Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.681.728 Produkten

Christof Windeck 595

Kommentar zu Meltdown & Spectre: Chaos statt Kundendienst Update

Intel-Prozessor Xeon E3-1200

Intel, Microsoft, Google, Apple, AMD, Samsung & Co stellen angesichts der aktuellen Sicherheitslücken ihre eigenen Interessen über die ihrer Kunden: Sie dokumentieren nicht genau genug, was zu tun ist.

Die gravierenden Sicherheitslücken Meltdown und Spectre sind der IT-Branche seit Juni 2017 bekannt. In den sechs Monaten seither haben also Intel, AMD, Microsoft, Apple, Qualcomm, Samsung, Google und viele andere Firmen Abermillionen Chips und Geräte verkauft, von denen sie klar wussten, dass sie Sicherheitslücken enthalten. Nun sind die Patches für Meltdown und Spectre besonders kompliziert und man muss einrechnen, dass die Reparatur Zeit braucht. Wenn jetzt mit einfachen Updates für sicheren Betrieb gesorgt worden wäre, könnte man wohl damit leben. Aber so ist es eben nicht gelaufen.

Anzeige

Die IT-Branche tut derzeit ihr Bestes, um Vertrauen zu zerstören. Man weiß nicht, auf welche Auskünfte man sich noch verlassen kann. Intel und viele Smartphone-Hersteller lassen Besitzer älterer Rechner und Handys bisher im Regen stehen: Es ist nicht klar, welche Geräte überhaupt mit vollständigen Updates versorgt werden. Wie kann es sein, dass sechs Monate nach Bekanntwerden gravierender Sicherheitsmängel keine konkreten Listen mit Produkten und den jeweils geplanten Updates vorliegen?

Die Unternehmen könnten ihre Kunden auch umfassend informieren und zum Beispiel – wie die Macher des Raspberry Pi – genau erklären, weshalb kein Update nötig ist: Der ARM Cortex-A53 ist nicht betroffen. Das dürfte auch Besitzer von Smartphones wie dem Motorola Moto G3 interessieren – denn wer hat schon im Kopf, dass dessen Qualcomm Snapdragon 410 ebenfalls den Cortex-A53 enthält?

Ein Kommentar von Christof Windeck

Christof Windeck (ciw) schreibt für c't und heise online über PC- und Server-Hardware. Er kam nach einem Studium der Elektrotechnik und sieben Jahren in einem kleinen Industriebetrieb 1999 zur c't und ist heute leitender Redakteur des Ressorts PC-Hardware.

Selbst bei den Computern, die Updates erhalten sollen, herrscht jedoch Chaos: Nur wenige PC- und Mainboard-Hersteller verteilen bereits BIOS-Updates mit jenen CPU-Microcode-Updates, die zum Schutz von Spectre Variante 2 (BTI) nötig sind. Microsoft wiederum verrät nicht, weshalb man die nötigen Microcode-Updates nicht wie manche Linux-Distributionen per Betriebssystem einspielt, was durchaus möglich wäre.

AMD schreibt einerseits, es seien nur Software-Updates für die eigenen Prozessoren nötig, verteilt aber andererseits über Linux-Distributionen undokumentierte Microcode-Updates für Ryzen und Epyc.

[Update:] Mittlerweile (11.8./US-Zeit) hat AMD neue Informationen veröffentlicht und erklärt den Hintergrund der Microcode-Updates; es sollen später auch welche für ältere AMD-Prozessoren erscheinen. (/Update)

Außerdem muss Microsoft den Windows-Patch für ältere AMD-Systeme zurückziehen, angeblich weil die von AMD zur Verfügung gestellte Dokumentation nicht stimmte. Und Apple erklärt nicht genau, was ist mit älteren Macs aus den Jahren vor 2010 passiert, auf denen macOS High Sierra nicht läuft.

Anzeige

Den Vogel aber schießt Intel ab: Das Unternehmen will erst gar nicht von einem Prozessorfehler sprechen – denn die Prozessoren arbeiteten ja exakt wie spezifiziert. Dabei liegt genau hier das Problem. Intel will zudem zwar Updates für Prozessoren ab 2013 liefern, lässt aber die Frage offen, was das für ältere Chips bedeutet. Reichen dafür Software-Updates? Oder bleiben schlichtweg Lücken offen?

Zudem hat es Intel in sechs Monaten nicht geschafft, die per Microcode-Update nachgerüsteten Funktionen zu dokumentieren – das möchte man nachreichen. Unterdessen fand Intel-CEO Brian Krzanich aber genug Zeit, um ein großes Aktienpaket abzustoßen.

Google sieht sich als der weiße Ritter, war doch die Security-Abteilung Project Zero an der Aufdeckung der Lücken maßgeblich beteiligt. Glaubwürdig ist, dass Google starkes Interesse an sicheren Produkten hat. Doch Google ist einer der größten Intel-Kunden und ein harter Konkurrent sowohl von Microsoft als auch von Apple. Als unabhängige Instanz kann man Google Project Zero folglich wohl kaum bezeichnen. Und auch Google sagt bisher nicht genau, wie es mit Updates für ältere Android-Versionen aussieht. Hier verweist man schlichtweg an die Smartphone-Hersteller. Dabei weiß Google sehr genau, wie die es mit Android-Updates halten: schlecht.

Im Zweifel liegt die Loyalität der großen IT-Firmen vor allem bei sich selbst. Die Politik deckt dieses Verhalten, siehe Volkswagen. Der Kunde schaut in die Röhre.

(ciw)

595 Kommentare

Themen:

Anzeige
  1. AMD rudert zurück: Prozessoren doch von Spectre 2 betroffen, Microcode-Updates für Ryzen und Epyc in Kürze

    AMD rudert zurück: AMD-Prozessoren auch von Spectre 2 betroffen, Updates für Ryzen und Epyc ab dieser Woche

    AMD-Prozessoren sind nun doch von der zweiten Spectre-Variante Branch Target Injection betroffen. AMDs Senior Vice President stellte bereits Microcode-Updates für Ryzen und Epyc in Aussicht.

  2. FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?

    FAQ: Prozessor-Sicherheitslücken Meltdown und Spectre

    Antworten auf die häufigsten Fragen zu den Prozessorlücken und Angriffsszenarien Meltdown und Spectre.

  3. Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

    Meltdown und Spectre: Link-Übersicht  zu Informationen von Hardware- und Software-Herstellern

    Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

  4. Meltdown und Spectre: Intel patcht ab 2013 produzierte Prozessoren, bestätigt Performance-Auswirkung

    Meltdown und Spectre: Intel will ab 2013 produzierte Prozessoren patchen und bestätigt Performance-Auswirkung

    Intel will zunächst nur die Prozessoren der letzten fünf Jahre mit Sicherheitsupdates versorgen und will diese noch im Januar ausspielen. Was mit älteren Prozessoren geschieht, ist unklar.

  1. Prozessor-Sicherheitslücke: So findest du heraus, ob du gegen Meltdown und Spectre geschützt bist

    Milliarden PCs sind von den Sicherheitslücken Meltdown und Spectre betroffen. Ob dein PC sicher ist, findest du mit unserer Anleitung heraus.

  2. Die Neuerungen von Linux 4.10

    Linux-Kernel 4.10

    Linux 4.10 bringt eine weitere Möglichkeit, um in virtuellen Maschinen den Grafikprozessor des Hosts zu verwenden. Ein RAID-Cache kann die Performance von Festplatten-Arrays steigern. Firefox soll nicht mehr so leicht ruckeln, wenn der Kernel große Datenmengen schreibt. Außerdem unterstützt Linux einen Schlafzustand moderner Notebooks jetzt besser.

  3. Die Neuerungen von Linux 4.13

    Linux-Kernel 4.13

    Der neue Kernel kann die Schwerarbeit bei der HTTPS-Verschlüsselung übernehmen. Statt einer "inakkuraten" Taktfrequenzangabe findet sich in /proc/cpuinfo jetzt nur noch der Basistakt des Prozessors. Außerdem sind jetzt Treiber für neue Grafikkerne von AMD und Intel dabei.

  1. Nun auch in Deutschland: Microsoft Classic IntelliMouse für 40 Euro bestellbar

    Nun auch in Deutschland: Microsoft Classic IntelliMouse für 40 Euro erhältlich

    Microsoft bringt seine Microsoft Classic Intellimouse nun auch in Deutschland auf den Markt.

  2. Honda CB 1000 R

    CB 1000 R

    Honda hatte ein Jahr lang das Naked Bike CB 1000 R aus dem Programm genommen, was bei den Fans für Unruhe sorgte. Die Nachfolgerin versöhnt beim ersten Anblick, das Design ist eine interessante Mischung aus modernen Formen und klassischen Elementen. Dazu bekam der Vierzylinder 20 PS mehr

  3. Selbstleuchtendes OLED-Garn

    Selbstleuchtendes OLED-Garn

    Bislang bestand selbstleuchtende Kleidung aus Stoff, auf dem kleine Dioden oder Leuchtplatten befestigt wurden. Am koreanischen Forschungsinstitut KAIST haben Forscher nun ein OLED-Garn entwickelt, das sich direkt einweben lässt.

  4. Amazon Echo Spot kommt diesen Monat nach Deutschland

    Amazon Echo Spot in Schwarz und Weiß

    Amazon bringt den Echo Spot mit kreisrundem Farb-Display in diesem Monat in Deutschland auf den Markt. Der smarte Lautsprecher ist ab sofort für 130 Euro vorbestellbar.

Anzeige