Kritisches Prozessor-Leck
04.01.2018, 10:30 Uhr
Meltdown und Spectre bedrohen fast sämtliche Systeme
Die aktuell bekannt gewordene Prozessor-Sicherheitslücke ist wohl kritischer als bisher angenommen. Durch die Attacken "Meltdown" und "Spectre" sollen neben Systemen mit Intel-CPUs auch Geräte mit Chipsets von AMD oder ARM betroffen sein.
Ein äußerst kritischer Designfehler in nahezu allen Intel-CPUs wurde kürzlich entdeckt: Zunächst wurde angenommen, dass der Fehler nur Intel.Prozessoren betrifft. Diese Aussage muss nun jedoch revidiert werden. Neben Geräten mit Intel-Chips sollen auch Systeme mit ARM- oder AMD-CPUs angreifbar sein. Je nach Art des Angriffs sprechen die Experten von Meltdown oder Spectre.
Damit ist in Computerchips von Milliarden Geräten eine Sicherheitslücke entdeckt worden, durch die Angreifer an vertrauliche Daten kommen könnten. Forscher demonstrierten, dass es möglich sei, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen. Die Tech-Firmen sind dabei, die Lücke mit Software-Aktualisierungen zu stopfen.
Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden. Diese als "speculative execution" bekannte Technik wird seit Jahren von diversen Anbietern eingesetzt. Damit dürfte eine riesige Anzahl von PCs, Notebooks, Tablets und Smartphones bedroht sein.
Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei, erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen können, denn die Attacken hinterließen keine Spuren in traditionellen Log-Dateien.
Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an einer Lösung gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle bereits ausgenutzt worden sei. Allerdings wehrt sich Intel dagegen, dass das Sicherheitsproblem allein bei den hauseigenen Produkten bestehe.
AMD bestreitet, dass eigene CPUs betroffen sind
Der Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien. Der Chipdesigner ARM, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte hingegen, dass einige Produkte anfällig dafür seien.
Die Sicherheitslücke war bereits vor einiger Zeit entdeckt worden. Die Tech-Industrie arbeitete seitdem daran, die Schwachstelle mit Software-Updates zu schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9. Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, "irreführenden Berichten" zu widersprechen und betonte, es handele sich um ein allgemeines Problem.