Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.035 Produkten

Martin Fischer 545

FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen? Update

FAQ: Prozessor-Sicherheitslücken Meltdown und Spectre

Bild: heise online

Antworten auf die häufigsten Fragen zu den Prozessorlücken und Angriffsszenarien Meltdown und Spectre.

Ein Team von Forschern hat Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Angreifer können durch das geschickte Ausnutzen dieser Sicherheitslücken mit Schadcode alle Daten auslesen, die der jeweilige Computer im Speicher verarbeitet – also auch Passwörter und geheime Zugangscodes.

Anzeige

CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

Nein – Meltdown und Spectre sind die Namen der Angriffsszenarien, durch die Schadcode die Hardware-Lücke ausnutzen kann. Insgesamt gibt es drei von Google veröffentlichte Angriffsszenarien: CVE-2017-5753 (Spectre 1, Bounds Check Bypass), CVE-2017-5715 (Spectre 2, Branch Target Injection) und CVE-2017-5754 (Meltdown, Rogue Data Cache Load).

Mit an Sicherheit grenzender Wahrscheinlichkeit: Ja! Die anfälligen Prozessoren stecken in einer Vielzahl von Geräten, von Desktop-Computern, Laptops, Smartphones, Tablets bis hin zu Streaming-Boxen.

Nein.

Die Prozessorhersteller haben bereits ausführliche Listen mit betroffenen Prozessoren veröffentlicht. Grundsätzlich sind sowohl aktuelle als auch ältere Prozessoren für mindestens eines der drei Angriffsszenarien anfällig.

Dazu gehören etwa sämtliche Intel-Core-Prozessoren seit 2008, dazu die Serien Intel Atom C, E, A, x3 und Z sowie die Celeron- und Pentium-Serien J und N. Außerdem nahezu alle Server-Prozessoren der vergangenen Jahre sowie die Rechenkarten Xeon Phi.

ARM führt in einer umfangreichen Liste zahlreiche Prozessoren der Cortex-Serie auf, die in Smartphones und Tablets stecken und auch in anderen SoC-Kombiprozessoren stecken, etwa in Nvidias Tegra-Chips.

Anzeige

Ebenfalls anfällig sind manche IBM-POWER- und Fujitsu-SPARC-CPUs für Server.

Nicht betroffen ist etwa der Prozessor des Raspberry Pi.

Ja, allerdings sind AMD-Prozessoren zum derzeitigen Kenntnisstand für zwei der drei Angriffsszenarien tatsächlich anfällig (Spectre-Varianten 1 und 2). AMD ging zunächst davon aus, dass AMD-Prozessoren aufgrund ihrer Architektur nicht über Spectre-Variante 2 angreifbar sind, musste das aber eine Woche später schließlich revidieren.

Die CPU-Sicherheitslücken Meltdown und Spectre
Google-Name Kurzbezeichung CVE-Nummer Betroffene Prozessoren
Intel AMD ARM¹ IBM POWER
Spectre, Variante 1 Bounds Check Bypass CVE-2017-5753
Spectre, Variante 2 Branch Target Injection CVE-2017-5715


Meltdown Rogue Data Cache Load CVE-2017-5754
¹ betroffen sind Cortex-A8, -A9, -A15, -A17, -A57, -A72, -A73, -A57, -R7, -R8, nicht der Cortex-A53 im Raspi

Da es sich um eine Hardware-Lücke handelt, sind alle Betriebssysteme betroffen, also etwa Windows, Linux, macOS, iOS, Android und FreeBSD.

Updates einspielen. Betriebssystemhersteller wie Microsoft rollen bereits Updates aus, die Sie schnellstmöglich installieren sollten. Doch auch viele Anwendungen und Treiber müssen abgesichert werden, so gibt es etwa Updates für den Firefox-Browser oder auch den Nvidia-Grafiktreiber.

Nein. Sie verringern nur das Risiko, dass Schadprogramme eine der Angriffsszenarien ausnutzen. Einen 100-prozentigen Schutz gegen das Ausnutzen dieser Lücken gibt es nicht.

Betriebssysstemupdates kommen bei aktivierter Update-Funktion automatisch rein – letztere sollte dringend aktiviert sein. Außerdem sollten Sie den Rechner auch regelmäßig neu starten, damit die Updates eingespielt werden können.

Microsoft weist allerdings darauf hin, dass Nutzer zusätzlich Microcode- beziehungsweise BIOS/Firmware-Updates für die anfällige Hardware einspielen müssen. Für deren Bereitstellung sind die jeweiligen Hardware-Hersteller verantwortlich.

Zahlreiche Hersteller von Computersystemen und Software-Anwendungen führen auf ihren Websiten Sicherheitshinweise und Updates auf. Eine von heise online ständig aktualisierte Liste finden Sie hier.

Intel will im Januar für alle innerhalb der vergangenen fünf Jahre hergestellten Prozessoren Microcode-Updates bereitstellen. Was mit älteren Prozessoren geschieht, ist derzeit unklar.

Microsoft hat ein Prüfwerkzeug für die Prozessor-Sicherheitslücken veröffentlicht. Eine einfache Anleitung finden Sie hier.

Ja. Wie hoch der Performance-Verlust ausfällt, kommt auf das Nutzungsszenario an.

Microsoft hat bereits eine Einschätzung geliefert: Normale Anwender mit Prozessoren ab der Serie Intel Core i-6000 (Skylake) sollten die Bremswirkung der Patches nicht spüren, sie liege im einstelligen Prozentbereich. Nutzer von älteren Prozessoren bis hin zur Haswell-Generation Core i-4000 werden "einen Rückgang der Systemleistung bemerken", Benchmarks zeigten eine "signifikante Verlangsamung". Offenbar soll die Bremswirkung desto spürbarer sein, je älter der Prozessor und das Betriebssystem sind.

Vergleichsweise hohe Performance-Minderungen dürften Betreiber von Server-Farmen und Cloud-Diensten erleiden, bei denen eine sehr hohe Anzahl von I/O-Operationen stattfinden. Beispielsweise hatte der Spiele-Entwickler Epic Messwerte veröffentlicht, die einen 20-prozentigen Leistungseinbruch aufgrund des Einspielens des Meltdown-Patches auf die Fortnite-Backend-Server zeigen.

Intel hat mittlerweile ebenfalls erste Messungen veröffentlicht (PDF-Download), nach denen sich die Leistungsfähigkeit aktueller Intel-Prozessoren nach dem Einspielen der Sicherheitspatches um bis zu 10 Prozent verringern kann.

c't hat massive I/Ops-Einbrüche mit der SSD Samsung 960 Pro gemessen, die nach BIOS- und Windows-Updates nur noch 105.986 I/Ops beim Lesen und 79.313 I/Ops beim Schreiben im Vergleich zu 197.525/185.620 I/OPs erreicht (vorheriges BIOS, Windows mit KB4054517). System: Windows 10, Core i7-8700K, Asus Maximus X Hero, Samsung 960 Pro, zufällige Zugriffe mit 4K-Blöcken und 32 I/O-Targets).

heise online hat dazu eine detaillierte Analyse veröffentlicht.

Nur indirekt: Ein Angreifer muss Schadcode auf dem betroffenen System ausführen. Deshalb ist die Lücke in vielen Embedded Systems und Routern unkritisch. Besonders gefährdet sind hingegen Web-Browser: Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Schadcode könnte beispielsweise über unseriöse Webesiten eingeschleust werden. Dagegen helfen Browser-Updates und Script-Blocker wie NoScript.

Nein! Es handelt sich um eine gut gemachte Fake-Mail, die wiederum auf eine Fake-Webseite mit einem als Sicherheitspatch getarnten Windows-Trojaner verweist. Löschen Sie diese E-Mail. Weitere Informationen finden Sie in einem Artikel auf heise Security.

heise online erklärt: Was steckt hinter Meltdown und Spectre

(mfi)

545 Kommentare

Themen:

Anzeige
  1. AMD rudert zurück: Prozessoren doch von Spectre 2 betroffen, Microcode-Updates für Ryzen und Epyc in Kürze

    AMD rudert zurück: AMD-Prozessoren auch von Spectre 2 betroffen, Updates für Ryzen und Epyc ab dieser Woche

    AMD-Prozessoren sind nun doch von der zweiten Spectre-Variante Branch Target Injection betroffen. AMDs Senior Vice President stellte bereits Microcode-Updates für Ryzen und Epyc in Aussicht.

  2. Meltdown und Spectre: Intel patcht ab 2013 produzierte Prozessoren, bestätigt Performance-Auswirkung

    Meltdown und Spectre: Intel will ab 2013 produzierte Prozessoren patchen und bestätigt Performance-Auswirkung

    Intel will zunächst nur die Prozessoren der letzten fünf Jahre mit Sicherheitsupdates versorgen und will diese noch im Januar ausspielen. Was mit älteren Prozessoren geschieht, ist unklar.

  3. Linus Torvalds: Will Intel "Scheiße für immer und ewig verkaufen"?

    Linus Torvalds kritisiert Intel scharf und zeigt ARM64 als Alternative

    Linux-Guru Linus Torvalds hat genug von Intels PR-Texten und fordert die Firma auf, klar Stellung zur Spectre und Meltdown zu beziehen. Als Alternative zu Intel sieht Torvalds die künftigen ARM64-Prozessoren.

  4. Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

    Meltdown und Spectre: Link-Übersicht  zu Informationen von Hardware- und Software-Herstellern

    Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

  1. Prozessor-Sicherheitslücke: So findest du heraus, ob du gegen Meltdown und Spectre geschützt bist

    Milliarden PCs sind von den Sicherheitslücken Meltdown und Spectre betroffen. Ob dein PC sicher ist, findest du mit unserer Anleitung heraus.

  2. Die Neuerungen von Linux 4.15

    Linux-Kernel 4.15

    Das noch diesen Monat erwartete Linux 4.15 schützt vor den Auswirkungen der Sicherheitslücken Meltdown und Spectre. Ohne Performance-Verlust geht das aber auch bei Linux nicht. An weiteren Gegenmaßnahmen schrauben die Kernel-Entwickler bereits.

  3. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  1. Test: Peugeot 308 SW BlueHDi

    Peugeot 308

    Peugeot bietet bereits erste Euro 6d-Motoren, etwa im überarbeiteten 308 SW. Wir fuhren ihn nach seiner in optischer Hinsicht zum Glück nicht weiter erwähnenswerten Modellpflege mit der Zweiliter-Diesel-Motorisierung

  2. Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Googles Fuchsia ist ein Betriebssystem mit eigenem Kernel und kommt als Android-Nachfolger in Frage. Erste Bilder zeigen es im Betrieb auf einem Pixelbook.

  3. Alexa-Sprachsteuerung kommt auf PCs und Smartphones

    Alexa-Sprachsteuerung kommt auf den PC

    Amazon will seine Sprachsteuerung auf PCs und Smartphones bringen. Eine Erweiterung, die das auf Android-Geräten umsetzt, wird bereits in den nächsten Tagen erwartet.

  4. Facebook-"Wahrheitsprüfer" Correctiv verstrickt sich in Widersprüche

    Die Faktenchecker von Correctiv können bislang nicht sagen, nach welchen Kriterien sie "Fake News" auf Facebook kennzeichnen wollen

Anzeige