CPU-Lücke: Microsoft patcht, Google erklärt, AMD dementiert

CPU-Lücke: Microsoft patcht, Google erklärt, AMD dementiert

Die am Mittwoch bekannt gewordene CPU-Sicherheitslücke zieht weitere Reaktionen nach sich. Microsoft hat sich mit einer eigenen Stellungnahme zu Wort gemeldet und außerplanmäßige Sicherheitsupdates für alle Windows-Versionen veröffentlicht. Google, deren Sicherheits-Experten den Fehler wohl aufgedeckt haben, liefert zusätzliche Informationen, und AMD behauptet in einer eigenen Stellungnahme, nicht betroffen zu sein.

In einer ersten öffentlichen Reaktion hatte Intel am Mittwochabend unter anderem erklärt, dass nicht nur die eigenen CPUs, sondern auch jene von AMD und ARM anfällig seien. ARM hat das inzwischen bestätigt, während AMD darauf beharrt, nicht oder nur minimal betroffen zu sein. Die Haupt-Angriffsmethoden würden bei AMD-Chips wegen der unterschiedlichen Architektur ins Leere laufen. Man habe zwar einen „kleinen Fix“ veröffentlicht, der keinerlei Auswirkung auf die Performance habe, glaubt aber, dass auch ohne diesen Fix „praktisch Null Risiko“ für AMD-Kunden bestehe (Quelle: Fortune.com). Die Veröffentlichungen von Google wecken allerdings Zweifel an dieser Darstellung.

Google erklärt die Hintergründe

Google hat am Mittwochabend auf dem Security Blog eine Erklärung abgegeben, außerdem wurden auf Project Zero die technischen Hintergründe ausführlich dokumentiert. Diese Veröffentlichungen waren wie die aller anderen Beteiligten für die kommende Woche vorgesehen, wurden unter dem Druck der öffentlichen Berichterstattung aber nun vorab online gestellt.

Das Projekt Zero Team von Google reklamiert für sich, die Schwachstellen im letzten Jahr entdeckt zu haben. Auch hier werden Intel, ARM, AMD und „weitere CPU-Hersteller“ genannt, betroffen seien außerdem alle Betriebssysteme, die mit diesen CPUs betrieben werden.

Die Schwachstellen könnten dazu benutzt werden, sensible Daten aus dem Speicher zu lesen, zum Beispiel Encryption Keys oder Kennwörter. Außerdem können virtuelle Maschinen den Hauptspeicher ihres Hosts und damit auch den Speicher von anderen virtuellen Maschinen auslesen, die auf dem selben Host laufen. Die Angriffsmethoden wurden Spectre und Meltdown getauft, wobei Meltdown wohl tatsächlich nur Intel-CPUs betrifft.

Bezogen auf seine eigenen Produkte erklärt Google, dass alle Android-Geräte mit den aktuellsten Sicherheitsupdates geschützt seien (was im Umkehrschluss bedeutet: Die überwältigende Mehrheit aller Android-Smartphones bleibt anfällig).

Google Chrome muss manuell abgesichert werden

Die aktuelle Version von Chrome enthält eine Funktion „Strict site isolation“, die dafür sorgt, dass jeder Webseite ein eigener, isolierter Speicherbereich zugewiesen wird. Das schützt zuverlässig vor Spectre und Meltdown, muss aber manuell aktiviert werden.

Chrome-Nutzer geben zu diesem Zweck in der Adressleiste chrome://flags/#enable-site-per-process ein und klicken bei „Strict site isolation“ auf aktivieren. Nach einem Neustart ist der Browser geschützt.

Microsoft veröffentlicht außerplanmäßige Windows-Updates

Microsoft hat unterdessen die Veröffentlichung entsprechender Sicherheitsupdates, die für den kommenden Patchday am 10. Januar geplant waren, vorgezogen. Den Anfang machen neue kumulative Updates für alle Windows 10-Versionen (KB4056892). Updates für Windows 7 und 8.1 werden eventuell ebenfalls früher erscheinen, dazu gibt es aber noch keine Informationen.

Wichtig: Das Update wird nicht auf allen Systemen angezeigt. Wenn das so ist, hat das gute Gründe, versucht also keine manuelle Installation und spielt nicht im System herum. Unter anderem kann das Update wegen der Änderungen im Kernel die Funktion von Antivirus-Software beeinträchtigen, daher wird das Update zum Beispiel nicht angeboten, wenn man ein Antiviren-Programm eines Drittherstellers verwendet. Es ist eben alles mit heißer Nadel gestrickt. Wer den Patch manuell ins System prügelt, kann Glück haben, riskiert aber die Stabilität des Systems und der installierten Software.

Dieser Patch wird allerdings nur der Anfang sein. Auf dem Windows Blog heißt es, dass der jetzt veröffentlichte Patch die Angriffe deutlich erschwert und unwahrscheinlicher macht, und dass weitere Untersuchungen im Gange sind, wie das Windows zusätzlich abgesichert werden kann. In einer weiteren Stellungnahme, die per E-Mail kam, heißt es, dass es bislang keinerlei Anzeichen dafür gibt, dass diese Lücken tatsächlich ausgenutzt wurden.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare

  1. "was im Umkehrschluss bedeutet: Die überwältigende Mehrheit aller Android-Smartphones bleibt anfällig"
    - Haha....Epic, aber leider wahr.
    Gibt es mittlerweile mehr Infos zu dem angesprochenem Patch, der die Systeme verlangsamen soll?
    "Unter anderem kann das Update wegen der Änderungen im Kernel die Funktion von Antivirus-Software beeinträchtigen, daher wird das Update zum Beispiel nicht angeboten, wenn man ein Antiviren-Programm eines Drittherstellers verwendet. "
    Das kann ja vielleicht der Grund sein warum ich in der Insider Preview immer einen GreenScreen bekommen habe sobald ich ein Antiviren-Programm eines Drittherstellers verwendet habe !
    Nebu
    Gibt es mittlerweile mehr Infos zu dem angesprochenem Patch, der die Systeme verlangsamen soll?

    Was ich gestern Abend noch so gelesen hatte, sollen die Performanceeinbußen bei Meltdown, also dem ursprünglichen reinen Intel-Bug, bei bis zu 35 % liegen. Der Mindestwert war wohl 15 %. ComputerBase hatte aber auch selber gestern Benchmarks gemacht und da war der Leistungsverlust in diversen Szenarien kaum messbar. Dürfte also eine sehr individuelle Geschichte werden.
    Bei Spectre wird das schwieriger, weil die beiden Lücken, die eh schon schwerer ausnutzbar sind, nicht direkt gepatched werden können, da müssen Lösungen pro Software ran. In der Hinsicht macht der Patch von Microsoft auch noch nix Berauschendes. Ein Element wird im Internet Explorer und Microsoft Edge deaktiviert (SharedArrayBuffer ist im Zusammenspiel mit WebGL wichtig und wurde im Fall Creators Update eingebaut, betrifft 1703 und früher also nicht) und die Clocktime von 5 auf 20 Mikrosekunden mit einer variablen Toleranz von zusätzlichen 20 Mikrosekunden in beiden Browsern erweitert. Hilft schon, aber da werden kommende Patchdays weiter nachbessern müssen, vor allem was die Isolation einzelner Prozesse voneinander angeht.
    HorstS
    Was sagt Apple dazu? Sind, wenn ich es richtig verstehe, auch betroffen.

    Was ich gestern auf Twitter mitbekommen habe, wird macOS 10.13.3 erweiterte Schutzmaßnahmen mitbringen. Das ist aber alles inoffiziell, weil Apple (angeblich) eine NDA zu dem Thema verhängt hat, d.h. Entwickler etc. dürfen darüber aktuell nicht öffentlich sprechen, selbst wenn sie wollte. Was iOS und Co. angeht, weiss ich selber leider nix.
    Wann wird das Patch nun ausgerollt. Ich bekomme das auf 5 Computern nicht zu sehen? Und was ist mit Windows Mobile?
    So wie ich es gelesen habe, gab es bei Apple Anfang Dezember den Fix mit macOS 10.13.2 und soll komplett geschützt sein gegen KPTI.
    Beim nächsten Update gibt es aber wohl nochmal einen weiteren feinschliff an dem Fix.
    Siehe: Apple has already partially implemented fix in macOS for 'KPTI' Intel CPU security flaw
    @Lord Wotan
    Es kann zum teil dauern bis du das Update siehst. Benutzt du Windows Defender oder einen anderen AntiVirus? Es gibt nämlich einige AntiViren Software die nicht kompatibel mit dem Patch sind.
    Was ich gestern Abend noch so gelesen hatte, sollen die Performanceeinbußen bei Meltdown, also dem ursprünglichen reinen Intel-Bug, bei bis zu 35 % liegen. Der Mindestwert war wohl 15 %. ComputerBase hatte aber auch selber gestern Benchmarks gemacht und da war der Leistungsverlust in diversen Szenarien kaum messbar. ....

    Danke dir. :)
    "Die gute Nachricht vorweg: Die Google-Hardware ist sicher. Android-Smartphones sind mit dem neuen Sicherheits-Update ebenfalls auf der sicheren Seite – wenn sie es denn bekommen. Es liegt also an den Herstellern, ob sie das Update verteilen oder nicht. Chrome OS ist seit der Version 63 bereits sauber, während alle Versionen darunter betroffen sind – und das gilt dann insbesondere für ältere Chromebooks, die nicht mehr mit Updates versorgt werden. Der Chrome-Browser selbst ist ab der kommenden Version 64 nicht mehr anfällig."
    Zitat aus dem googlewatch Blog von heute.
    Falls jemand den Chrome Browser nutzt sollte er also schauen, welche Version er hat und ihn ggf. in den Beta-Channel updaten, so nicht schon geschehen. Dann hat man wenigstens schon mal etwas vorgesorgt.
    Bei mir ist es erst heute Morgen erschienen. Auch auf meinem Lumia 950. Habe Kaspersky als AV. Ich vermute fast, die haben das wieder nur in Wellen ausgeschickt - was ja wirklich böse wäre
    die haben das wieder nur in Wellen ausgeschickt - was ja wirklich böse wäre
    Warum? Das ist die einzig verantwortbare Strategie für Updates. Auch Microsoft kann bei allen Tests nicht ausschließen, daß es in freier Wildbahn auf der Vielzahl von Kombinationen von Hard- und Software zu Fehlern kommt. Wenn dann noch die Hersteller von AV-Software Anpassungen vornehmen müssen, kommt der Patch eben später. Es wäre wenig sinnvoll, wenn wegen dem Patch Millionen Rechner den Betrieb einstellen, denn so akut schlimm ist weder Meltdown noch Spectre, daß man das riskieren müßte.
Nach oben