Antworten auf die häufigsten Fragen zu den Prozessorlücken und Angriffsszenarien Meltdown und Spectre.

Ein Team von Forschern hat Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Angreifer können durch das geschickte Ausnutzen dieser Sicherheitslücken mit Schadcode alle Daten auslesen, die der jeweilige Computer im Speicher verarbeitet – also auch Passwörter und geheime Zugangscodes.

Nein – Meltdown und Spectre sind die Namen der Angriffsszenarien, durch die Schadcode die Hardware-Lücke ausnutzen kann. Insgesamt gibt es drei von Google veröffentlichte Angriffsszenarien: CVE-2017-5753 (Spectre 1, Bounds Check Bypass), CVE-2017-5715 (Spectre 2, Branch Target Injection) und CVE-2017-5754 (Meltdown, Rogue Data Cache Load).

Mit an Sicherheit grenzender Wahrscheinlichkeit: Ja! Die anfälligen Prozessoren stecken in einer Vielzahl von Geräten, von Desktop-Computern, Laptops, Smartphones, Tablets bis hin zu Streaming-Boxen.

Nein.

Die Prozessorhersteller haben bereits ausführliche Listen mit betroffenen Prozessoren veröffentlicht. Grundsätzlich sind sowohl aktuelle als auch ältere Prozessoren für mindestens eines der drei Angriffsszenarien anfällig.

Dazu gehören etwa sämtliche Intel-Core-Prozessoren seit 2008, dazu die Serien Intel Atom C, E, A, x3 und Z sowie die Celeron- und Pentium-Serien J und N. Außerdem nahezu alle Server-Prozessoren der vergangenen Jahre sowie die Rechenkarten Xeon Phi.

ARM führt in einer umfangreichen Liste zahlreiche Prozessoren der Cortex-Serie auf, die in Smartphones und Tablets stecken und auch in anderen SoC-Kombiprozessoren stecken, etwa in Nvidias Tegra-Chips.

Ebenfalls anfällig sind manche IBM-POWER- und Fujitsu-SPARC-CPUs für Server.

Nicht betroffen ist etwa der Prozessor des Raspberry Pi.

Ja, allerdings sind AMD-Prozessoren zum derzeitigen Kenntnisstand für zwei der drei Angriffsszenarien tatsächlich anfällig (Spectre-Varianten 1 und 2). AMD ging zunächst davon aus, dass AMD-Prozessoren aufgrund ihrer Architektur nicht über Spectre-Variante 2 angreifbar sind, musste das aber eine Woche später schließlich revidieren.

Die CPU-Sicherheitslücken Meltdown und Spectre
Google-Name Kurzbezeichung CVE-Nummer Betroffene Prozessoren
Intel AMD ARM¹ IBM POWER
Spectre, Variante 1 Bounds Check Bypass CVE-2017-5753
Spectre, Variante 2 Branch Target Injection CVE-2017-5715
Meltdown Rogue Data Cache Load CVE-2017-5754
¹ betroffen sind Cortex-A8, -A9, -A15, -A17, -A57, -A72, -A73, -A57, -R7, -R8, nicht der Cortex-A53 im Raspi

Da es sich um eine Hardware-Lücke handelt, sind alle Betriebssysteme betroffen, also etwa Windows, Linux, macOS, iOS, Android und FreeBSD.

Updates einspielen. Betriebssystemhersteller wie Microsoft rollen bereits Updates aus, die Sie schnellstmöglich installieren sollten. Doch auch viele Anwendungen und Treiber müssen abgesichert werden, so gibt es etwa Updates für den Firefox-Browser oder auch den Nvidia-Grafiktreiber.

Nein. Sie verringern nur das Risiko, dass Schadprogramme eine der Angriffsszenarien ausnutzen. Einen 100-prozentigen Schutz gegen das Ausnutzen dieser Lücken gibt es nicht.

Betriebssysstemupdates kommen bei aktivierter Update-Funktion automatisch rein – letztere sollte dringend aktiviert sein. Außerdem sollten Sie den Rechner auch regelmäßig neu starten, damit die Updates eingespielt werden können.

Microsoft weist allerdings darauf hin, dass Nutzer zusätzlich Microcode- beziehungsweise BIOS/Firmware-Updates für die anfällige Hardware einspielen müssen. Für deren Bereitstellung sind die jeweiligen Hardware-Hersteller verantwortlich.

Zahlreiche Hersteller von Computersystemen und Software-Anwendungen führen auf ihren Websiten Sicherheitshinweise und Updates auf. Eine von heise online ständig aktualisierte Liste finden Sie hier.

Intel will im Januar für alle innerhalb der vergangenen fünf Jahre hergestellten Prozessoren Microcode-Updates bereitstellen. Was mit älteren Prozessoren geschieht, ist derzeit unklar.

Microsoft hat ein Prüfwerkzeug für die Prozessor-Sicherheitslücken veröffentlicht. Eine einfache Anleitung finden Sie hier.

Ja. Wie hoch der Performance-Verlust ausfällt, kommt auf das Nutzungsszenario an.

Microsoft hat bereits eine Einschätzung geliefert: Normale Anwender mit Prozessoren ab der Serie Intel Core i-6000 (Skylake) sollten die Bremswirkung der Patches nicht spüren, sie liege im einstelligen Prozentbereich. Nutzer von älteren Prozessoren bis hin zur Haswell-Generation Core i-4000 werden „einen Rückgang der Systemleistung bemerken“, Benchmarks zeigten eine „signifikante Verlangsamung“. Offenbar soll die Bremswirkung desto spürbarer sein, je älter der Prozessor und das Betriebssystem sind.

Vergleichsweise hohe Performance-Minderungen dürften Betreiber von Server-Farmen und Cloud-Diensten erleiden, bei denen eine sehr hohe Anzahl von I/O-Operationen stattfinden. Beispielsweise hatte der Spiele-Entwickler Epic Messwerte veröffentlicht, die einen 20-prozentigen Leistungseinbruch aufgrund des Einspielens des Meltdown-Patches auf die Fortnite-Backend-Server zeigen.

Intel hat mittlerweile ebenfalls erste Messungen veröffentlicht (PDF-Download), nach denen sich die Leistungsfähigkeit aktueller Intel-Prozessoren nach dem Einspielen der Sicherheitspatches um bis zu 10 Prozent verringern kann.

c’t hat massive I/Ops-Einbrüche mit der SSD Samsung 960 Pro gemessen, die nach BIOS- und Windows-Updates nur noch 105.986 I/Ops beim Lesen und 79.313 I/Ops beim Schreiben im Vergleich zu 197.525/185.620 I/OPs erreicht (vorheriges BIOS, Windows mit KB4054517). System: Windows 10, Core i7-8700K, Asus Maximus X Hero, Samsung 960 Pro, zufällige Zugriffe mit 4K-Blöcken und 32 I/O-Targets).

heise online hat dazu eine detaillierte Analyse veröffentlicht.

Nur indirekt: Ein Angreifer muss Schadcode auf dem betroffenen System ausführen. Deshalb ist die Lücke in vielen Embedded Systems und Routern unkritisch. Besonders gefährdet sind hingegen Web-Browser: Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Schadcode könnte beispielsweise über unseriöse Webesiten eingeschleust werden. Dagegen helfen Browser-Updates und Script-Blocker wie NoScript.

Nein! Es handelt sich um eine gut gemachte Fake-Mail, die wiederum auf eine Fake-Webseite mit einem als Sicherheitspatch getarnten Windows-Trojaner verweist. Löschen Sie diese E-Mail. Weitere Informationen finden Sie in einem Artikel auf heise Security.

Quelle: https://heise.de/-3938146