Am Mittwoch haben Forscher schwerwiegende Schwachstellen in aktuellen Prozessoren enthüllt. Die präsentierten Angriffsmethoden Meltdown und Spectrebetreffen praktisch jeden Intel-Rechner, der in den vergangenen zwei Jahrzehnten gebaut wurde. Angreifbar sind aber auch gewisse AMD- und ARM-Chips, die in Notebooks, Tablets und Smartphones stecken.

Seit letzter Nacht wissen wir (offiziell), dass auch sämtliche Macs und iOS-Geräte wie das iPhone betroffen sind.

Dieser Beitrag listet alle wichtigen Informationen rund um Meltdown und Spectre aus User-Sicht auf. Und zwar zu:

  • Android
  • Firefox (Browser)
  • Google Chrome (Browser)
  • Google Chromebooks
  • Weitere Google-Produkte
  • Windows-PCs
  • Cloud-Server-Dienste von Microsoft und Amazon
  • Macs von Apple
  • iPhones und andere iOS-Geräte, Apple Watch und TV
  • Safari (Browser)
  • Linux

(Stand: 5. Januar 2018).

Das Wichtigste in Kürze (falls du gestern in einer Höhle ohne Internetverbindung verbracht hast 😉):

  • Mit Meltdown lassen sich Intel-Prozessoren attackieren, die in fast jedem PC, Notebook und Server stecken. Betroffen sind Windows (Microsoft), macOS (Apple) und Linux.
  • Spectre gefährdet auch AMD- und ARM-Chips, die unter anderem in Android-Smartphones und iPhones verbaut sind.
  • Das ganze Ausmass und die Auswirkungen, die die Enthüllungen haben, sind noch nicht absehbar.

Die gute Nachricht: Die Hersteller sind dran, so schnell wie möglich System-Updates («Patches») zu veröffentlichen, um die publik gemachten Sicherheitslücken so weit es geht zu schliessen oder die Risiken zumindest abzuschwächen.

Endgültig beseitigt werden die Schwachstellen erst mit zukünftigen Prozessor-Generationen.

Was den Kauf neuer Hardware betrifft, kann man derzeit eigentlich nur zum Abwarten raten. Noch liegen viele Informationen nicht vor. Wir wissen in vielen Fällen nicht, wie stark neue Sicherheits-Updates die Geräte ausbremsen werden ...

Im Internet kursieren bereits erste Demonstrationen, wie sich die Angriffsmethoden zum Stehlen von Passwörtern nutzen lassen. Wobei die verantwortungsbewussten Sicherheitsforscher den Programmcode erst später veröffentlichen wollen.

Diese Rechner sind ganz bestimmt sicher (kein Scherz! 😱) 

Helfen Antivirus-Programme?

Nope.

Zur Frage, ob Antiviren-Programme Angriffe erkennen können, schreiben die Forscher, die Spectre und Co. entdeckt haben:

Android

Android-Geräte sind grundsätzlich betroffen.

User sollen ihr System auf dem neusten Stand halten und Sicherheit-Updates möglichst schnell installieren.

Laut Google wird ein Sicherheitsupdate von heute Freitag, 5. Januar, «Schadensminderungen» (Mitigations) enthalten, um Smartphones und Tablets zu schützen. Ausserdem sollen zukünftige Android-Updates weitere Korrekturen bringen.

Im Vorteil sind Nutzer, die Geräte mit «purem» Android haben. Sie erhalten die Sicherheits-Updates am schnellsten. Bei Pixel-Smartphones und anderen Google-Geräten muss nichts unternommen werden, Updates erfolgen automatisch.

Bei Android-Geräten von anderen Herstellern wie Samsungkönnte es etwas länger dauern. Sofern es (bei älteren Modellen) überhaupt noch System-Software-Updates gibt.

Firefox (Browser)

Firefox ist grundsätzlich angreifbar.

Mozilla hat bereits ein Update für den populären Webbrowser veröffentlicht. User sollten die Software aktualisieren.

Details gibt's im Mozilla Security Blog.

Google Chrome (Browser)

Auch hier gilt es, auf Updates zu warten!

Am 23. Januar soll eine neue Version von Google Chrome für Desktop-Rechner und Mobilgeräte veröffentlicht werden, die vor webbasierten Angriffen schützt.

Wer nicht so lange warten will, kann ein experimentelles Feature namens «Site Isolation» aktivieren. CNET erklärt in diesem Beitrag, wie es geht.

Für Chrome auf iOS-Geräten (iPhone, iPad) sagt Google, dass Apple alle notwendigen Korrekturen liefern werde.

Weitere Infos gibt's hier bei heise.de.

Google Chromebooks

Chromebooks sind oder werden laut Google automatisch vor den Schwachstellen geschützt, verspricht Google in diesem FAQ.

Vorsichtige können noch vor der Veröffentlichung von Patches die oben erwähnte Site Isolation aktivieren.

Gemäss Google sind Chromebooks mit ARM-Chips überhaupt nicht betroffen, und für diejenigen mit anderen Prozessoren (in der Regel Intel) gibt eine Behelfslösung ab der Chrome-OS-Version 63, die seit Mitte Dezember ausgeliefert wird.

Eine Liste mit Chrome-OS-Geräten, die keinen Patch erhalten, ist auf dieser Webseite zu finden. In der Spalte ganz rechts ist bei den entsprechenden Notebooks ein «No» zu finden.

Weitere Google-Produkte

Google sagt, dass abgesehen von Chrome  und Chrome OS keine anderen Produkte durch Meltdown oder Spectre gefährdet seien. Sicher sind demnach laut CNET:

  • Google Chromecast (TV-Stick)
  • Google Home (Smart-Lautsprecher)
  • Gmail
  • Andere Google-Apps und -Dienste.

Windows-PCs

Microsoft hat bereits ein Sicherheitsupdate für Windows 10 veröffentlicht, um die Sicherheitslücken zu entschärfen. Allerdings könnte der Notfall-Patch Probleme verursachen.

Grundsätzlich lädt Windows 10 die notwendigen Sicherheitsupdates automatisch herunter und installiert sie häufig selbst. Was User verärgere: In der Regel erfordere dies einen vollständigen Neustart und einen langwierigen Shutdown-Prozess.

Es gibt laut The Verge Probleme mit mehreren Antiviren-Programmen, die die Installation des Patches verhindern. Sicherheitsforscher versuchten, eine Liste der unterstützten Antiviren-Software zu erstellen, aber die Situation sei chaotisch.

Gemäss dem Spectre-FAQ und Rückmeldungen bei Twitterwird derzeit für Windows daran gearbeitet, die System-Software gegen zukünftige Angriffsversuche abzusichern.

Erforderlich ist auch ein Firmware-Update, um zusätzlichen Hardware-Schutz zu gewährleisten. Das liegt aber in der Verantwortung der diversen PC-Hersteller, nicht nur von Microsoft.

Cloud-Server-Dienste von Microsoft und Amazon

Erste Patches wurden bereits installiert.

Die grossen Cloud-Anbieter Microsoft und Amazon haben laut heise.de angekündigt, zwischen dem 5. und 10. Januar wichtige «Sicherheits- und Wartungs-Updates» auf ihren Server-Systemen (Azure, Amazon Web Services) aufzuspielen.

Zur Microsoft-Mitteilung für Azure-Nutzer geht's hier.

Macs von Apple

In allen neueren Desktop-Macs und Macbooks sind Intel-Prozessoren verbaut. Die Geräte sind also auch gefährdet. Dies hat Apple letzte Nacht in einem offiziellen Statement bestätigt. Und auch iOS-Geräte sind betroffen (siehe weiter unten).

Die Stellungnahme gibt's hier auf der Apple-Website.

Das Wichtigste: Solange man keine manipulierten Anwendungen installiert (und ausführt), soll keine Gefahr bestehen.

Mac-User müssen nichts unternehmen, falls ihre System-Software auf dem neusten Stand ist. Apple versichert, es seien bereits mit mehreren System-Updates so genannte «Schadensminderungen» (Mitigations) ausgeliefert worden.

Über Geschwindigkeitseinbussen ist nichts bekannt. Laut Apple sollen die Patches das System nicht messbar bremsen.

iPhones und andere iOS-Geräte, Apple Watch und TV

In iPhones und anderen iOS-Geräten laufen keine Intel-Prozessoren, sondern Eigenentwicklungen von Apple. Und diese Ein-Chip-Systeme, wie etwa der neueste A-Serie-Prozessor (A11 Bionic), werden von den Forschern, die die Sicherheitslücken publik gemacht haben, in ihrem FAQ nicht erwähnt.

Apple hat für seine A-Prozessoren aber ARM-Technik lizenziert und wie wir spätestens seit letzter Nacht wissen, sind auch auch alle iOS-Geräte von den Schwachstellen betroffen.

Apple-User können müssen allerdings vorläufig nichts tun, ausser ihre Software auf dem neusten Stand zu halten:

  • Mit der Auslieferung des System-Updates iOS 11.2 wurden bereits Schutzmechanismen gegen die Angriffsmethode Meltdown auf iPhone, iPads und iPods installiert.
  • Mit der Aktualisierung auf tvOS 11.2 sind die TV-Set-Top-Boxen Apple TV so gut es geht geschützt.
  • Die Apple Watch ist nicht von Meltdown betroffen.

Auch hier gilt, dass iOS-User keine Anwendungen aus dubiosen Quellen installieren sollten, was aber sowieso nur möglich ist, wenn man das Gerät per Jailbreak «aufgebohrt» hat. 

Mit der Spectre-Schwachstelle ein iOS-Gerät (oder einen Mac) erfolgreich zu attackieren, sei extrem schwierig, schreibt Apple. Selbst wenn eine manipulierte App auf dem Gerät laufe.

Weitere Sicherheit-Updates sollen folgen.

Safari (Browser)

Ein gewisses Risiko besteht wegen der Spectre-Schwachstelle bei Apples eigenem Webbrowser für Macs und iOS-Geräte. Angreifer könnten via JavaScript angreifen. Darum stellt Apple Safari-Updates für Macs, iPhone und Co. in Sicht.

Die Geschwindigkeitseinbussen beim Surfen sollen weniger als 2,5 Prozent betragen, zitiert Apple eigene Messungen.

Linux

Für das Open-Source-Betriebssystem Linux sind bereits Patches gegen die Angriffsmethode Meltdown verfügbar. Sie wurden umgangssprachlich als KPTI, kurz für Kernel Page Table Isolation, bekannt und wurden in der Vergangenheit auch als «KAISER» und scherzhaft als «F**CKWIT» bezeichnet.

Im Gegensatz zu Meltdown funktioniert der Spectre-Angriff auch auf Prozessoren, die nicht von Intel stammen, einschliesslich AMD und ARM. Darüber hinaus schützt der KPTI-Patch, der seit 2008 für Linux-Systeme verfügbar ist, nicht vor Spectre.

Gemäss dem Spectre-FAQ und Rückmeldungen bei Twitter wird derzeit für Linux (fieberhaft) daran gearbeitet, die System-Software gegen zukünftige Angriffsversuche abzusichern.

Gut zu wissen

Dass sich die Gefahr durch Spectre in Grenzen hält, wird auch in einem ARM Security Update von dieser Woche bestätigt: