Gravierende Schwachstelle
04.01.2018, 16:12 Uhr
Sicherheitslücke in Prozessoren gefährdet Geräte
Eine Sicherheitslücke macht Prozessoren von Intel, AMD und ARM angreifbar. Während erste Software-Updates verteilt werden, skizzieren Sicherheitsforscher zwei Angriffsszenarien.
Eine neu entdeckte Schwachstelle in Computerprozessoren, die am Mittwoch publik gemacht wurde, hat weltweit Sorge vor möglichen Hackerangriffen auf sensible Daten geschürt. Sicherheitsforscher von Google entdeckten die Sicherheitslücken erst in Chips des Herstellers Intel. Der Konzern sah sich gezwungen, «irreführenden Berichten» zu widersprechen und betonte, es handle sich um ein allgemeines Problem. Konkurrent AMD bestritt, dass seine Prozessoren betroffen seien – allerdings gelang es den Forschern, auch AMD-Chips anzugreifen. Der Chipdesigner ARM, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige seiner Produkte anfällig seien. Somit sind Laptops, PCs, Smartphones, Tablets und Internet-Server gleichermassen bedroht.
Die Sicherheitslücke war bereits vor einiger Zeit entdeckt, aber nicht publik gemacht worden. Tech-Konzerne behielten die Informationen bewusst zurück, um Hacker nicht über die Art und Weise zu informieren, wie diese ausgenutzt werden kann.
«Spectre» und «Meltdown»
Googles Sicherheitsforscher skizzierten nun zwei Angriffsszenarien namens «Spectre» und «Meltdown», mit denen die Lücken von Hackern ausgenützt werden könnten. Hinweise, dass die Schwachstelle bereits ausgenutzt wurde, gibt es bislang aber offenbar nicht.
Laut den Experten ist es durch die Lücke potenziell möglich, dass «sensible Informationen» wie etwa Passwörter, Login-Schlüssel oder Daten von Unbefugten aus dem CPU-Speicher ausgelesen werden könnten. Grund für die Schwachstelle ist ein verbreitetes Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im Voraus abrufen, um Verzögerungen zu vermeiden und so die Geschwindigkeit der Prozessoren zu erhöhen. Diese als «speculative execution» bekannte Technik wird seit Jahren von diversen Anbietern eingesetzt.
Thomas Uhlemann, Security-Spezialist bei ESET, gab allerdings zu bedenken, dass Cyberkriminelle für einen Angriff erst «die dafür nötigen Voraussetzungen» schaffen müssten. Und dies sei sehr kompliziert und zeitaufwändig. Mit grossangelegten Angriffen sei daher nicht zu rechnen.
Patches sind unterwegs
Die Hersteller von Betriebssystemen arbeiten nun an der Bereitstellung von Software-Updates, um die Lücke zu schliessen. ARM veröffentlichte etwa bereits ein Update und gab für seine Nutzer Entwarnung. Gemäss Google schützte der Internetkonzern seine Systeme bereits gegen die Schwachstelle. Sämtliche Android-Geräte mit den neuen Sicherheitsupdates, Google-Produkte wie YouTube oder Maps sowie Google- und GSuite-Apps wie Gmail, Drive oder Docs seien sicher. Betroffen sei von der Lücke allerdings Googles Chrome Browser. Der Internetkonzern empfiehlt deshalb, die Chrome-Version 63 zu installieren, in der Adresszeile chrome://flags/#enable-site-per-process einzutragen und die Full-Site-Isolation-Funktion zu aktivieren. Mit der kommenden Version Chrome 64 soll die Lücke schliesslich gestopft sein.
Laut einem Bericht von «heise.de» zog Microsoft aufgrund der Veröffentlichung des Lecks ein Windows-Update vor, das ursprünglich für den Januar-Patchday am 9. Januar geplant war. Jedoch wurde dieses offenbar noch nicht an alle Userinnen und User verteilt, da Probleme mit Antiviren-Software auftauchten. Schliesslich begann Microsoft, mit Updates seine Cloud-Dienste abzusichern – Konkurrent Amazon tat es dem Unternehmen gleich.
Updates zeigen Wirkung
Der Sicherheitsforscher Tatu Ylonen von der Firma SSH Communications äusserte die Einschätzung, dass die Sicherheitsupdates Wirkung zeigen würden. Es werde jedoch entscheidend sein, alle Netzwerke und Clouddienste auf den neuesten Stand zu bringen.
Intel wies unterdessen Berichte zurück, wonach durch die Behebung der Schwachstelle mit Softwareupdates eine Verlangsamung der Computer von bis zu 30 Prozent drohe. Diese Sorge sei übertrieben, erklärte der Chiphersteller. Für den durchschnittlichen Computernutzer würden die Auswirkungen auf die Rechnerleistung «nicht signifikant» sein und sich über die Zeit weiter abschwächen. Auch Sicherheitsexperten relativierten die befürchteten Performance-Einbussen durch bereitgestellte Patches. Diese würden sich lediglich «im Milli- bis maximal sehr niedrigen Sekunden-Bereich» bewegen und für Nutzer kaum spürbar sein, sagte etwa ESETs Thomas Uhlemann. Paul Lipman, CEO des IT-Security-Unternehmens BullGuard, ist derselben Ansicht. «Nutzer sollten keine Scheu vor einer möglichen Verlangsamung ihres Rechners haben und die Updates installieren, um sich zu schützen.»