2365659

Neue Spectre-Gefahren: Die 2. Generation im Überblick

06.08.2018 | 14:13 Uhr | Arne Arnold, Hans-Christian Dirscherl,

Sicherheitsforscher haben im letzten Jahr gravierende Lücken in nahezu allen CPUs gefunden und auf die Namen Meltdown und Spectre getauft. Im Mai wurden acht neue Sicherheitslücken entdeckt – Spectre Next Generation. Wir geben einen Überblick.

Anfang des Jahres platzte eine Bombe: Viele Prozessoren wiesen gravierende und nur schwer zu behebende Sicherheitslücken auf , über die sensible Speicherinhalte und somit Daten des PCs ausgelesen werden können. Betroffen waren, beziehungsweise sind, ganz verschiedene Gerätearten, darunter insbesondere auch Desktop-Computer und Notebooks mit CPUs sowohl von Intel als auch von AMD – und zwar unabhängig vom installierten Betriebssystem. Zusammengefasst wurden die verschiedenen Schwachstellen unter den Begriffen „Spectre“ und „Meltdown“. Was also ließ und lässt sich tun, um diese Sicherheitslücken zu schließen? Schutz bietet geeignete Firmware der Hauptplatine, auf der die CPU schließlich steckt. Die Aktualisierung des Bios beziehungsweise Uefi ist deshalb der wichtigste Schritt.

Unser Ratgeber beschreibt Schritt für Schritt, wie Sie ein solches Mainboard-Update durchführen. Das beginnt bei der genauen Identifikation des Boards sowie der installierten Bios-/Uefi-Version, führt Sie zum Download der neuesten passenden Update-Datei und reicht bis zur sicheren Installation. Weil diese je nach Hersteller und Variante des PCs beziehungsweise der Hauptplatine ziemlich unterschiedlich ablaufen kann, beschreiben wir alle drei wichtigen Methoden ebenfalls im Detail: aus dem laufenden Windows-Betrieb heraus, direkt im Bios beziehungsweise Uefi oder über ein externe Boot-Medium. Nach wenigen Minuten ist die Mainboard-Aktualisierung dann abgeschlossen – Zeit, die Sie auf jeden Fall zum Schutz gegen Spectre und Meltdown investieren sollten.

Weil es neue Bios-/Uefi-Versionen zum Teil erst nach Monaten gibt – für viele ältere Boards zudem gar nicht mehr – hatte Microsoft im März sogenannte Microcode-Updates für Windows 10 bereit gestellt. Zunächst standen die Updates gegen Spectre und Meltdown nur für neuere Intel-Prozessoren bereit, seit Ende April auch für ältere bis zurück zur vierten Core-i-Generation.

Meltdown und Spectre: Ist meine CPU betroffen? Was muss ich tun?

So anfällig sind Prozessoren

Ob ein Windows-Rechner überhaupt anfällig für Angriffe ist, lässt sich mit Hilfe der Powershell.
Vergrößern Ob ein Windows-Rechner überhaupt anfällig für Angriffe ist, lässt sich mit Hilfe der Powershell.

Je nach Vorgehensweise bei der Ausnutzung nennt man die dabei ausgenutzte Sicherheitslücke Meltdown oder Spectre. Die Lücken erlauben es, dass feindlicher Code auf eigentlich geschützte Speicherbereiche in der CPU zugreifen und dort sensible Daten auslesen kann. Ausnutzen lassen sich drei Angriffswege, weshalb sie drei CVENummer ( Common Vulnerabilities and Exposures ) bekommen haben. Konkret geht es um CVE-2017-5753 Bounds check bypass, Spectre, Variante 1; CVE-2017-5715, Branch target injection, Spectre, Variante 2; CVE-2017-5754, Rogue data cache load, Meltdown, Variante 3.

Meltdown (englisch für Kernschmelze) gilt als die schwerwiegendere Lücke. Sie betrifft vor allem Intel-, aber auch ARM- und Apple-Prozessoren. Die andere Lücke wird als Spectre (englisch für Schreckgespenst) bezeichnet und soll ARM-, AMD-, Apple- und Intel-Prozessoren betreffen. Von der Meltdown-Schwachstelle betroffen sind fast alle Intel-Prozessoren seit 1995. Ausgenommen sind nur Intel Itanium und Atom vor 2013. Einen Überblick der betroffenen Systeme gibt der Kasten auf der rechten Seite. Betroffen sind die Betriebssysteme Windows, Windows Server und Windows Phone/ Mobile, Linux, Mac-OS, iOS und TV-OS sowie Chrome-OS und Android. Neben den Betriebssystemen sind noch die Browser Chrome, Firefox, Edge und Internet Explorer direkt betroffen, da über diese besonders einfach Angriffscode ins System gelangen kann.

So funktionieren die Angriffe

Der Freeware Spectre Meltdown CPU Checker finden Sie heraus, ob ihr Rechner verwundbar ist.
Vergrößern Der Freeware Spectre Meltdown CPU Checker finden Sie heraus, ob ihr Rechner verwundbar ist.

Die Sicherheitslücken betreffen die Art und Weise, wie der Prozessor mit Daten umgeht. Es geht dabei um eine Technik, die „speculative execution“ genannt wird. Sie dient dazu, die Verarbeitung von Befehlen im Prozessor zu beschleunigen. Zu diesem Zweck berechnet die CPU einige Daten, noch bevor das vom System gefordert wurde. Diese spekulative Ausführung von Befehlen geschieht in einem speziellen, eigentlich geschützten Bereich der CPU. Im Falle von Meltdown ist das Auslesen dieses geschützten Kernelspeichers möglich. Im Fall von Spectre können nicht autorisierte Anwendungen Lesezugriff auf Informationen von andern Anwendungen im geschützten Kernelspeicher erlangen. Dort können sie etwa Passwörter oder andere wertvolle Informationen abgreifen. Spectre hebelt also die Speichertrennung zwischen einzelnen Anwendungen aus.

So prüfen Sie Ihr System

Microsoft bietet ein Prüfwerkzeug für die Powershell an, das Ihnen detaillierte Informationen über die Lücken in Ihrem System geben kann. Starten Sie dafür die Powershell über „Windows-Symbol –› Windows Powershell –› Windows Powershell“ mit einem Rechtsklick und der Wahl von „Als Administrator ausführen“. Zuerst geben Sie den Befehl

Install-Module SpeculationControl 

ein und bestätigen zweimal mit der J-Taste. Anschließend geben Sie nacheinander die folgenden Kommandos ein:

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl
Get-SpeculationControlSettings 

Der letzte Befehl zeigt detailliert die Anfälligkeit Ihres Systems an. Zum Zurücksetzen der Execution-Policy auf die originalen Einstellungen verwenden Sie den Befehl

Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser  

Wer es einfacher haben möchte, nutzt das Tool Ashampoo Spectre Meltdown CPU Checker (gratis, für Windows 7, 8, 10). Es startet ohne Installation und zeigt an, ob Ihr System für eine der beiden Lücken anfällig sind. Details zu den Lücken verrät das Tool nicht. Inspectre prüft ebenfalls, ob ein System von den Prozessor-Bugs Spectre und Meltdown betroffen ist, wobei die Hardware und auch Windows untersucht werden. Dazu bietet das Tool die Möglichkeit, die beiden Patches zu deaktivieren, beispielsweise um Performance-Einbußen zu prüfen.

Interna: Warum Intel Spectre und Meltdown nicht sofort meldete

Das sind die betroffenen Prozessoren

  • Intel Core i3

  • (45nm und 32nm)

  • Intel Core i5

  • (45nm und 32nm)

  • Intel Core i7 (45nm und

  • 32nm)

  • Intel Core M-Familie (45nm

  • und 32nm)

  • 2. Generation Intel Core

  • 3. Generation Intel Core

  • 4. Generation Intel Core

  • 5. Generation Intel Core

  • 6. Generation Intel Core

  • 7. Generation Intel Core

  • 8. Generation Intel Core

  • Intel Core X-Series-Familie für

  • Intel X99 Plattformen

  • Intel Core X-Series-Familie für

  • Intel X299 Plattformen

  • Intel Xeon 3400 Serie

  • Intel Xeon 3600 Serie

  • Intel Xeon 5500 Serie

  • Intel Xeon 5600 Serie

  • Intel Xeon 6500 Serie

  • Intel Xeon 7500 Serie

  • Intel Xeon E3-Familie

  • Intel Xeon E3v2-Familie

  • Intel Xeon E3v3-Familie

  • Intel Xeon E3v4-Familie

  • Intel Xeon E3v5-Familie

  • Intel Xeon E3v6-Familie

  • Intel Xeon E5-Familie

  • Intel Xeon E5v2-Familie

  • Intel Xeon E5v3-Familie

  • Intel Xeon E5v4-Familie

  • Intel Xeon E7-Familie

  • Intel Xeon E7v2-Familie

  • Intel Xeon E7v3-Familie

  • Intel Xeon E7v4-Familie

  • Intel Xeon Scalable-Familie

  • Intel Xeon Phi 3200, 5200,

  • 7200 Series

  • Intel Atom C Serie

  • Intel Atom E Serie

  • Intel Atom A Serie

  • Intel Atom x3 Serie

  • Intel Atom Z Serie

  • Intel Celeron J Serie

  • Intel Celeron N Serie

  • Intel Pentium J Serie

  • Intel Pentium N Serie

So schützen Sie Ihre Geräte

Die Freeware Inspectre prüft Windows-PCs auf die Sicherheitslücken Spectre und Meltdown.
Vergrößern Die Freeware Inspectre prüft Windows-PCs auf die Sicherheitslücken Spectre und Meltdown.

Um die Meltdown- und Spectre-Lücken möglichst sicher zu schließen, benötigen Sie Updates für das Betriebssystem, die Browser und die CPU-Firmware, die in den meisten Fällen per Bios-/Uefi-Update erhältlich ist.

Windows: Microsoft hat für Windows 10 ziemlich schnell einen Patch zur Verfügung gestellt und per Update verbreitet. Diese Patches eignen sich allerdings nur für die zu diesem Zeitpunkt aktuelle Version von Windows 10, also für das Fall Creators Update (Version 1709). Als dann im Frühjahr mit dem April-Update die nächste Version ausgerollt wurde (Version 1803), war die Ernüchterung groß: Denn der Spectre-/ Meltdown-Schutz wurde weder ins Betriebssystem integriert – das soll erst im kommenden Herbst erfolgen – noch stellte Microsoft seinen Nutzern Microcode-Patches für die aktualisierten PCs zur Verfügung. Die bisherigen lassen sich in der Version 1803 April-Update nicht mehr installieren. Auch den regulären Mai-Patchday (8. Mai) ließ Microsoft verstreichen. Erst Mitte Mai standen dann neue Patches für das aktualisierte Windows 10 bereit – allerdings wieder an einer anderen Stelle des Microsoft Update Katalogs. Zumindest anfänglich mussten Windows-Anwender also die genaue Adresse kennen und das Microcode-Update von dort manuell installieren.

Für Anwender früherer Windows-Versionen bleibt nur der Rat, die Firmware der Hauptplatine zu aktualisieren, was mithilfe unseres Ratgebers einfach ist.

Für Windows 10 Version 1803 steht das Update mit der KB-Nummer 4100347 zum Download bereit.
Vergrößern Für Windows 10 Version 1803 steht das Update mit der KB-Nummer 4100347 zum Download bereit.

Waren Anwender mit AMD-CPUs zu Beginn vom Update ausgenommen, so gibt es seit dem 23. Januar 2018 eine Aktualisierung. Spezifische Informationen zu AMD-Geräten finden Sie in der Sicherheitsempfehlung von AMD . Das Update für Windows lieferte allerdings nach ersten Informationen nur Schutz gegen zwei der drei Lücken. Die Variante 2 (CVE-2017-5715, Spectre) blieb von Microsoft zunächst ungepatcht und sollte über ein Bios-Update für die CPU verriegelt werden. Mit dem Update KB4090007 stellte Microsoft ein Intel-Microcode-Update für Windows 10 1709 (Fall Creators Update) mit Intel-Skylake-CPUs zum Download bereit. Ein zusätzliches BIOS-Update sollte damit überflüssig werden.

Browser: Alle wichtigen Browserhersteller haben seit Januar entsprechende Updates veröffentlicht, die das Ausnutzen einer Spectre-Lücke verhindern. Google Chrome ab Version 64, Firefox ab Version 57, Opera ab Version 77 sowie Microsoft Internet Explorer und Edge sind sicher. Ein Check auf der Webseite des chinesischen Sicherheitsanbieters Tencent Xuanwu Lab bringt Gewissheit.

Bios: Intel hat einige Firmware-Updates als sogenannte Microcode-Updates fertiggestellt. Sie erhalten diese in der Regel über den Hersteller Ihrer Hauptplatine oder Ihres PCs als Bios-/Uefi-Update.

Intel: Ältere CPUs erhalten kein Update gegen Spectre V2

Apple: Sicherheitsupdates für iOs & Mac OS

Den Sicherheitslücken Meltdown und Spectre sind auch die Apple-Betriebssysteme ausgeliefert, da Angreifer direkt die Schwächen der CPUs nutzen. Doch kann man mit Patches in den Betriebssystemen dieses Risiko minimieren. Apple hatte bereits in iOS 11.2 und Mac OS 10.13.2 entsprechende Patches eingebaut. Offen blieb eine Flanke in Javascript von Safari, über die sich Spectre ausnutzen ließ. Mit dem Systemupdate auf iOS 11.2.2 hat Apple diese Lücke für iOS-Geräte geschlossen. Mac-Anwender bekommen das Supplemental-Update für Mac OS 10.13.2 , das die gleiche Sicherheitsvorkehrung vornimmt.

Der wesentliche Unterschied der Updates: Während iOS 11.2.2 das Webkit sichert, auf das auch alle anderen Browser zugreifen müssen, gilt das Update für Mac OS 10.13.2 eben nur für den eigenen Browser. Über andere Browser ist Spectre sehr wohl noch angreifbar, solange diese nicht aktualisiert wurden. Mit den großen, bereits für September angekündigten Updates auf iOS 12 (iPhone und iPad) sowie Mac OS 10.4 Mojave sollen sämtliche Sicherheitslücken geschlossen sein.

Updates bremsen das System

Die demnächst erscheinenden Sicherheits-Updates könnten die Leistung der Intel-Prozessoren reduzieren. Die gepatchten Intel-Rechner könnten also etwas langsamer laufen. Intel gibt die möglichen Performance-Einbußen mit einem Wert zwischen 0 und 30 Prozent der vor dem Patch vorhandenen Leistung an. Laut Intel würden „durchschnittliche“ PC-Nutzer die Performance-Verluste nicht bemerken.

Ein etwas genaueres Bild zeichnet da Microsoft. Aufatmen können zunächst mal Windows-10-Nutzer, die Skylake- oder Kabylake- CPUs von 2016 oder neuere Prozessoren haben. Diese müssen laut Microsoft nur Verlangsamungen im einstelligen Prozentbereich hinnehmen. Wer Windows 10 im Einsatz hat und CPUs von 2015, etwa Haswell, oder CPUs nutzt, die noch älter sind, muss sich eventuell auf spürbare Leistungseinbrüche einstellen.

Microsoft spricht davon, dass einige dieser Nutzer etwas vom Performance-Verlust bemerken dürften, aber nicht alle. Wer hingegen Windows 8 oder Windows 7 und eine ältere CPU nutzt, dürfte ziemlich sicher eine Verlangsamung bemerken. Welchen Prozessor Sie haben, steht in der Systemsteuerung unter „System“. Eine Jahreszahl steht dort aber nicht – diese finden Sie durch eine Google-Suche aber schnell heraus. Windows Server kommen unabhängig von der CPU mit den wohl schlimmsten Einbußen daher, was die Leistung angeht, warnt Microsoft. Mittlerweile berichten die ersten Serverbetreiber von Leistungseinbrüchen. Erste Benchmark-Tests schienen noch anzudeuten, dass zumindest Endanwender und vor allem auch Gamer unter Windows 10 kaum Leistungseinbußen zu befürchten haben. Auf Linux-PCs soll es einen Performance-Verlust von bis zu fünf Prozent geben – das betrifft vor allem Server.

Linux: Kernal schützt vor Meltdown und Spectre

Die Linux-Entwickler haben in den Kernel mehrere Patches eingebaut, und die meisten Linux-Distributoren liefern inzwischen aktualisierte Kernel aus.

Da die Updates die Beschleunigungsmechanismen der CPUs beeinflussen, ist mit Leistungseinbußen zu rechnen. Auf einem Desktop-Rechner sollten diese kaum spürbar sein; Server mit zahlreichen parallelen Zugriffen sind hingegen stärker betroffen. Ubuntu 18.04 wird mit dem Linux-Kernel 4.15 ausgeliefert. Den aktuellsten Kernel 4.16 von Anfang April konnten die Ubuntu-Entwickler nicht mehr berücksichtigen. Version 4.15 enthält aber bereits die Schutzmechanismen vor den CPU-Bugs Meltdown und Spectre.

So unterziehen Sie Linux einem Spectre- & Meltdown-Check: Öffnen Sie ein Terminalfenster und führen Sie diese Befehlszeile aus:

cat /proc/cpuinfo  

Wenn eine Zeile wie „bugs: cpu_meltdownspectre_v1 spectre_ v2“ auftaucht, ist der Prozessor betroffen. Ob der Linux-Kernel bereits abgesichert ist, ermitteln Sie über diese drei Befehle:

cd ~
wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdownchecker.sh
sudo sh spectre-meltdown-checker.sh  

Das mit wget heruntergeladene Shell-Script „spectremeltdown-checker.sh“ führt zuerst einen Hardwarecheck durch. Ist noch kein Microcode-Update erfolgt, lautet die Ausgabe hinter „Vulnerable to Variant [X]“ dreimal „Yes“. Die drei Kernel-Tests sollten aber jeweils „Status: NOT VULNERABLE“ lauten. Andernfalls prüfen Sie, ob alle Linux-Updates installiert sind. Mit der Zeile

dmesg | grep microcode  

finden Sie heraus, ob Microcode-Updates für die CPU installiert sind. Sollte das Datum in der Ausgabe vor Januar 2018 liegen, sind keine vorhanden, weil die Dateien von Intel oder AMD noch nicht verfügbar sind.

Die Themen in Tech-up Weekly #120: +++ Whatsapp und Facebook bald ab 16? +++ Neue Intel-CPU-Lücke: Diese Prozessoren sind betroffen +++ Guild Wars 2 installiert Spyware auf PCs der Spieler +++ Quick-News der Woche +++ Kommentar der Woche +++ Fail der Woche: Tesla: Youtuber verliert 2 Mio. US-Dollar während Live-Stream

------

► Gerücht: Bald 16 Jahre als Mindestalter für Whatsapp-Nutzung (0:32):
www.pcwelt.de/2343478
► Eltern müssen Facebook-Profilen von Teenagern zustimmen:
www.pcwelt.de/2344136

► Neue Intel-CPU-Lücke: Diese Prozessoren sind betroffen (2:15)
www.pcwelt.de/2343534

► Guild Wars 2 installiert Spyware auf PCs der Spieler (3:24):
www.pcwelt.de/2343822

------

Quick-News (4:55):

► 310 Euro sparen: Direkt zum Surface-Angebot:
bit.ly/2J9oFNw
► Bis zu 20% sparen: Direkt zum Schüler- & Studentenrabatt:
bit.ly/2F2xSEZ

► Google Chrome blockt endlich Auto-Play-Videos mit Ton:
www.pcwelt.de/2339046

► Windows 10: Frühlings-Update erscheint später - der Grund:
www.pcwelt.de/2343476

► Hier wird bald der erste Hyperloop Europas getestet:
www.pcwelt.de/2343824

► Coffee Lake: Neuer Achtkern-Prozessor von Intel:
www.pcwelt.de/2344132

► Garmin beerdigt Navigon-Apps:
www.pcwelt.de/2344205

------

Kommentar der Woche (6:58)

------

Fail der Woche (7:23):

► Youtuber verliert 2 Mio. US-Dollar während Live-Stream:
www.pcwelt.de/2340719

2365659