Spectre und Meltdown: CPU-Sicherheitslücken erklärt – Wie kann ich mich schützen?

Derzeit sind die Begrifflichkeiten Spectre und Meltdown in aller Munde – doch wieso sind bestimmte Prozessoren (CPUs) überhaupt angreifbar, wie sehen die Sicherheitslücken aus? Und genauso wichtig: Wie kann ich mich schützen?

Update, 23. Januar 2018: Chiphersteller Intel hat Fehler in den neuesten Updates gegen die schwerwiegenden Sicherheitslücken gefunden und rät davon ab, entsprechende Versionen davon zu installieren. So könne es durch die Updates zu „unvorhersehbaren Problemen“ führen – wie sich diese genau gestalten und welche konkrete Gefahr für User besteht, sagte der Konzern nicht. Auch ist unklar, was Personen tun sollen, die die neuesten Updates bereits installiert haben – nicht jedes Update lässt sich durch jeden User einfach rückgängig machen, insbesondere wenn UEFI/BIOS betroffen sind. In unserer Redaktion gab es bisher keine Probleme – vielleicht möchte sich der Konzern nur absichern oder die User schützen, bei denen das Update zu negativen Folgen führen könnte. Intel-Manager Navin Shenoy in einem Blogeintrag: „Wir rufen unsere Partner in der Industrie auf, ihre Anstrengungen auf frühere Update-Versionen zu konzentrieren, sodass wir die Veröffentlichung beschleunigen können“. Es bleibt zu hoffen, dass Intel schnell mit einem entsprechenden Sicherheitsupdate hinterherkommt.

Spectre und Meltdown verständlich erklärt – das sind die Angriffsszenarien

Insgesamt sind drei Angriffsszenarien bekannt, die als schwerwiegende Sicherheitslücke gelten: Zwei werden als Spectre bezeichnet  (CVE-2017-5753 und CVE-2017-5715), eines als Meltdown (CVE-2017-5754).

Betroffen sind folgende Prozessoren:

  • Intel Core i3, i5, i7 (jeweils 45nm und 32nm), Intel Core M (45nm and 32nm), Intel Core 2. bis 8. Generation, Core X, Xeon, Atom und Celeron sowie einige Pentium (Intel Itanium und Intel Atom vor 2013 sind nicht betroffen)
  • Qualcomm Snapdragon-CPUs (Tablets und Smartphones) sind mindestens anfällig gegenüber Spectre
  • AMD-Prozessoren sind laut AMD nicht relevant von Meltdown, sehr wohl aber von Spectre betroffen (Betriebssystem- und Microsocode-Updates vorhanden) | Quelle: AMD
  • Apple-Prozessoren in iMac, Macbook, iPhone, iPad und AppleTV sind betroffen | Quelle: Apple
  • Nvidia Tegra und Nvidias SoCs mit ARM-CPUs: auch hier scheint ein Sicherheitsrisiko gegeben, Nvidia bereitet hierzu Sicherheitsupdates vor (z.B. für Nvidia Shield)

Nicht betroffen sind folgende Geräte:

  • Apple Watch
  • Google Home, Google Chromecast, Wifi und OnHub
  • Raspberry Pi (verwendet nur ARM-Prozessoren ohne “Speculative execution”)
  • AVM (u.a. Fritzbox)
  • Geräte von Lancom | Quelle: Lancom

Der Kernelspeicher (Rogue Data Cache Read) und der Userspace teilen sich im Translation Lookaside Buffer (TLB) einen gemeinsamen Cache. Deshalb ist es unter Umständen für Angreifer möglich, Daten aus dem jeweils anderen Bereich auszulesen, die eigentlich vertraulich sind. Jetzt kann man sich fragen: Wieso greifen die beiden Bereiche eigentlich auf denselben Cache zurück? Die Antwort ist simpel: Die Vorgehensweise, dass der Speicher von beiden Anwendungskontexten verwendet werden kann, ohne geleert werden zu müssen, bietet enorme Geschwindigkeitsvorteile. Genau diesen Umstand jedoch nutzt der Meltdown-Angriff aus.

Bei Spectre wird die „Speculative Exekution“ von CPUs ausgenutzt, also der Versuch des Prozessors, Befehle zu erraten, die in Zukunft ausgeführt werden könnten. Prozessorkapazitäten, die gerade frei sind, sollen hierbei verwendet werden, um Informationen bereitzustellen, die in Kürze vielleicht benötigt werden. Problematisch hierbei: Es können auch Informationen bereitgestellt werden, die vertraulich sind. Die vom Prozessor vorausberechneten Informationen können so ausgelesen werden.

Unbedingt Sicherheitsupdates herunterladen und installieren!

Microsoft hat bereits Updates bereitgestellt, die gegen Spectre und Meltdown helfen sollen – auch wenn die Sicherheitslücke nicht komplett geschlossen zu sein scheint, sollen Angriffe durch diese Patches zumindest erschwer werden. Zum konkreten Inhalt der Updates hat sich Microsoft nicht geäußert. Prüfen Sie unter Windows Updates, ob Aktualisierungen zum Download oder zur Installation bereitstehen. Auch bei Browsern, Grafikkarten-Treibern und anderen Betriebssystemen (bspw. MacOS) gibt es bereits Patches – diese sollten also ebenfalls aktualisiert werden. Die Betriebssystem-Updates verringern zwar die Angriffsfläche, aufgrund des Hardwaredesigns aller relevanter Prozessoren kann die Sicherheitslücken jedoch eigentlich nur „migriert“ werden. Außerdem ist ein Verzicht von JavaScript in Webbrowsern ratsam, da sich bei der Nutzung viel Angriffsfläche auftut – da reicht schon der Besuch einer kompromittierten Website für größere Schäden aus. Deshalb keinen Webbrowser mit aktiviertem JavaScript geöffnet lassen, solange mit sensiblen Daten gearbeitet wird. Auch nachdem mit sensiblen Daten gearbeitet wurde, können diese noch im PC-Speicher existieren und entsprechen durch Dritte ausgelesen werden. Es ist aber nicht alleinig ausreichend, Betriebssysteme und Programme zu aktualisieren. Auch die CPU-Firmware muss aktualisiert werden, der sogenannte Microcode wird über ein BIOS/UEFI-Update installiert.

Leistungseinbußen nach Update?

Der Translation Lookaside Buffer (TLB) wir nach der Installation der Updates mutmaßlich nicht mehr von Kernel und Userspace synchron verwendet. Das kann zu Leistungseinbußen führen. Intel selbst berichtet von Leistungseinbußen bei der achten und siebten Core-i-Generation bei Office-Benchmarks (SYSMark2014SE) von rund sechs Prozent, bei CPUs der sechsten Generation sind es etwa acht Prozent. Je älter der Prozessor bzw. dessen Architektur, desto größer der Leistungsverlust. Außerdem wird von Inkompatibilitäten nach dem Update berichtet, insbesondere bei Systemen mit AMD-CPU: Hier wird von Systemabstürzen berichtet, die mit einem Windows-Update Mitte Januar behoben werden sollen. Besonders problematisch sind auch Anwendungsszenarien, bei denen häufige I/O-Operationen durchgeführt werden – etwa Datenbank-Server. Auch Cloud-Nutzer/-innen berichten von einer teils stark gestiegenen Serverauslastung.

Cloud-Server leiden besonders unter Spectre und Meltdown

Cloudsysteme haben die Eigenschaft, dass auf einem physikalischen Server viele Cloudanwendungen parallel laufen. Wenn nun jemand seine Daten im Browser bearbeitet, dann hat er keinen Einfluss darauf, welche Programme auf demselben physikalischen Server laufen und über die vorhandenen Sicherheitslücken Meltdown und Spectre den gemeinsamen Hauptspeicher auslesen könnten – selbst dann, wenn er auf seinem eigenen Clientrechner darauf achtet, nicht gleichzeitig noch andere Internetseiten mit möglicherweise bösartigem Javascript geöffnet zu haben. Daher sind Cloudsysteme von diesen Sicherheitslücken besonders betroffen, was nur teilweise durch Softwareupdates verhindert werden kann. Auch deshalb gilt: Vorsicht mit sensiblen Daten in Cloud-Umgebungen. Es kann unsicherer sein, in einer Cloudumgebung zu arbeiten statt auf einem eigenen Rechner – bei diesem nämlich kann selbst dafür sorgen, dass der Prozessor nicht mit anderen Programmen (von unbekannten Usern) geteilt wird. Spectre und Meltdown wurden quasi über Nacht bekannt und haben ein doch schon großes Ausmaß. Deshalb kann man als User nicht vorsichtig genug sein, schließlich ist unklar, welche potentiellen Sicherheitslücken in Zukunft aufgedeckt werden könnten.

Juli-Patchday: Microsoft schließt kritische Sicherheitslücken

Bild: Es ist soweit! Am 12. Juli 2016 wurden die Aktualisierungen des Juli-Patchdays veröffentlicht.
Bild: Es ist soweit! Am 12. Juli 2016 wurden die Aktualisierungen des Juli-Patchdays veröffentlicht.

Anlässlich des Juli-Patchdays haben Microsoft und Adobe zahlreiche Updates für ihre Software veröffentlich, durch die einige Sicherheitslücken geschlossen werden sollen. Aktualisierungen betreffen unter anderem Windows-Betriebssysteme, die Webbrowser Microsoft Internet Explorer und Microsoft Edge sowie Microsoft Office und Adobe Flash Player.

Elf Sicherheitslücken werden geschlossen, davon sechs „kritisch“

Microsoft veröffentlicht elf Updates, manche davon schließen gleich mehrere Sicherheitslücken. Sechs dieser Sicherheitslücken werden als „kritisch“ eingestuft, entsprechende Updates sollten schnellstmöglich durchgeführt werden.

Updates für Microsofts Webbrowser IE und Edge – Angreifer könnten Admin-Rechte erhalten

Die Patches mit der Bezeichnung MS16-084 und MS16-085 beheben Sicherheitslücken bei Microsofts Webbrowsern Internet Explorer und Edge. Denn in beiden Fällen können Angreifer die Kontrolle über den Computer übernehmen – dazu reicht meist der Besuch einer kompromittierten Webseite aus mit einem der Webbrowser aus. Angreifer können mit gleichen Rechten agieren wie der angemeldete User, was insbesondere dann kritisch werden kann, wenn dieser als Administrator angemeldet ist.

Auch Microsoft Office und Windows müssen gepatcht werden

Eine Sicherheitslücke bei Microsoft Office ermöglicht ein Eindringen von Schadcode, nachdem ein manipuliertes Office-Dokument geöffnet wurde, diese wird durch Patch MS16-088 geschlossen. Undichte Stellen in der Druckerspoolerkomponente und den Scriptmodulen von Windows werden mit den Patches MS16-087 und MS16-086 geschlossen. Wird der Adobe Flash Player unter Windows 8.1, Windows 10 oder Windows Server 2012 verwendet, schließt der Patch MS16-093 entsprechende Sicherheitslücken.

Wie beziehe ich die Updates?

Die Updates sind über Windows Update verfügbar. Standardmäßig werden die Updates automatisch heruntergeladen und bei einem Neustart oder beim Herunterfahren des Computers installiert. Sind die automatischen Updates deaktiviert, sollten diese manuell heruntergeladen werden. Das geht durch Aktivierung der automatischen Updates oder über das Security TechCenter von Microsoft. Es ist schon Schadsoftware im Umlauf, die einige der aufgeführten Sicherheitslücken auszunutzen versucht, weshalb die Aktualisierungen zeitnah durchgeführt werden sollten.

Apple QuickTime unter Windows: US-Behörde rät zur Deinstallation

Bild: QuickTime-Logo
Bild: QuickTime-Logo

Die US-amerikanische Behörde „Department of Homeland Security“ ist eigentlich für die Terrorabwehr zuständig. Immer wieder aber veröffentlicht das IT-Team aber auch Sicherheitshinweise zu Software. Meist sind diese eher allgemeiner Natur, so wird beispielsweise zur Verwendung von Antivirus-Software geraten. Jetzt allerdings warnt das Department of Homeland Security vor der Nutzung des Mediaplayers Apple QuickTime unter Windows-Betriebssystemen.

Zwei Sicherheitslücken werden nicht geschlossen

Grund für die Warnung sind zwei Sicherheitslücken bei Apple QuickTime unter Windows, die seit Januar nicht geschlossen worden sind. Die Sicherheitslücken werden auch in Zukunft nicht geschlossen, denn Apple hat QuickTime unter Windows aufgegeben.

Vor allem Windows 7 betroffen

Die Warnung richtet sich vor allem an NutzerInnen von Windows 7. Schließlich wurden Windows 8.x und Windows 10 nie offiziell unterstützt. Auch das Apple-Betriebssystem OS X ist nicht von der Warnung betroffen, denn für das eigene Betriebssystem veröffentlicht der US-Konzern weiterhin Aktualisierungen.

Bisher keine Hinweise auf Angriffe über Sicherheitslücken

Bis dato gibt es noch keine Hinweise darauf, dass Angreifer die Sicherheitslücken in QuickTime unter Windows ausgenutzt hätten. Aber allein die Möglichkeit, die die Schwachstellen bieten, scheinen für die ungewöhnlich konkrete Warnung des Department of Homeland Security ausreichend zu sein.

November-Patch-Day: Probleme mit Windows 7-Update KB3097877

Windows 7: Probleme mit Update
Windows 7: Probleme mit Update

Am November-Patch-Day hat Microsoft zahlreiche Aktualisierungen für alle Windows-Versionen ausgeliefert. Darunter auch das Update KB3097877, welches jedoch unter Windows 7 für zahlreiche Probleme verantwortlich sein soll.

Microsoft arbeitet an einer Lösung – Termin unbekannt

Wie ZDNet berichtet ist Microsoft bereits über die Probleme mit dem Update informiert und arbeitet an einer Lösung. Wann genau ein Update für Windows 7 bereitgestellt wird, ist derzeit noch nicht bekannt. Es ist empfehlenswert, das Update trotz möglicherweise auftretender Probleme unter Windows 7 zu installieren. Immerhin schließt das Update kritische Sicherheitslücken in den Dateien Win32k.sys und Gdiplus.dll, über die Angreifer Zugriff auf einen Computer erhalten können. Dabei ist es ausreichend, wenn ein Dokument oder eine Internetseite geöffnet werden, die manipulierte Zeichensätze enthalten.

Probleme mit Gadgets, Minianwendungen und Outlook 2010 / 2013

Zu den Fehlern, die durch die Aktualisierung KB3097877 verursacht werden sollen, zählen unter anderem:

  • Outlook 2010: Die Anwendung kann abstürzen, wenn E-Mails im HTML-Format angezeigt werden.
  • Outlook 2013: Die Anwendung kann abstürzen, wenn E-Mails im HTML-Format angezeigt werden.
  • Gadgets und Minianwendungen auf dem Desktop können evtl. nicht mehr funktionieren.

Das Update KB3097877 kann deinstalliert werden – notfalls im abgesicherten Modus – und die geschilderten Probleme verschwinden unter Windows 7. Andere Betriebssysteme können die Aktualisierung installieren, ohne dass Probleme auftreten. Trotzdem ist es nicht empfehlenswert, das Update unter Windows 7 zu deinstallieren, da die Sicherheitslücke den Computer angreifbar macht. Am besten auf Gadgets und Minianwendung verzichten, beim Nutzen von Outlook häufiger zwischenspeichern und auf ein schnelles Update hoffen.