Die Prozessorhersteller, allen voran Intel, hatten vermutlich keine ruhigen Feiertage zum Jahreswechsel 2017/18. Auch wenn die Sicherheitslücken Meltdown und Spectre schon seit über einem halben Jahr bekannt waren, wurde erst in der Weihnachtszeit in den Massenmedien ausführlich darüber berichtet.

Worum geht es?

Betroffen sind nahezu alle Intel-Prozessoren, die seit 1995 auf dem Markt sind. Ebenfalls betroffen sind einige AMD und ARM Produkte. Verbaut sind solche Chips überall: In PCs, Macs, Handys, Servern und in modernen Geräten vom Auto bis zur Waschmaschine. Mit einem Angriff können Hacker möglicherweise an Daten von anderen Benutzern gelangen, die sich ebenfalls dasselbe Gerät gleichzeitig teilen. Dies kann v.a. im Server-Umfeld relevant sein. Durch Spionage-Software (die z.B. unerkannt im Hintergrund läuft) könnten z.B. Logins oder Passwörter jedoch auch von jedem anderen Gerät gestohlen werden.

Meltdown ist eine CPU-Schwachstelle, die nur in Intel-Prozessoren auftritt. Hierbei geht es um unerlaubte Zugriffe von beliebiger Software auf privilegierte Speicher-Adressen, die eigentlich im Kernelmodus geschützt sein sollten.

Spectre ist keine konkrete Sicherheitslücke, sondern eher eine neue Angriffsklasse. Sie betrifft eine große Vielzahl von Intel-, ARM- und AMD-Prozessoren gleichermaßen bis zu einem gewissen Grad. Der Angriff wird durch die unbeabsichtigten Nebenwirkungen der spekulativen Ausführung („speculative execution“) ermöglicht. Dabei handelt es sich um eine Arbeitsweise im Prozessor, um die Datenverarbeitung zu beschleunigen, indem sie CPU-Anweisungen vorhersagen und im Voraus ausführen. Es gibt zwei Varianten von Spectre

• Variante 1: bounds check bypass (Umgehung von Überprüfungen der Grenzen)
• Variante 2: branch target injection (Injektion falscher Verzweigungsziele)

Können die Fehler behoben werden?

Von den beiden Bugs kann Meltdown leichter gelöst und größtenteils mit Betriebssystem-Updates behoben werden. Das Risiko von Spectre (also einer Angriffsklasse, einer neuen Art von Hacker-Methoden) kann in gewissem Maße nur verringert werden. Experten sind sich einig, dass die einzige echte Lösung ein Hardware-Update ist. Daher wird Spectre wahrscheinlich ein Thema für die kommenden Jahre bleiben.

Wie können Sie als User die Fehler bewerten?

Zunächst ist wichtig zu verstehen, dass durch diese Fehler keine „Remote Execution“-Sicherheitslücken vorhanden sind. Das bedeutet, ein Angreifer kann keine Schadsoftware ausführen (oder installieren), indem er aus der Ferne einfach auf Ihren PC zugreift.

Den Forschern zufolge ist die wahrscheinlichste Ausnutzung von Spectre ein webbasierter Angriff, bei dem ein schadhaftes JavaScript (etwa in einer bösartigen Werbe-Anzeige) ausgeführt wird. Alle Browser-Hersteller, also Google, Mozilla, Apple und Microsoft haben Updates für ihre Browser herausgegeben und planen, diese auch künftig zu aktualisieren, um das Risiko zu reduzieren.

Vor diesem Hintergrund besteht im Moment die allgemein empfohlene Vorgehensweise darin, nicht in Panik zu geraten. Nehmen Sie sich Zeit, Betriebssystem- und Firmware-Updates ordnungsgemäß zu bewerten, zu testen und sorgfältig zu implementieren. Zurzeit gibt es bereits eine Vielzahl von weitverbreiteten Kompatibilitätsproblemen, die im Zweifel den Schaden größer machen, als er in der Praxis tatsächlich ist.

Konkret: Was müssen Sie jetzt tun?

Nutzen Sie folgende Software-Updates. Regelmäßig!

• Webbrowser: Bringen Sie Ihren Browser auf den neuesten Stand! Es gibt Sicherheitspatches für Internet Explorer, Firefox, Safari, Edge und Chrome.
• Adobe Flash: Deinstallieren Sie den Flash-Player! Moderne Website nutzen mit HTML 5 bessere Alternativen!
• Betriebssystem: Aktualisieren Sie Ihren Windows PC oder Apple Mac und führen Sie alle Software-Updates aus.
• Hardware: Die Prozessor-Hersteller arbeiten zurzeit noch an Firmware-Updates für Ihre CPUs. Hierbei kam es zuletzt jedoch häufig zu weiteren Nebenwirkungen, wie erheblichen Performance-Verlusten oder System-Abstürzen. Intel hat zuletzt Firmware-Updates zurückgerufen. Wir raten im Moment noch davon ab, sofern im Einzelfall nicht andere Hersteller-Informationen vorliegen, die von der breiten Öffentlichkeit als „problemlos“ akzeptiert werden.

Gerne beraten wir Sie im Einzelfall für Ihre Systeme.

Im Übrigen werden Informationen rund um Meltdown und Spectre in der Fachwelt immer noch diskutiert, verarbeitet und bewertet. Es ist zu erwarten, dass in den kommenden Wochen und Monaten noch konkrete Handlungsanweisungen kommen werden, die weniger fehleranfällig sind. Wir werden diese Erkenntnisse aufmerksam verfolgen und Infos, sobald diese Verfügbar sind, hier im Artikel zur Verfügung stellen.