Neben Intel auch AMD und ARM betroffen
Meltdown und Spectre: Schwachstelle bedroht alle Desktop- und Mobilgeräte
Gestern sah es noch danach aus, als betreffe die neu veröffentlichte und mittlerweile unter den Namen „Spectre“ und „Meltdown“ bekannt gewordene Prozessor-Schwachstelle ausschließlich Intel-CPUs, mittlerweile ist allerdings bekannt, dass auch Prozessoren aus der Fertigung von AMD und ARM betroffen sind. In der Folge sind nicht nur Desktop-, sondern auch Mobilgeräte direkt betroffen.
Die Schwachstelle besteht offenbar seit mehr als 20 Jahren und mittlerweile sind mit „Meltdown“ und „Spectre“ zwei Angriffsvarianten bekannt, die hier ausführlich erklärt werden. Die Kurzfassung: Es ist möglich, über den Systemspeicher in die Kommunikation zwischen Betriebssystem und Anwendung oder auch zwischen den Anwendungen direkt einzugreifen. In der Folge lassen sich Passwörter und andere schützenswerte Daten auslesen. Das Doofe dabei: Nahezu sämtliche Nutzer von Computern (dazu zählen auch Server und Cloud-Speicher) sowie Mobilgeräten sind gefährdet und ein Angriff lässt sich nicht nachweisen. So gesehen klingt das Ganze dann auch gleich nach der perfekten Hintertür für Geheimdienste.
Meltdown demo – Spying on passwords
Immerhin gibt es bislang noch keinen Nachweis dafür, dass die Schwachstellen tatsächlich ausgenutzt werden. Wenn wir uns ein wenig aus dem Fenster lehnen können wir sagen, dass aktuell nur eine geringe konkrete Gefahr besteht, die Lücken aber schnellstmöglich geschlossen werden müssen.
macOS bereits gefixt
Aber es gibt (wenngleich noch unbestätigt) auch gute Nachrichten: Apple hat offenbar bereits mit macOS 10.13.2 entsprechende Korrekturen vorgenommen und will das Problem mit 10.13.3 final beheben. Auch Intel und Co. zeigen sich aktiv. Die Hersteller sind schon geraume Zeit über die Schwachstelle informiert und konnten dementsprechend bereits aktiv werden bzw. Updates vorbereiten. Entsprechend äußert sich auch Intel in einer Stellungnahme. Das Unternehmen teilt mit, dass erste Software- und Firmware-Updates bereits ausgeliefert werden und betont, dass entgegen den ursprünglichen Berichten auch andere Hersteller wie AMD oder ARM betroffen seien. Berichte über mit einer Fehlerbehebung verbundene teils drastische Leistungseinbußen seien falsch, ein gewöhnlicher Nutzer werde keine signifikanten Unterschiede feststellen.
Sind iOS-Geräte gefährdet?
Was die iOS-Geräte betrifft, heißt es abwarten: Apple verbaut seit dem iPhone 5s eigene Prozessoren auf ARM-Basis, davor kamen zugekaufte ARM-Prozessoren zum Einsatz. Somit sind alle iOS-Geräte zumindest theoretisch gefährdet, es ist allerdings gut möglich, dass Apple wie bei macOS auch hier schon mit einem Update reagiert hat.
UPDATE: Apple hat inzwischen eine erste Stellungnahmen veröffentlicht. AMD gibt sich weiter wortkarg und teilt lediglich mit, dass die hauseigenen CPUs nur teilweise betroffen seien, man gehe von einem „sehr geringen Risiko“ aus. Von anderen Herstellern liegen inzwischen zumeist ausführliche Informationen und Handlungsanweisungen vor:
Stellt sich die Frage, ob es auch Updates für macOS 10.12.x und, falls betroffen, iOS 10.x gibt.
Warum genau sollte Apple das tun und darin Resourcen investieren?
Nicht alle User sind auf den aktuellsten Level unterwegs. Ich habe weder meinen beruflichen Mac auf OS 10.13 noch mein iPhone auf iOS 11 aktualisiert. Es wurden einfach zuviele Probleme gemeldet.
Microsoft bietet auch ein Update für ältere Versionen von Windows.
Tja Manfred, man stellt Dir doch die aktuelle Version gegen Bezahlung bereit!?
Nachtrag: z.T. Auch ohne Aufpreis, ob Dir 11 nun gefällt oder nicht
Und was ist mit Geräten die die neusten Versionen schlicht nicht mehr unterstützen?
Dann soll ich mir halt nen neuen Mac anschaffen? Oo
Manfred, ignoriere einfach die blödsinnigen Kommentare. Apple hat schon oft Sicherheitslücken gestopft – und zwar nicht nur für das aktuellste Betriebssystem. Insofern bleibt die Hoffnung.
1. Weil nicht jedes noch im Einsatz befindliche Gerät (egal ob macOS oder iOS) auf das neueste OS upgradebar ist, Apple die Langlebigkeit der Geräte aber, wie sie gerade erst bekräftigten, sehr am Herzen liegt.
2. Weil nicht gefixte ältere Geräte im Netzwerk nunmal auch neuere Geräte gefährden – halbe Sachen also keine Lösung darstellen.
Nicht wenige Geräte, die noch täglich in Benutzung sind erhalten keine Updates mehr. Meine Schwester hat immer noch ein iPhone 5 und sieht auch keine Veranlassung zu upgraden. Durch den 32bit Prozessor gibt es darauf aber natürlich kein iOS 11.
Ich habe jetzt viele Gründe aus Sicht der „User“ gesehen…
Gefragt hatte ich nach Gründen aus der „BC-Sicht“ von Apple…?
Das hier jeder für sich ganz persönlich „wichtige“ Gründe nennen kann habe ich nie bezweifelt…
Welche „blödsinnigen“ Kommentare siehst Du den in diesem Thread?
Ich jedenfalls habe lediglich eine Frage gestellt…
Keine Stellungnahme heißt: Irgendwas zwischen „Wir wissen es noch nicht genau“ und „Die Kacke ist am Dampfen“.
Wäre alles klar, dann würde Apple das an die größte Glocke hängen, die sie haben. Schließlich könnte man damit dem ganzen Mist der vorangegangenen Monate über schlechte Software-Qualität wieder etwas entgegenstellen.
Arbeitest Du als Glockengießer bei Apple? Sorry, aber das ist spekulativer und Bösartigkeiten unterstellender Blödsinn.
Vielleicht ein wenig unterstellend, aber sich nicht abwegig, ich denke auch, dass jeder, der eine Lösung für das Problem hätte sich sofort selbstbewusst an die Öffenlichkeit wenden würde.
Vor allem muss man ja mal über den eigenen Schreibtisch schauen, denn privat genutzte Rechner sind das eine Problem, industriell genutzte Rechner, möglicher Weise sogar mit sicherheitsrelevanten Anwendungen sind eine ganz andere Sache und da kann ich aus eigener beruflicher Erfahrung sagen, dass da einige Leute ziemlich viel Schweiss auf der Stirn haben, vor allem weil Unbeteiligte mehr Informationen liefern als die Supplier von Hardware und Betriebssystemsoftware, bei denen man für viel Geld Ware und Dienstleistungen kauft.
Ich kann ja verstehen, dass man mit Informationen zu Sicherheitslücken sehr bedacht umgehen muss und gerade vor einer Veröffentlichung lieber im kleinen Kreis bleibt, aber dass nach einem halben Jahr Kenntnis über die Lücke(n) nicht jeder Hersteller einen Fix, Maßnahmen zur Risikominimierung oder zumindest eine Stellungnahme in der Schublade hat ist doch ein Witz.
@Herbert
Den meisten hier scheinen weder Verständnis für die Tragweite des Fehlers zu haben, noch verstanden zu haben, dass der Verursacher hier der oder die Chip-Hersteller sind. Viele hier scheinen das für einen mehr oder weniger ganz normalen patchbaren Softwarefehler zu halten.
Die Schwachstelle sitzt in den Prozessoren und rüttelt an elementaren Grundfesten für die Speicherverwaltung im Prozessor auf die bisher alle Betriebssystemhersteller und Entwickler aufgebaut haben. Es ist schon beruhigend zu sehen, dass solch elementare Hardware-Bugs sich überhaupt mittels Software-Patch der Betriebssysteme abdichten lassen. Selbstverständlich ist das bei Fehlern in der Hardware-Architektur von Prozessoren nämlich keineswegs.
Zitat
Nahezu sämtliche Nutzer von Computern (dazu zählen auch Server und Cloud-Speicher) sowie Mobilgeräten sind gefährdet und ein Angriff lässt sich nicht nachweisen.
….
Wenn wir uns ein wenig aus dem Fenster lehnen können wir sagen, dass aktuell nur eine geringe konkrete Gefahr besteht, …
Zitat Ende
Eine ziemlich gewagte These. Wenn es eine Lücke im System gibt, dann findet es sich immer jemand der sie ausnutzt. Die Frage inwieweit das Ganze öffentlich gemacht wird, ist eine ganz andere. Kein Hersteller wird zugeben Kenntnis vom Ausnutzen der Hintertüren zu haben.
Kam vielleicht im Text zu kurz aber das Ausnutzen der Lücken ist sehr aufwändig. Daher ist wohl kaum mit breitflächigen Angriffen zu rechnen.
Der Verfasser des Artikels ist schon lustig. Erst schreibt er, dass sich eine Ausnutzung der Schwachstelle nicht nachweisen lässt. Dann wird geschrieben, das es bisher keinen Hinweis darauf gibt, dass die Schwachstelle bereits ausgenutzt wird. Sofern die erste Aussage stimmt, ist die zweite nur die logische Konsequenz. Aber wissen tun wir nichts.
Wenn du das so siehst … ersteres ist Fakt. Hinweise wären dennoch möglich, beispielsweise ein im Umlauf befindlicher bzw. gegen Geld angebotener Exploit.
Einverstanden.
Oder eingekauft, um sie selber zu verwenden, und dass der Programierer genügend Geld bekam oder um sein Leben fürchten muss, wenn es bekannt würde.
Ja, ist auch spekulativ.
Spekulativ aber definitiv kein Science-Fiction… alles möglich
Wahrscheinlich sind bei iOS deswegen einige Versionen übersprungen worden..?
Interessant, dass der Intel CEO seine kompletten Aktienpakete vor dem Bekanntwerden verkauft hat… Zu gerne würde ich wissen wollen, was der Rest der Belegschaft gemacht hat…
Und wieder: Apple hat dies nicht Kommuniziert. Weder den Patch, noch die Betroffenheit.
Ein Schelm, wer Böses dabei denkt…
Jetzt kaufen und dann drüber lachen
schau mal, wer wann wieviele Aktien verkauft hat :)
Ich denke, man muss erst mal abwarten. Blöd dabei ist, dass die Medien die Leute alle verunsichern, das führt zu unsinnig hohen Service aufkommen bei Händlern und supportern. Viel wichtiger ist doch die Frage, welche Prozessoren sind konkret betroffen und ist eine Ausnutzung auch aus der Ferne möglich. In den letzten 30 Jahren wurden so viele kritische Dinge veröffentlicht, eins schlimmer als das andere, zumeist endete das aber mit heißer Luft und dem vergessen. Mal ein Beispiel: denken wir mal an den Pentium FDIV-Bug oder die jüngst bekannt gewordenen Schwachstellen im Hyperthreading Der letzten Prozessor-Generationen. Früher hatte man Angst, dass selbst Operationen Versagen würden und das große Chaos ausbrechen würde, weil die meisten Rechner mit Pentium-Prozessoren liefen. Im Ergebnis aber hat es sowohl bei meinen Rechnern, als auch bei anderen, wohl nur in ganz speziellen Situationen zu Problemen geführt. Das heißt natürlich nicht, dass man es vernachlässigen sollte und Updates nicht erforderlich seien. Ohne eine wirklich konkrete Stellungnahme ist alles nicht mehr, als nur Spekulation. Übrigens ist das Update für Windows 10 raus und läuft schon bei mir.
Und wie sieht’s mit 10.11.x aus? Ich möchte nur sehr ungern auf macOS (High) Sierra updaten…
Kleine Tipp an die Redaktion: Meltdown und Sprectre sind keine Bezeichnung der Schwachstelle in den CPUs, sonder verschiedene im Labor entwickelte Angriffsszenarien, mit denen man die Schwachstelle ausnutzen kann.
Text gelesen? „Die Schwachstelle besteht offenbar seit mehr als 20 Jahren und mittlerweile sind mit „Meltdown“ und „Spectre“ zwei Angriffsvarianten bekannt…“
„…als betreffe die neu veröffentlichte und mittlerweile unter den Namen „Spectre“ und „Meltdown“ bekannt gewordene Prozessor-Schwachstelle…“
Text gelesen? ;-)
Ich verstehe die Aufregung nicht wirklich.
In der Zeit von Facebook, WhatsApp, Instagramm und Co. gibt ihr eure Daten sogar freiwillig an unbekannte Fremde, “ ich habe nichts zu verbergen “ kann ich schon nicht mehr hören ! Keiner ist bereit auf Threema umzusteigen aber wenn man ein Fehler bei Intel gefunden hat wird Riesen Angst propagandiert !!!
Seit 20 Jaren bekannt und euch ist immernoch nichts passiert ???? Schade das man das jetzt nicht den Russen in die Schuhe schieben können, alle Geheimdienste haben es womöglich fleißig benutzt aber uns vorgaukeln
das da russische Hacker E-Mail Verkehr mitbekommen haben.
Bei der dpa sitzen offensichtlich auch nur Populisten.
Nicht nur bei de dpa
Ich finde Euren Hinweis bezüglich Geheimdienste sehr wichtig. Ich bin kein Aluhut und kein Verschwörungstheoretiker, aber die Whrscheinlichkeit, dass diese Lücke, die bei allen wesentlichen in den USA entwickelten Chips seit 20 Jahren bestehen soll zumindest von US-Amerikanischen Geheimdiensten ausgenutzt, wenn nicht sogar initiert wurde halte ich für nicht gerade niedrig
Mit dem Patch liefe mein neuer Desktop dann so lahm wie mein alter, nämlich 30 Prozent langsamer.
Herzlichen Dank.
Der alte läuft aber auch 30 Prozent langsamer.
Was ganz wichtig ist und vielleicht noch vergessen wurde zu Erwähnen: Zur Ausnutzung der Lücken ist es notwendig, dass der schadhafte Code lokal ausgeführt wird. Ein Remote-Angriffs-Szenario ist momentan noch nicht bekannt. Dazu müsste man eine weitere Lücke ausnutzen.
.
PS: Durch die zu erwartenden Performanceeinbußen durch Doppel-Mapping: Werden iOS-Geräte dann noch langsamer, falls betroffen !? o_0
Bestimmt kann man Sicherheitslücken kombinieren…
Diese Sicherheitslücke ist mit Sicherheit schon tausende Male ausgenutzt worden ! Es hat nur nie jemand mit bekommen und die , die diese Lücke nutzen würden auch niemanden davon erzählen ! Wenn ich einen Schlüssel zum Tresor der Bundesbank hätte und ich unbemerkt mir unbegrenzt Geld holen könnte, geh ich damit nicht hausieren sondern genieße es!
Ein Gentleman genießt und schweigt ;-)
Was mich interessiert ist, ob auch andere Geräte mit Prozessoren (Fernseher, Heizungssteuerungsanlagen, Router, Repeater, usw.) also Hardware, die selten bis gar nicht geupdatet wird, betroffen sind? Schließlich wird hier auch mit Passwörtern herumhantiert.
Sorry Leute, der Hype um diese Lücken ist Bull…
Die vom Google0Project gezeigten Zugriffe wurden mit einem Kerneln gemacht der in „freier Wildbahn“ nicht mehr zu finden ist. In diesem Kernel waren verschiedene Speicherstellen und Offsets hart codiert. Alleine das Finden der Einsprungpunkte dauert Tage bei Systemen mit z.B. 16 GB RAM.
Die Lücke ist nur bei direktem Zugriff auf den Kernel ausnutzbar, also von einem lokalen User. Heimische Rechner haben die Lücke, aber niemand kommt ran.
Warum nun Microsoft, Red Hat, Google und Co so hektisch Patches entwickeln – keine Ahnung. Entweder verheimlichen die Finder der Lücke etwas oder die Hersteller haben Angst vor Schadensersatz-Forderungen.
Das Problem sind eigentlich nicht die hemischen Rechner der Privatanwender, denn hier war es ja schon immer so, dass ein User die ganze CPU für sich nutzt und bösartige Programme aus fremden Quellen eine Bedrohung darstellen. Ob nun Kryptotrojaner, Keylogger oder Ähnliches, davor muss man sich halt schützen und das ist bezüglich der beiden Sicherheitslücken nichts Anderes.
Das echte Problemszenario findet in der Cloud und in der Welt der Virtualisierung statt, wo sich unterschiedlichste Parteien, die nicht voneinander wissen (sollen) eine CPU teilen. Wenn ich also eine virtuelle Maschine in irgendeine Datacenter habe und dort wichtige Dinge treibe, von denen Andere nicht wissen sollen, dann könnte die Sache um Problem werden, denn ein Anderer, der in einer ganz anderen virtuellen Maschine auf der gleichen Hardware läuft, könnte versuchen Informationen über die diskutierten Sicherheitslücken abzufischen. Auch wenn das Szenarion kompliziert ist und viel Expertise und Zeit benötigt – die könnte ja jemand haben. Bei Cloud geht es hier auch nicht um private Fotosammlungen oder iCloud Adressbücher, sondern z.B. industriell genutzte Server, z.B. zur Steuerung von Abläufen, Configuration Management oder auch Webshops.
Auch ich hätte gerne einen Patch für Sierra, wofür ich auch bereit wäre, zu bezahlen. High Sierra hat mir noch zu viele Macken…
Wenn ich die Wahl hätte ein Update einzuspielen welches die Rechenleistung um 2% mindert oder weiter mit dieser Lücke zu leben, dann wähle ich letzteres! Die Wahrscheinlichkeit der Ausnutzung dieser Schwachstellen geht gegen Null.
Warum veröffentlicht man überhaupt so eine Schwachstelle und gibt potentiellen Kriminellen die Gelegenheit diese Schwachstelle zu nutzen?
Weil nur so sich etwas bewegt bei den trägen Konzernen. Sind ja alle Mitarbeiter überlastet heutzutage… Und selbst wenn es publik wird und die Firmen sogar vorher nicht öffentlich informiert wurden, dauert es trotzdem manchmal noch eine gefühlte Ewigkeit, bis sich etwas tut. Öffentliches Interesse bzw. Druck ist manchmal gar nicht so schlecht.
Unfug, alle OS Hersteller hatten sich darauf geeinigt bis zum 9 Januar zu patchen und dann zu veröffentlichen. Da hat nur jemand wieder auf dicke Hose machen wollen.
Ich finde es wirklich sehr toll, dass Apple den anderen Bug so schnell gefixt hat.