Derzeit sind die Begrifflichkeiten Spectre und Meltdown in aller Munde \u2013 doch wieso sind bestimmte Prozessoren (CPUs) \u00fcberhaupt angreifbar, wie sehen die Sicherheitsl\u00fccken aus? Und genauso wichtig: Wie kann ich mich sch\u00fctzen?<\/p>\n
Update, 23. Januar 2018: <\/strong>Chiphersteller Intel hat Fehler in den neuesten Updates gegen die schwerwiegenden Sicherheitsl\u00fccken gefunden und r\u00e4t davon ab, entsprechende Versionen davon zu installieren. So k\u00f6nne es durch die Updates zu „unvorhersehbaren Problemen“ f\u00fchren – wie sich diese genau gestalten und welche konkrete Gefahr f\u00fcr User besteht, sagte der Konzern nicht.\u00a0Auch ist unklar, was Personen tun sollen, die die neuesten Updates bereits installiert haben – nicht jedes Update l\u00e4sst sich durch jeden User einfach r\u00fcckg\u00e4ngig machen, insbesondere wenn UEFI\/BIOS betroffen sind. In unserer Redaktion gab es bisher keine Probleme – vielleicht m\u00f6chte sich der Konzern nur absichern oder die User sch\u00fctzen, bei denen das Update zu negativen Folgen f\u00fchren k\u00f6nnte. Intel-Manager Navin Shenoy in einem Blogeintrag:\u00a0„Wir rufen unsere Partner in der Industrie auf, ihre Anstrengungen auf fr\u00fchere Update-Versionen zu konzentrieren, sodass wir die Ver\u00f6ffentlichung beschleunigen k\u00f6nnen“. Es bleibt zu hoffen, dass Intel schnell mit einem entsprechenden Sicherheitsupdate hinterherkommt.<\/p>\n Spectre und Meltdown verst\u00e4ndlich erkl\u00e4rt \u2013 das sind die Angriffsszenarien <\/strong><\/p>\n Insgesamt sind drei Angriffsszenarien bekannt, die als schwerwiegende Sicherheitsl\u00fccke gelten: Zwei werden als Spectre bezeichnet \u00a0(CVE-2017-5753 und CVE-2017-5715), eines als Meltdown (CVE-2017-5754).<\/p>\n Betroffen sind folgende Prozessoren:<\/p>\n Nicht betroffen sind folgende Ger\u00e4te:<\/p>\n Der Kernelspeicher (Rogue Data Cache Read) und der Userspace teilen sich im Translation Lookaside Buffer (TLB) einen gemeinsamen Cache. Deshalb ist es unter Umst\u00e4nden f\u00fcr Angreifer m\u00f6glich, Daten aus dem jeweils anderen Bereich auszulesen, die eigentlich vertraulich sind. Jetzt kann man sich fragen: Wieso greifen die beiden Bereiche eigentlich auf denselben Cache zur\u00fcck? Die Antwort ist simpel: Die Vorgehensweise, dass der Speicher von beiden Anwendungskontexten verwendet werden kann, ohne geleert werden zu m\u00fcssen, bietet enorme Geschwindigkeitsvorteile. Genau diesen Umstand jedoch nutzt der Meltdown-Angriff aus.<\/p>\n Bei Spectre wird die \u201eSpeculative Exekution\u201c von CPUs ausgenutzt, also der Versuch des Prozessors, Befehle zu erraten, die in Zukunft ausgef\u00fchrt werden k\u00f6nnten. Prozessorkapazit\u00e4ten, die gerade frei sind, sollen hierbei verwendet werden, um Informationen bereitzustellen, die in K\u00fcrze vielleicht ben\u00f6tigt werden. Problematisch hierbei: Es k\u00f6nnen auch Informationen bereitgestellt werden, die vertraulich sind. Die vom Prozessor vorausberechneten Informationen k\u00f6nnen so ausgelesen werden.<\/p>\n Unbedingt Sicherheitsupdates herunterladen und installieren!<\/strong><\/p>\n Microsoft hat bereits Updates bereitgestellt, die gegen Spectre und Meltdown helfen sollen \u2013 auch wenn die Sicherheitsl\u00fccke nicht komplett geschlossen zu sein scheint, sollen Angriffe durch diese Patches zumindest erschwer werden. Zum konkreten Inhalt der Updates hat sich Microsoft nicht ge\u00e4u\u00dfert. Pr\u00fcfen Sie unter Windows Updates, ob Aktualisierungen zum Download oder zur Installation bereitstehen. Auch bei Browsern, Grafikkarten-Treibern und anderen Betriebssystemen (bspw. MacOS) gibt es bereits Patches \u2013 diese sollten also ebenfalls aktualisiert werden. Die Betriebssystem-Updates verringern zwar die Angriffsfl\u00e4che, aufgrund des Hardwaredesigns aller relevanter Prozessoren kann die Sicherheitsl\u00fccken jedoch eigentlich nur \u201emigriert\u201c werden. Au\u00dferdem ist ein Verzicht von JavaScript in Webbrowsern ratsam, da sich bei der Nutzung viel Angriffsfl\u00e4che auftut \u2013 da reicht schon der Besuch einer kompromittierten Website f\u00fcr gr\u00f6\u00dfere Sch\u00e4den aus. Deshalb keinen Webbrowser mit aktiviertem JavaScript ge\u00f6ffnet lassen, solange mit sensiblen Daten gearbeitet wird. Auch nachdem mit sensiblen Daten gearbeitet wurde, k\u00f6nnen diese noch im PC-Speicher existieren und entsprechen durch Dritte ausgelesen werden. Es ist aber nicht alleinig ausreichend, Betriebssysteme und Programme zu aktualisieren. Auch die CPU-Firmware muss aktualisiert werden, der sogenannte Microcode wird \u00fcber ein BIOS\/UEFI-Update installiert.<\/p>\n Leistungseinbu\u00dfen nach Update?<\/strong><\/p>\n Der Translation Lookaside Buffer (TLB) wir nach der Installation der Updates mutma\u00dflich nicht mehr von Kernel und Userspace synchron verwendet. Das kann zu Leistungseinbu\u00dfen f\u00fchren. Intel selbst berichtet von Leistungseinbu\u00dfen bei der achten und siebten Core-i-Generation bei Office-Benchmarks (SYSMark2014SE) von rund sechs Prozent, bei CPUs der sechsten Generation sind es etwa acht Prozent. Je \u00e4lter der Prozessor bzw. dessen Architektur, desto gr\u00f6\u00dfer der Leistungsverlust. Au\u00dferdem wird von Inkompatibilit\u00e4ten nach dem Update berichtet, insbesondere bei Systemen mit AMD-CPU: Hier wird von Systemabst\u00fcrzen berichtet, die mit einem Windows-Update Mitte Januar behoben werden sollen. Besonders problematisch sind auch Anwendungsszenarien, bei denen h\u00e4ufige I\/O-Operationen durchgef\u00fchrt werden \u2013 etwa Datenbank-Server. Auch Cloud-Nutzer\/-innen berichten von einer teils stark gestiegenen Serverauslastung.<\/p>\n Cloud-Server leiden besonders unter Spectre und Meltdown<\/strong><\/p>\n Cloudsysteme haben die Eigenschaft, dass auf einem physikalischen Server viele Cloudanwendungen parallel laufen. Wenn nun jemand seine Daten im Browser bearbeitet, dann hat er keinen Einfluss darauf, welche Programme auf demselben physikalischen Server laufen und \u00fcber die vorhandenen Sicherheitsl\u00fccken Meltdown und Spectre den gemeinsamen Hauptspeicher auslesen k\u00f6nnten – selbst dann, wenn er auf seinem eigenen Clientrechner darauf achtet, nicht gleichzeitig noch andere Internetseiten mit m\u00f6glicherweise b\u00f6sartigem Javascript ge\u00f6ffnet zu haben. Daher sind Cloudsysteme von diesen Sicherheitsl\u00fccken besonders betroffen, was nur teilweise durch Softwareupdates verhindert werden kann. Auch deshalb gilt: Vorsicht mit sensiblen Daten in Cloud-Umgebungen. Es kann unsicherer sein, in einer Cloudumgebung zu arbeiten statt auf einem eigenen Rechner \u2013 bei diesem n\u00e4mlich kann selbst daf\u00fcr sorgen, dass der Prozessor nicht mit anderen Programmen (von unbekannten Usern) geteilt wird. Spectre und Meltdown wurden quasi \u00fcber Nacht bekannt und haben ein doch schon gro\u00dfes Ausma\u00df. Deshalb kann man als User nicht vorsichtig genug sein, schlie\u00dflich ist unklar, welche potentiellen Sicherheitsl\u00fccken in Zukunft aufgedeckt werden k\u00f6nnten.<\/p>\n","protected":false},"excerpt":{"rendered":" Derzeit sind die Begrifflichkeiten Spectre und Meltdown in aller Munde \u2013 doch wieso sind bestimmte Prozessoren (CPUs) \u00fcberhaupt angreifbar, wie sehen die Sicherheitsl\u00fccken aus? Und genauso wichtig: Wie kann ich mich sch\u00fctzen? Update, 23. Januar 2018: Chiphersteller Intel hat Fehler in den neuesten Updates gegen die schwerwiegenden Sicherheitsl\u00fccken gefunden und r\u00e4t davon ab, entsprechende Versionen … Spectre und Meltdown: CPU-Sicherheitsl\u00fccken erkl\u00e4rt \u2013 Wie kann ich mich sch\u00fctzen?<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[183,106,631,639,221,125,185,636,635,637,323,407,633,632,182,642,643,641,640,627,628,629,87,186,638,175,133,634,626,630],"class_list":["post-2273","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-amd","tag-apple","tag-apple-watch","tag-avm","tag-cloud","tag-computer","tag-cpu","tag-cve-2017-5715","tag-cve-2017-5753","tag-cve-2017-5754","tag-datenbank","tag-google","tag-google-chromecast","tag-google-home","tag-intel","tag-intel-core-i5","tag-intel-core-i7","tag-kernel","tag-lancom","tag-meltdown","tag-nvidia","tag-nvidia-shield","tag-pc","tag-prozessor","tag-raspberry-pi","tag-sicherheit","tag-sicherheitsluecke","tag-soc","tag-spectre","tag-tegra"],"_links":{"self":[{"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/posts\/2273","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/comments?post=2273"}],"version-history":[{"count":3,"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/posts\/2273\/revisions"}],"predecessor-version":[{"id":2277,"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/posts\/2273\/revisions\/2277"}],"wp:attachment":[{"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/media?parent=2273"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/categories?post=2273"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/wp-json\/wp\/v2\/tags?post=2273"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n