Meltdown und Spectre: Prozessor-Lücken bedrohen Milliarden Geräte

Ein Hardware-Fehler ist der größte anzunehmende Unfall bei IT-Systemen. Denn wenn die zugrundeliegende Hardware nicht sicher ist, helfen auch keine weiteren Sicherheitsvorkehrungen mehr. Gleich zwei solche kritischen Fehler haben Sicherheitsforscher in zahlreichen modernen Prozessoren (CPUs) entdeckt. Es sind zwei der weitreichendsten Schwachstellen, die jemals bekannt wurden. Sie ermöglichen Angreifern theoretisch das Auslesen jeglicher Daten, die gerade im Systemspeicher verarbeitet werden. Betroffen sind CPU-Reihen mehrerer Hersteller, darunter nahezu alle seit 1995 eingeführten Intel-Chips. Die meisten Computer, Cloud-Server und Mobilgeräte mit CPUs von Intel, AMD und ARM sind für mindestens einen der Angriffe anfällig, die auf die Namen „Meltdown“ (Kernschmelze) und „Spectre“ (Schreckgespenst) getauft wurden.

Angreifer könnten die Fehler in der Hardware ausnutzen, um mittels Schadprogrammen vertrauliche Daten aus dem Speicherbereich auszulesen, der aktuell von anderen laufenden Programmen und dem Betriebssystem genutzt wird. Das können in Passwortmanagern oder Browsern gespeicherte Zugangsdaten, persönliche Fotos, E-Mails, Chatnachrichten oder sogar vertrauliche Geschäftsdokumente sein. Allerdings gibt es bisher keine Hinweise, dass die Lücken tatsächlich ausgenutzt wurden. Was theoretisch machbar ist, demonstrieren Sicherheitsforscher der Technischen Universität Graz in mehreren YouTube-Videos.

Meltdown lässt die grundlegende Trennung zwischen Benutzeranwendungen und Betriebssystem „schmelzen“. Diese Angriffsmethode erlaubt es einem Programm, auf den Speicher und damit auch auf die vertraulichen Daten anderer Programme und des Betriebssystems zuzugreifen. Spectre durchbricht die Isolation zwischen verschiedenen Anwendungen. Angreifer können dadurch eigentlich fehlerfreie Programme dazu bringen, vertrauliche Daten preiszugeben. Detaillierte technische Informationen zu Meltdown und Spectre finden sich in zwei wissenschaftlichen Arbeiten sowie in einem Blogbeitrag von Googles Project Zero Team, das an der Entdeckung beider Schwachstellen beteiligt war.

Spectre ist den Sicherheitsforschern zufolge deutlich schwieriger auszunutzen als Meltdown. Aber dafür sei es auch komplizierter, die Spectre-Lücke zu schließen. Mittels Softwareupdates lassen sich bestimmte bekannte Angriffe auf Basis von Spectre und Meltdown entschärfen. Für Linux, Windows und macOS liegen bereits Patches vor oder sollen in Kürze erscheinen. Cloud-Provider wie Amazon Web Services haben ebenfalls Updates angekündigt bzw. bereitgestellt. Mozilla arbeitet an einem Fix für Firefox, den wir schnellstmöglich für unseren Firefox-basierten Cliqz Browser veröffentlichen werden. [Update vom 5.1.: Mozilla hat den Fix mit Firefox 57.0.4 inzwischen ausgeliefert. Er ist auch in der neuesten Cliqz-Version 1.17.4 für Windows und Mac enthalten, die ab sofort auf unserer Website zum Download bereitsteht.]

Die Sicherheitsupdates umgehen oder deaktivieren die angreifbaren Mechanismen im Prozessor. Darunter kann aber auch die Leistung leiden, so dass das System langsamer wird. Ursprünglich war von möglichen Performance-Einbrüchen von bis zu 30 Prozent die Rede. Tatsächlich sollen die Leistungseinbußen aber deutlich geringer ausfallen.

Nutzer sollten ihr System in jedem Fall schnellstmöglich aktualisieren, sobald Patches verfügbar werden. Das gilt nicht nur für das Betriebssystem selbst, sondern auch für Programme wie Antivirenlösungen und Browser. Die neueste Cliqz-Version steht immer auf unserer Website zum kostenlosen Download bereit.