Am Puls von Microsoft

CPU-Lücke: Microsoft patcht, Google erklärt, AMD dementiert

CPU-Lücke: Microsoft patcht, Google erklärt, AMD dementiert

Die am Mittwoch bekannt gewordene CPU-Sicherheitslücke zieht weitere Reaktionen nach sich. Microsoft hat sich mit einer eigenen Stellungnahme zu Wort gemeldet und außerplanmäßige Sicherheitsupdates für alle Windows-Versionen veröffentlicht. Google, deren Sicherheits-Experten den Fehler wohl aufgedeckt haben, liefert zusätzliche Informationen, und AMD behauptet in einer eigenen Stellungnahme, nicht betroffen zu sein.

In einer ersten öffentlichen Reaktion hatte Intel am Mittwochabend unter anderem erklärt, dass nicht nur die eigenen CPUs, sondern auch jene von AMD und ARM anfällig seien. ARM hat das inzwischen bestätigt, während AMD darauf beharrt, nicht oder nur minimal betroffen zu sein. Die Haupt-Angriffsmethoden würden bei AMD-Chips wegen der unterschiedlichen Architektur ins Leere laufen. Man habe zwar einen „kleinen Fix“ veröffentlicht, der keinerlei Auswirkung auf die Performance habe, glaubt aber, dass auch ohne diesen Fix „praktisch Null Risiko“ für AMD-Kunden bestehe (Quelle: Fortune.com). Die Veröffentlichungen von Google wecken allerdings Zweifel an dieser Darstellung.

Google erklärt die Hintergründe

Google hat am Mittwochabend auf dem Security Blog eine Erklärung abgegeben, außerdem wurden auf Project Zero die technischen Hintergründe ausführlich dokumentiert. Diese Veröffentlichungen waren wie die aller anderen Beteiligten für die kommende Woche vorgesehen, wurden unter dem Druck der öffentlichen Berichterstattung aber nun vorab online gestellt.

Das Projekt Zero Team von Google reklamiert für sich, die Schwachstellen im letzten Jahr entdeckt zu haben. Auch hier werden Intel, ARM, AMD und „weitere CPU-Hersteller“ genannt, betroffen seien außerdem alle Betriebssysteme, die mit diesen CPUs betrieben werden.

Die Schwachstellen könnten dazu benutzt werden, sensible Daten aus dem Speicher zu lesen, zum Beispiel Encryption Keys oder Kennwörter. Außerdem können virtuelle Maschinen den Hauptspeicher ihres Hosts und damit auch den Speicher von anderen virtuellen Maschinen auslesen, die auf dem selben Host laufen. Die Angriffsmethoden wurden Spectre und Meltdown getauft, wobei Meltdown wohl tatsächlich nur Intel-CPUs betrifft.

Bezogen auf seine eigenen Produkte erklärt Google, dass alle Android-Geräte mit den aktuellsten Sicherheitsupdates geschützt seien (was im Umkehrschluss bedeutet: Die überwältigende Mehrheit aller Android-Smartphones bleibt anfällig).

Google Chrome muss manuell abgesichert werden

Die aktuelle Version von Chrome enthält eine Funktion „Strict site isolation“, die dafür sorgt, dass jeder Webseite ein eigener, isolierter Speicherbereich zugewiesen wird. Das schützt zuverlässig vor Spectre und Meltdown, muss aber manuell aktiviert werden.

Chrome-Nutzer geben zu diesem Zweck in der Adressleiste chrome://flags/#enable-site-per-process ein und klicken bei „Strict site isolation“ auf aktivieren. Nach einem Neustart ist der Browser geschützt.

Microsoft veröffentlicht außerplanmäßige Windows-Updates

Microsoft hat unterdessen die Veröffentlichung entsprechender Sicherheitsupdates, die für den kommenden Patchday am 10. Januar geplant waren, vorgezogen. Den Anfang machen neue kumulative Updates für alle Windows 10-Versionen (KB4056892). Updates für Windows 7 und 8.1 werden eventuell ebenfalls früher erscheinen, dazu gibt es aber noch keine Informationen.

Wichtig: Das Update wird nicht auf allen Systemen angezeigt. Wenn das so ist, hat das gute Gründe, versucht also keine manuelle Installation und spielt nicht im System herum. Unter anderem kann das Update wegen der Änderungen im Kernel die Funktion von Antivirus-Software beeinträchtigen, daher wird das Update zum Beispiel nicht angeboten, wenn man ein Antiviren-Programm eines Drittherstellers verwendet. Es ist eben alles mit heißer Nadel gestrickt. Wer den Patch manuell ins System prügelt, kann Glück haben, riskiert aber die Stabilität des Systems und der installierten Software.

Dieser Patch wird allerdings nur der Anfang sein. Auf dem Windows Blog heißt es, dass der jetzt veröffentlichte Patch die Angriffe deutlich erschwert und unwahrscheinlicher macht, und dass weitere Untersuchungen im Gange sind, wie das Windows zusätzlich abgesichert werden kann. In einer weiteren Stellungnahme, die per E-Mail kam, heißt es, dass es bislang keinerlei Anzeichen dafür gibt, dass diese Lücken tatsächlich ausgenutzt wurden.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige