Gravierende Schwachstelle
04.01.2018, 16:12 Uhr
Sicherheitslücke in Prozessoren gefährdet Geräte
Eine Sicherheitslücke macht Prozessoren von Intel, AMD und ARM angreifbar. Während erste Software-Updates verteilt werden, skizzieren Sicherheitsforscher zwei Angriffsszenarien.
Eine neu entdeckte Schwachstelle in Computerprozessoren, die am Mittwoch publik gemacht wurde, hat weltweit Sorge vor möglichen Hackerangriffen auf sensible Daten geschürt. Sicherheitsforscher von Google entdeckten die Sicherheitslücken erst in Chips des Herstellers Intel. Der Konzern sah sich gezwungen, «irreführenden Berichten» zu widersprechen und betonte, es handle sich um ein allgemeines Problem. Konkurrent AMD bestritt, dass seine Prozessoren betroffen seien – allerdings gelang es den Forschern, auch AMD-Chips anzugreifen. Der Chipdesigner ARM, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige seiner Produkte anfällig seien. Somit sind Laptops, PCs, Smartphones, Tablets und Internet-Server gleichermassen bedroht.
Die Sicherheitslücke war bereits vor einiger Zeit entdeckt, aber nicht publik gemacht worden. Tech-Konzerne behielten die Informationen bewusst zurück, um Hacker nicht über die Art und Weise zu informieren, wie diese ausgenutzt werden kann.
«Spectre» und «Meltdown»
Googles Sicherheitsforscher skizzierten nun zwei Angriffsszenarien namens «Spectre» und «Meltdown», mit denen die Lücken von Hackern ausgenützt werden könnten. Hinweise, dass die Schwachstelle bereits ausgenutzt wurde, gibt es bislang aber offenbar nicht.
Laut den Experten ist es durch die Lücke potenziell möglich, dass «sensible Informationen» wie etwa Passwörter, Login-Schlüssel oder Daten von Unbefugten aus dem CPU-Speicher ausgelesen werden könnten. Grund für die Schwachstelle ist ein verbreitetes Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im Voraus abrufen, um Verzögerungen zu vermeiden und so die Geschwindigkeit der Prozessoren zu erhöhen. Diese als «speculative execution» bekannte Technik wird seit Jahren von diversen Anbietern eingesetzt.
Thomas Uhlemann, Security-Spezialist bei ESET, gab allerdings zu bedenken, dass Cyberkriminelle für einen Angriff erst «die dafür nötigen Voraussetzungen» schaffen müssten. Und dies sei sehr kompliziert und zeitaufwändig. Mit grossangelegten Angriffen sei daher nicht zu rechnen.