viele Parteien, u.a. Hersteller von Prozessoren, Betriebssystemen und Browsern sowie Server-Anbieter, daran, diese umzusetzen. Neben Intel- sind wohl auch AMD- und ARM- sowie andere CPUs betroffen - anscheinend aber mit unterschiedlicher Schwere.

Android-Geräte sind laut Google ab dem Security Patch Level vom 5. Januar abgesichert. Zusätzliche Details von Google zu den Schwachstellen sowie zum Umgang damit in Google-Produkten findet man unter security.googleblog.com, security.googleblog.com und support.google.com. In Chrome 63 wurde beispielsweise ein Flag (chrome://flags/#enable-site-per-process) integriert, das Nutzer aktivieren können und das diese schützen soll, jedoch noch Probleme machen kann: chromium.org. Mit Chrome 64 soll am 23. Januar ein zusätzlicher Patch für den Browser folgen: support.google.com.

Apple hat einen Teil der Schwachstellen bereits mit iOS 11.2, macOS 10.13.2 und tvOS 11.2 behoben (watchOS soll nicht betroffen sein) - über Updates für die integrierten Safari-Browser sollen, vermutlich mit iOS 11.2.5/macOS 10.13.3, in den nächsten Tagen die restlichen Fixes folgen: support.apple.com.

Auch Microsoft hat bereits ein Update für Nutzer mit Windows 7, 8.1 und 10 veröffentlicht, das neben dem Betriebssystem selbst auch die Browser Microsoft Edge und Internet Explorer abhärtet: support.microsoft.com, blogs.windows.com & support.microsoft.com. Voraussetzung für die Installation ist jedoch, dass ein ggf. vom Nutzer installiertes Anti-Viren-Programm vorab ebenfalls aktualisiert wurde: support.microsoft.com.

Mozilla arbeitet für seinen Browser Firefox ebenfalls an Absicherungen gegen die Schwachstellen: blog.mozilla.org. In einem ersten Schritt wurde Firefox 57.0.4 mit zusätzlichen Abhärtungen veröffentlicht: mozilla.org & mozilla.org.

Welche weitere Hardware und welche weiteren Systeme (z.B. iOS) betroffen sind, ist noch nicht wirklich klar. Weitere Infos zum bisherigen Stand bzgl. der beiden Lücken und Patches dagegen findet man unter meltdownattack.com. Zusätzliche Informationen sollen von vielen Beteiligten eigenen Angaben zufolge nächste Woche folgen.

Quellen: heise.de, apfelpage.de, heise.de, apfelpage.de & golem.de

Nachtrag vom 6. Januar:

Auch wenn Betriebssystem- und Browser-Hersteller Updates gegen die Schwachstellen veröffentlichen, so lassen sich diese final nur durch Updates für die Microcodes der betroffenen Prozessoren schließen - und setzen damit z.B. BIOS-Updates oder spezielle Tools voraus: zdnet.de.

Intel und ARM haben zwischenzeitlich Listen ihrer betroffenen Prozessoren veröffentlicht: heise.de. Intel will bis nächste Woche 90% seiner Prozessoren, die in den vergangenen fünf Jahren auf den Markt gekommen sind, mit Patches versorgen - wie ist noch unklar: golem.de.

Microsoft hat bereits damit begonnen, Patches für einen Teil seiner Surface-Geräte über die Windows Update-Funktion zu verteilen: stadt-bremerhaven.de.

Ob Apple neben macOS 10.13 auch ältere OS X- bzw. macOS-Versionen gegen die Lücken absichern wird, ist dagegen noch offen - der erste Patch, der mit macOS 10.13.2 umgesetzt wurde, wurde jedenfalls bislang nicht über OS X 10.11 bzw. macOS 10.12 veröffentlicht: support.apple.com (siehe Eintrag mit CVE-2017-5754).

Die Entwickler der beliebten Raspberry Pi-Modelle haben gestern mitgeteilt, dass ihre Geräte von den Schwachstellen nicht betroffen sind: raspberrypi.org.

Nachtrag vom 8. Januar:

Nach Intel und ARM hat auch Qualcomm bestätigt, dass mindestens einige der Snapdragon-Chips über Spectre und teils auch Meltdown angegriffen werden können: heise.de.

Das von Microsoft gegen die Schwachstellen bereitgestellte Windows-Update KB4056892 kann Nutzerberichten zufolge Windows 10-Systeme lahmlegen: heise.de. Auch Microsoft: Für Windows 10 Mobile wurde mit KB4073117 ebenfalls ein entsprechendes Update bereitgestellt: support.microsoft.com.

Zudem kann es wohl doch - anders als anfangs von Herstellern behauptet, von vielen aber erwartet - zu Performance-Einbußen durch Patches gegen die Lücken kommen: heise.de & t3n.de. Dies ist jedoch nicht bei allen der Fall: googlewatchblog.de.

Weitere Links zu Stellungnahmen und Zusatz-Informationen einzelner Hard- und Software-Anbieter findet man unter heise.de.

Nachtrag vom 9. Januar:

Auch WebKit ist von Meltdown und Spectre betroffen: webkit.org. Passend hat Apple vorgestern Updates für macOS, iOS sowie Safari veröffentlicht.

Intel hat zwischenzeitlich Details dazu veröffentlicht, welche Prozessoren welche Updates erhalten werden - und gleichzeitig bestätigt, dass es durch die Patches zu Performance-Einbußen kommen kann: heise.de.

Microsoft hat ein PowerShell-Modul veröffentlicht, mit dem Windows-Systeme (auch Server) auf ihre Verwundbarkeit durch die Schwachstellen überprüfen lassen: support.microsoft.com & heise.de.

Außerdem hat Microsoft Details zu seinen Patches veröffentlicht: CVE-2017-5753 (Spectre 1) und CVE-2017-5754 (Meltdown) setzen demnach kein BIOS-Update voraus - anders als CVE-2017-5715 (Spectre 2). Die von vielen erwarteten Leistungseinbußen können laut Microsoft insbesondere bei älteren Prozessoren bzw. bei Windows 7 und 8 auftreten: cloudblogs.microsoft.com & heise.de.

Zusätzlich hat auch Nvidia diese Woche Treiber-Updates gegen Spectre für einen Teil seiner Grafikkarten veröffentlicht: heise.de.

Nachtrag vom 12. Januar: Weitere Meldungen zu Meltdown und Spectre gibt es unter "Achtung: Neue Details zu CPU-Schwachstellen "Meltdown" und "Spectre"".