Sicherheitsforscher haben drei gravierende Lücken in nahezu allen Computer-Prozessoren gefunden. Betroffen sind so gut wie alle PCs, Server und Mobilgeräte. Die Lücken erlauben es, dass feindlicher Code auf eigentlich geschützte Speicherbereiche in der CPU zugreifen und dort sensible Daten auslesen kann. Im Januar 2018 veröffentlichten die ersten Hard- und Softwarehersteller Updates gegen die Lücken. Allerdings sollen die Updates das System verlangsamen. Einige Systeme sollen nach dem Update laut Intel bis zu 21 Prozent langsamer arbeiten. Auf das Update verzichten kann man als Anwender deswegen aber nicht.
1. So heißen die Sicherheitslücken
Mittlerweile (Stand: Mai 2018) gibt es zwei Generationen von schwerwiegenden Sicherheitslücken in Prozessoren.
1.1 Meltdown und Spectre 1 und 2 (2. Hälfte 2017 und 1. Quartal 2018)
Meltdown (englisch für „Kernschmelze“) und Spectre (englisch für „Schreckgespenst“) bezeichnen Sicherheitslücken, die in fast allen modernen Desktop-, Mobile- und Server-Prozessoren stecken und die über drei unterschiedliche Wege ausgenutzt werden können. Meltdown gilt als die schwerwiegendere Lücke, die vor allem Intel-Prozessoren, aber auch ARM- und Apple-Prozessoren betrifft. Die beiden anderen Angriffswege werden als Spectre bezeichnet und sollen ARM-Prozessoren, AMD-CPUs, Apple-Prozessoren und Intel-Chips betreffen.
Googles Project Zero Sicherheitsteam hat die Lücken zuerst in den Intel-Prozessoren entdeckt und einen Überblick dazu veröffentlicht. Intel soll bereits im Juni 2017 von den Schwachstellen erfahren haben. Der Chip-Gigant versuchte zunächst die Sicherheitslücke zu verharmlosen.
Updates von Apple
Gegen die Sicherheitslücken Meltdown und Spectre ist kein Kraut gewachsen, da sie direkt auf Schwächen in CPUs aufsetzen, die mit Spekulativer Exekution arbeiten. Doch kann man mit Patches in den Betriebssystemen das Risiko minimieren, dass Angreifer diese Schwächen ausnutzen können. Apple hatte bereits in iOS 11.2 und macOS 10.13.2 solche eingebaut, offen blieb eine Flanke in Javascript von Safari, über die sich Spectre ausnutzen ließ. Mit dem Systemupdate auf iOS 11.2.2 hat Apple diese nun für iOS-Geräte geschlossen, Macs bekommen das Supplemental Update für macOS 10.13.2 , das die gleiche Sicherheitsvorkehrung vornimmt. Der wesentliche Unterschied der Updates: Währen iOS 11.2.2 das Webkit sichert, auf das auch alle anderen Browser zugreifen müssen, gilt das Update für macOS 10.13.2 eben nur für den eigenen Browser. Über andere Browser ist Spectre sehr wohl noch angreifbar, solange diese nicht aktualisiert wurden. pm
1.2 Spectre Next Generation alias Spectre NG (Mai 2018) UPDATE
Sicherheitsforscher haben nach einem Medienbericht acht neue Spectre-Lücken in Intel-Prozessoren entdeckt. Die Experten tauften die neuen Lücken auf den Namen Spectre Next Generation. Gegen diese neuen Lücken gibt es derzeit (Mai 2018) noch keine Schutzmaßnahmen oder Patches.
2. Diese Prozessoren sind betroffen
2.1 Intel: PCs, Notebooks, Server, Mobile
Laut Google sind im Prinzip alle Intel-Prozessoren seit 1995 von der Meltdown-Schwachstelle betroffen (ausgenommen: Intel Itanium und Intel Atom vor dem Jahr 2013). In jedem Fall aber die Intel-Prozessoren der letzten zehn Jahre: Intel Core i3, i5, i7 (jeweils 45nm und 32nm), Intel Core M (45nm and 32nm), Intel Core 2. bis 8. Generation, Core X, Xeon, Atom und Celeron sowie einige Pentium. Sie finden hier eine Liste aller betroffenen Intel-Prozessoren.
Tipp 2: Mit der Freeware Spectre Meltdown CPU Checker von Ashampoo überprüfen Sie ebenfalls kinderleicht, ob Ihr PC vor Meltdown und Spectre sicher ist. Das Tool nutzt das von Microsoft bereitgestellte Powershell-Modul und bietet dessen einfachere Verwendung.
2.1.1 Intel agiert ungeschickt
2.1.1.1 Verdacht gegen Intel-Chef
In diesem Zusammenhang liegt ein schwerwiegender Verdacht auf Intel-Chef Brian Krzanich: Hat er bewusst Intel-Aktien vor dem Bekanntwerden der Lücke verkauft, um dem nach dem Bekanntwerden von Meltdown und Spectre einsetzenden Kursverlust der Intelaktie zu entgehen? Handelt es sich bei dem Aktienverkauf also um ein verbotenes Insidergeschäft? Zwei US-Senatoren fordern deshalb die Überprüfung dieses Aktienverkaufs.
2.1.1.2: Intel informierte Chinesen vor der US-Regierung
US-Medien berichten unter Berufung auf gut informierte Quellen, dass Intel nur einige ausgewählte Unternehmen, darunter auch chinesische IT-Unternehmen, vorab über die Meltdown- und Spectre-Sicherheitslücken informiert habe. Die US-Regierung jedoch habe Intel nicht vorab informiert.
2.1.1.3: Intel ruft Microcode-Patch zurück
Intel veröffentlichte zwar einen Microcode-Patch gegen die Spectre-Lücken, doch dieser verursachte auf den gepatchten Rechnern teilweise Probleme. Intel musste die Auslieferung des Patches deshalb stoppen. Mehr dazu siehe unten unter 6.2.3. Microsoft liefert dann eine Zeitlang einen Windows-Patch aus, der den Spectre-2-Patch deaktivieren soll. Mittlerweile gibt es aber eine neue Version des Microcode-Updates gegen Spectre 2, die funktionieren soll.
2.1.1.4: 32 Sammelklagen gegen Intel
Derzeit (Stand: 19.2.2018) reichten Intelkunden 30 Sammelklagen gegen Intel wegen der Sicherheitslücken ein. Zwei weitere Sammelklagen reichten Intel-Aktionäre gegen Intel ein.
2.2 ARM: Smartphones, Tablets
Moderne Smartphone- und Tablet-Prozessoren, die auf der ARM-Architektur basieren, sind betroffen. Demnach sind alle handelsüblichen Android-Smartphones und Android-Tablets durch die drei Angriffswege über Meltdown und Spectre gefährdet. Eine Liste der gefährdeten ARM-Prozessoren finden Sie hier.
2.2.1 Qualcomms Snapdragon
Auch Chip-Hersteller Qualcomm verwendet die ARM-Architektur in seinen Chips. Laut US-Medienberichten sollen Qualcomm-Prozessoren mindestens für die Spectre-Lücken anfällig sein.
Qualcomm arbeitet nach eigenen Angaben an Sicherheits-Patches für seine Prozessoren. Welche Qualcomm-Prozessoren (Snapdragon) konkret betroffen sind, teilte das Unternehmen allerdings nicht mit. Vermutlich dürfte auch der demnächst erscheinende Highend-Mobile-Chip Qualcomm Snapdragon 845 die Sicherheitslücken aufweisen, wie US-Medien berichten. Der neue Qualcomm Snapdragon 845 ersetzte den Snapdragon 835. Er soll beeindruckendes Multimediavergnügen ermöglichen, fit für leistungshungrige AR- und VR-Anwendungen sowie für Anwendungen mit künstlicher Intelligenz sein und schnelleres Gigabit-LTE unterstützen. Die Akku-Laufzeit soll das neue SoC ebenfalls verlängern. Der Snapdragon 845 besitzt acht Kerne, von denen vermutlich vier auf dem Cortex-A75 von ARM basieren. Und der Cortex-A75 ist für Spectre und Meltdown anfällig.
2.3 AMD
AMD-Prozessoren sind nach dem derzeitigen Kenntnisstand von der Meltdown-Schwachstelle nicht betroffen, die Spectre-Lücken stecken dagegen auch in AMD-CPUs. Intel behauptet allerdings, dass auch AMD-Prozessoren von Meltdown betroffen sein müssten. AMD gibt hier seine Einschätzung der Bedrohungslage wieder: Demnach sei die Lücke Rogue Data Cache Load (CVE-2017-5754) für AMD-Prozessoren ohne Bedeutung. Die Lücke Branch Target Injection (CVE-2017-5715) und der dritte Angriffsweg „Bounds Check Bypass“ (CVE-2017-5753) betreffen dagegen auch AMD-Prozessoren. Diese beiden Spectre-Lücken sollen durch eine Kombination aus Betriebssystem-Updates und Microcode-Updates geschlossen werden, so AMD.
Windows-Patch blockiert AMD-PCs
Doch exakt dieses Betriebssystem-Update sorgt für ernste Probleme. Microsoft hat mittlerweile bestätigt, dass das Sicherheits-Update KB KB4056892 bei Rechnern mit AMD-CPUs dazu führen kann, dass diese nicht mehr hochfahren oder dass sie einfrieren. Microsoft hat deshalb die Auslieferung des Patches an AMD-Rechner gestoppt und arbeitet nun mit AMD an der Lösung des Problems. AMD rechnet damit, dass Microsoft den korrigierten Windows-Patch in der Woche ab dem 15. Januar 2018 ausliefern kann.
Windows-7-Patch blockiert AMD-PCs
Anscheinend kommt es auch auf Windows-7-Rechnern mit AMD-Prozessoren zum Einfrieren des Rechners. Anwender sollen in diesem Fall den Patch wieder deinstallieren. Wählen Sie dazu beim Hochfahren von Windows den Reparaturmodus, indem Sie beim Booten F8 drücken und danach das entsprechende Menü wählen. Geben Sie dann in der Eingabeaufforderung diese Zeilen ein:
dir d: dism /image:d: /remove-package /packagename:Package_for_RollupFix~31bf3856ad364e35~amd64~~7601.24002.1.4 /norestart
Damit setzen Sie den Rechner auf den Zustand vor der Installation des Patches zurück.
2.4 Apple: iMac, Macbook, iPhone, iPad, AppleTV
Apple-Prozessoren in iMac, Macbook, iPhone, iPad und AppleTV sind betroffen.
2.5 Nvidia: Tegra, ARM, GPU
Auch Nvidia prüft seine Chips auf Anfälligkeiten durch Meltdown und Spectre. In einer ersten Reaktion hat Nvidia neue Geforce-Treiber veröffentlicht, mit denen die Spectre-Anfälligkeit geschlossen wird. Mehr Infos dazu in unserer Meldung: Neue Nvidia-Treiber schützen vor Spectre-CPU-Attacken (vom 11.01.2017).
Bei den Nvidia Tegra-Prozessoren, die zum Beispiel in der Nvidia Shield verbaut werden, scheint dagegen durchaus ein Risiko zu bestehen. Nvidia bereitet hierzu Updates vor. Und bei Nvidias SoCs mit ARM-CPUs bereitet Nvidia ebenfalls Schutzmaßnahmen vor. Diese sind also anscheinend auch gefährdet.
3. Diese Geräte sind sicher
3.1 Apple Watch: Die Prozessoren in der Apple Watch sollen von Meltdown und Spectre nicht betroffen sein.
3.2 Google: Google Home, Google Chromecast, Wifi und OnHub sollen ebenfalls nicht betroffen sein.
3.3 Raspberrry Pi: Der Raspberry Pi soll sicher sein. Da er nur ARM-Prozessoren (ARM1176, Cortex-A7, Cortex-A53) verwendet, die auf “Speculative execution” verzichten.
3.4 AVM : AVM teilte folgendes mit: „AVM untersucht die aktuell unter den Namen Spectre und Meltdown bekannt gewordenen Sicherheitslücken bei Prozessoren und steht dazu im Austausch mit den Herstellern der von AVM verwendeten Chips. Derzeit sehen wir darin keine neuen Angriffsmöglichkeiten auf das Sicherheitskonzept von AVM-Produkten. Um die Schwachstellen auszunutzen, müsste ein Angreifer in der Lage sein, seine Anwendung auf dem AVM-Produkt zur Ausführung zu bringen. Anders als bei Systemen mit offener Architektur und Zugang zum Betriebssystem ist es für unsere Produkte prinzipiell nicht vorgesehen, Anwendungen Dritter auszuführen.“
Somit sollte für die Fritzbox und andere AVM-Geräte kein Risiko bestehen.
3.5 Lancom -Geräte sollen sicher sein.
4. Diese Betriebssysteme und Browser sind betroffen
Windows (Desktop, Server, Phone/Mobile), Linux (Desktop/Server) und macOS sowie ChromeOS und Android, iOS und tvOS. Neben den Betriebssystemen sind noch die Browser Chrome für Windows, Linux, macOS, iOS und Android sowie Firefox, Edge und Internet Explorer betroffen. Auch FreeBSD muss sich mit der Lücke beschäftigen.
5. So nutzen Angreifer die Lücke aus
Stark vereinfacht betreffen die Sicherheitslücken die Art und Weise, wie der Prozessor mit Daten umgeht („speculative execution“). “Speculative execution” beschleunigt die Verarbeitung von Befehlen, indem der Prozessor die eingehenden Befehle nicht in der Reihenfolge ihres Eingangs abarbeitet, sondern diese in einem geschützten Speicherbereich so ordnet, dass sie besonders schnell abgearbeitet werden können. Teilweise führt der Prozessor sogar Berechnungen durch, von denen noch gar nicht sicher ist, ob die Ergebnisse überhaupt benötigt werden. Dies alles dient der Tempo-Steigerung des Systems.
Im Falle von Meltdown ist das Auslesen dieses geschützten Kernel-Speichers möglich. Bei Spectre wiederum könnten eigentlich nicht autorisierte Anwendungen Lesezugriff auf Informationen im geschützten Kernel-Speicher erhalten. Genauer gesagt: Über die Spectre-Lücken (CVE-2017-5753, CVE-2017-5715) können Programme, die normalerweise mit eingeschränkten Rechten nur im User Space laufen, auf für sie eigentlich nicht zugängliche Bereiche im Arbeitsspeicher (Kernel Memory) zugreifen. Dort können sie dann zufällig liegende Passwörter, Fotos, Mails oder andere wertvolle Informationen abgreifen. Spectre hebelt also die Speichertrennung zwischen den einzelnen Anwendungen aus.
Angreifer können über diese Sicherheitslücken also Zugriff auf die in einem geschützten Bereich im Prozessor liegenden Daten erlangen. Speziell auf Servern könnten Angreifer über Meltdown und Spectre an die Daten der Nutzer von Online-/Clouddiensten gelangen.
Konkret funktionieren Meltdown und Spectre über diese drei Angriffswege:
“bounds check bypass” (CVE-2017-5753): Spectre 1
“branch target injection” ( CVE-2017-5715 ): Spectre 2
“rogue data cache load“ (CVE-2017-5754): Meltdown
Je nach Vorgehensweise bei der Ausnutzung nennt man die dabei ausgenutzte Sicherheitslücke Meltdown oder Spectre.
Wie gefährlich sind die Lücken?
Bei Windows könnten die Angreifer auf klassischem Weg eine Malware installieren, die die Lücke ausnutzt. Weil Viren für Android und erst Recht für iOS, macOS und Linux eine absolute Ausnahme darstellen, dürfte in der Praxis die Gefahr für Benutzer solcher Betriebssysteme eher gering sein. Angriffe sollen aber auch via Javascript von Webseiten aus möglich sein, weswegen die Browser eine Rolle spielen und abgesichert werden müssen. Darüber, wie gefährlich die Lücken wirklich sind, herrscht zwar noch keine Klarheit, aber große Einigkeit: Ja, sie sind gefährlich. Bisher gibt es laut Intel zwar keine Erkenntnisse, dass Angreifer die Lücken schon ausnutzen. Dennoch sind die Lücken für Hacker interessant, da so viele Systeme betroffen sind. Besonders kritisch sollen die Lücken für Cloudanbieter sein. Denn bei diesen laufen viele Anwendungen und System virtuell getrennt auf ein und derselben Hardware. Eine Lücke, die einem Hacker von einer Anwendung aus Zugriff auf eine getrennt davon laufende gibt, ist in so einem Fall sehr bedrohlich.
6. So schützen Sie sich
6.1 Serverdienste: Die zahlreichen Google-Serverdienste patchen Google und die anderen Serverbetreiber wie beispielsweise Amazon oder Microsoft für Azure selbst. Die Anwender müssen/können hierbei nichts tun.
6.2 Endanwender: Keine Panik! Angreifer können die Lücken nicht so einfach ausnutzen. Endanwender sollten aber zügig Updates für ihre Betriebssysteme, Browser und für die Firmware ihrer Geräte installieren.
Um die drei Meltdown- und Spectre-Lücken zu schließen, müssen Betriebssysteme (siehe 6.2.1 direkt unter diesem Absatz) und Browser (siehe 6.2.2) sowie die CPU-Firmware (siehe 6.2.3) aktualisiert werden. Für die Firmware-Updates sind so genannte Microcode-Updates von Intel erforderlich. Betriebssystem- und Browser-Updates allein schließen also nicht alle Angriffsmöglichkeiten (mit Ausnahme von Linux, wo alle Updates vom Betreiber der Linux-Distribution kommen). Der neue Microcode kommt zusammen mit dem BIOS, die Anwender müssen also zumindest bei Windows-Rechnern noch ein BIOS-/UEFI-Update auf der Hauptplatine aufspielen. Wobei es Ausnahmen gibt: Linux-Anwender benötigen offensichtlich kein separates BIOS-Update und auch für bestimmte PCs mit Windows 10 1709 gibt es mittlerweile Microcode-Updates via Windows. Mehr dazu siehe im nächsten Abschnitt.
6.2.1 Betriebssystem-Updates
6.2.1.1 Windows
Betroffene Anwender – also fast alle Besitzer von Desktop-PCs, Notebooks, Convertibles, Servern und Tablets mit Intel-Prozessoren (ausgenommen extrem alte Rechner), Nutzer von iMacs, Macbooks, iPhones und iPads (Pro) und Apple TVs sowie Besitzer von Android-Smartphones/-Tablets und Windows Phones – müssen baldmöglichst nach Verfügbarkeit die von den Betriebssystem-Herstellern veröffentlichten Sicherheits-Updates/Patches installieren. Speziell die Meltdown-Lücke kann durch Betriebssystem-Patches geschlossen werden.
Microsoft hat für Windows 10 ziemlich schnell einen Patch zur Verfügung gestellt. Die Updates für den Windows-Kernel werden über Windows Update verbreitet und sollten umgehend installiert werden. Starten Sie danach Ihren Windows-Rechner neu. Wir haben hier alle Informationen zu diesen Windows-10-Patches sowie die Download-Links für Nutzer, die den Patch manuell installieren möchten, zusammengestellt. Alternativ finden Sie die Patches für Windows 10 KB4056892 auch hier. Für Windows 7 und Windows 8 liefert Microsoft die Patches mit dem Januar-Patchday am 9.1.2018 aus. Wie immer gilt zudem: Halten Sie die Virenscanner für Ihren Windows-PC immer auf dem aktuellen Stand. Er kann Malware erkennen, die Meltdown und Spectre ausnutzen möchte. McAfee äußert sich hier zu der Bedrohung.
In Zusammenhang mit bestimmten AMD-Prozessoren führt der Windows-Patch aber zu Problemen. Microsoft stoppte deshalb die Auslieferung des Patches für AMD-Systeme. AMD arbeitet derzeit mit Microsoft an der Lösung des Problems.
Auf dieser Seite erklärt Microsoft, wie IT-Profis mit Hilfe der Powershell feststellen können, ob ihr Rechner bedroht ist.
Windows-Patch gegen Spectre-2-Lücke macht BIOS-Update unnötig: Microsoft stellt über KB4090007 Intel-Microcode-Updates für Windows 10 1709 (Fall Creators Update) mit Intel-Skylake-CPUs zum Download bereit. Ein zusätzliches BIOS-Update sollte damit überflüssig werden.
6.2.1.2 Linux
Für Linux sind bereits Kernel-Patches erschienen beziehungsweise erscheinen demnächst. Linux-Nutzer sollten also schleunigst ihre Linux-Distributionen aktualisieren.
Canonical veröffentlicht Kernel-Updates seit dem 9. Januar 2018 und Intel-Microcode-Updates seit dem 11.1.2018 und zwar für Ubuntu 17.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 ESM. Das im April 2018 erscheinende Ubuntu 18.04 LTS wird von Anfang an sicher gegen Meltdown und Spectre sein. Übrigens: Linux-Erfinder Linus Torvalds kritisierte Intel harsch für dessen Verhalten.
Grundsätzlich scheint das Sicherheits-Update gegen Meltdown und Specte für Linux-Nutzer einfacher abzulaufen als für Windows-Anwender. Denn alle Updates inklusive der Microcode-Updates von Intel und AMD kommen über die Update-Funktion der jeweiligen Linux-Distribution. Separate BIOS/UEFI-Updates scheinen für Linux-Anwender nicht erforderlich zu sein, wie uns Tuxedo erklärte. Wir erklären den Update-Verlauf hier am Beispiel von Tuxedo-Rechnern.
Zu Oracle Linux finden Sie hier Informationen. Debian-Nutzer werden hier fündig und CentOS-Nutzer hier.
Red Hat hat diese Seite zu Meltdown und Spectre veröffentlicht und Suse-Nutzer werden hier fündig. 6.2.1.3 Apple
Alle Macs, iPhones und iPads sowie Apple TVs sind von Meltdown und Spectre betroffen. Mit iOS 11.2 und tvOS 11.2 sowie macOS High Sierra 10.13.2 will Apple aber die Angriffsmöglichkeiten durch Meltdown zumindest eingeschränkt haben. Am 8.1.2018 schob Apple iOS 11.2.2 und tvOS 11.2.1 gegen Meltdown und Spectre und eine neue Version von macOS 10.13.2 speziell gegen Spectre hinterher, um zusätzliche Schutzmaßnahmen gegen Meltdown und Spectre einzubauen.
Die Apple Watch soll durch Meltdown und Spectre dagegen nicht gefährdet sein (Hinweis: Anfangs hieß es auf diversen Seiten, dass Apple einen Patch gegen Spectre für die Apple Watch erst noch entwickeln müsse. Das war offensichtlich falsch). Außerdem hat Apple mit watchOS 4.2 ebenfalls eine neue OS-Version zur Absicherung veröffentlicht.
6.2.1.4 Android Google hat für Android OS, das auf ARM-Geräten läuft, ebenfalls bereits Patches entwickelt und stellt diese den Herstellern von Android-Geräten seit Dezember 2017 zur Verfügung. Weitere Patches sollen noch folgen. Ob und wann diese Hersteller aber für ihre Android-Smartphones, Android-Tablets und sonstige Android-Geräte Software-Updates veröffentlichen, bleibt abzuwarten. Traditionell bekommen etwas ältere Android-Geräte aber oft keine Updates mehr, in diesem Fall würden die Lücken nicht mehr geschlossen werden. Die Ausnutzung der Lücken auf solchen ungepatchten Androidgeräten soll aber schwierig sein. Auf der sicheren Seite sind dagegen Besitzer von Nexus 5X, Nexus 6P, Pixel C, Pixel/XL und Pixel 2/XL und von aktuellen Top-Smartphones wie dem Galaxy S8 oder dem Note 8. Diese bekommen auf jeden Fall Android-Updates.
6.2.1.5 Chrome OS Chrome-Geräte mit Chrome OS Kernel 3.18 oder 4.4 sollen die Patches bereits erhalten haben.
6.2.1.6 Oracle-Produkte
Oracle hat zu seinem Critical-Patch-Update-Tag im Januar eine Vielzahl von Sicherheitsupdates für alle seine Produkte veröffentlicht. Darunter befinden sich auch Patches für die Spectre/Meltdown-Lücken. 6.2.2 Browser-Updates Mit Chrome Browser 64 schließt Google die Lücke in Chrome. Bis dahin konnten Chrome- 63 -Nutzer das Flag Strict Site Isolation aktivieren. Dazu geben Sie in die Adresszeile von Chrome das hier ein:
chrome://flags/#enable-site-per-process
und aktivieren dann ganz oben Strict Site Isolation. Dadurch werden Websites in separate Adressbereiche isoliert. Ab Chrome 64 ist diese Funktion aber standardmäßig aktiviert. Chrome 64 ist mit etwas Verspätung nun zum Download erschienen.
Diese Maßnahme ist auch in Chrome auf Android möglich, geben Sie dazu in Chrome chrome://flags in die Adresszeile ein. Das kann aber auf Android-Geräten zu Nachteilen bei der Benutzung und Performance des Browsers führen. Bei Chrome auf iOS-Geräten muss Apple die Lücke über ein Update für WKWebView schließen. Für Firefox 57 ist bereits ein Sicherheits-Update erschienen: Mit Firefox 57.0.4 wird die Spectre-Lücke gestopft.
Edge und Internet Explorer werden im Rahmen von Windows abgesichert. Apple wiederum will Safari in den nächsten Tagen mit einem Update gegen Spectre versorgen.
6.2.3 Hardware-seitige Patches
Intel: Zusätzlich liefert Intel „Microcode-Updates“ für die Firmware von Hauptplatinen und Prozessoren aus beziehungsweise wird diese noch ausliefern. Diese Microcode-Updates von Intel schließen vor allem die beiden Spectre-Lücken. Mittlerweile herrscht Klarheit darüber, welche Intel-CPUs Microcode-Updates gegen Spectre erhalten: Intel hat nämlich eine Liste veröffentlicht, aus der hervorgeht, für welche Prozessoren Microcode-Updates erscheinen beziehungsweise bereits erschienen sind und welche älteren Prozessoren ungepatcht bleiben.
6.2.3.1 Microcode-Updates von Intel
Intel stoppte Microsoft-Updates und Microsoft Gegen-Patch
Diese Firmware-Updates bekommen Sie von den Herstellern Ihrer Rechner oder Hauptplatinen. Intel warnte aber einige Tage, nachdem es angefangen hatte die Microcode-Updates auszuliefern, seine Kunden vor der Installation dieser Microcode-Updates, weil diese zu unerwünschten Reboots bei Broadwell- und Haswell-Prozessoren führen können. Eine weitere Tage später bestätigt Intel, dass Reboot-Probleme nach der Installation der Firmware-Updates auch bei Intel Skylake, Kaby Lake, Ivy Bridge & Sandy Bridge auftreten können.
Am 23. Januar 2018 teilte Intel mit, dass es davon abrät, BIOS-/Firmware-Update mit den bisher bereitgestellten Microcode-Updates zu installieren. PC-Hersteller sollen keine BIOS-Updates mit den bisherigen Micocode-Updates mehr an ihre Endkunden ausliefern. Intel entwickelt stattdessen neue Microcode-Updates. Microsoft liefert sogar einen Windows-Patch aus, der die Sicherheitsmaßnahme gegen Spectre 2 wieder abschaltet.
Am 20. Februar 2018 teilte Intel mit, dass es für Intel-Core-Prozessoren der 6., 7. und 8. Generation (Skylake, Kaby-Lake, Coffee-Lake) sowie für Intel-Xeon-Scalable-Prozessoren und für Xeon-D-Prozessoren aktualisierten Microcode zur Schließung der Spectre-2-Lücke bereitgestellt habe.
6.2.3.2 Microcode-Updates von AMD
AMD: Auch AMD liefert Microcode-Updates gegen eine der beiden Spectre-Lücken aus.
6.2.3.3 BIOS-Updates der Mainboard-Hersteller
©MSI
- MSIhat BIOS-Updates mit dem aktualisierten Intel-Microcode zum Download bereit gestellt. Für folgende MSI-Z370-Boardsstehen die BIOS-Sicherheitsupdates zum Download zur Verfügung: Die neuen BIOS-Versionen können individuell von der MSI Homepage heruntergeladen und mittels BIOS Update eingespielt werden. Für die Aktualisierung des BIOS wird die Verwendung von M-Flash empfohlen. MSI arbeitet darüber hinaus an Updates für MSI-Motherboards der X299-, 200-, 100- und X99-Serie. Alle verfügbaren MSI-Update finden Sie auf dieser Seite.
- Auf dieser Seite informiert Asus darüber, wie Besitzer von Asus-Hauptplatinen sich gegen die Sicherheitslücken schützen können. Alle Asus-BIOS-Update finden sich auf dieser Seite.
- Besitzer eines Gigabyte-Mainboards finden auf dieser Support-Seite alle BIOS-Updates.
- Alle verfügbaren BIOS-Updates von ASRock finden Sie auf dieser Seite.
Weitere Updates von Herstellern
Synology-Kunden werden hier fündig und finden dort eine Liste aller gefährdeten Geräte . Synology stuft die Gefahr als “moderat” ein. Synologys Geräte sollen nach Unternehmensangaben sowohl von Meltdown als auch von Spectre betroffen sein. Qnap wiederum hat hier eine Liste der betroffenen Geräte zusammengestellt.
Netgear-Kunden wiederum lesen hier nach und Lenovo informiert seine Kunden auf dieser Seite. Und hier finden Sie Informationen von Cisco.
Hewlett-Packard gibt zu seinen Produkten hier einen Überblick, IBM wiederum hier und hier. Wer Geräte von Huawei verwendet, sollte diese Seite lesen. Dell informiert auf dieser Seite seine Kunden.
Eine gute Übersicht zu BIOS-Updates gegen Meltdown und Spectre finden Sie auf dieser Seite.
Bis zum 12. Januar 2018 will Intel Patches für 90 Prozent seiner in den letzten fünf Jahren veröffentlichten Prozessoren für PC und Server zur Verfügung gestellt haben. Ob Intel auch Patches für ältere Prozessoren veröffentlicht, ist derzeit unbekannt.
7. Nachteile durch Patches für die Benutzer: Leistungsverluste sind möglich
Die demnächst erscheinenden Sicherheits-Updates könnten die Leistung der Intel-Prozessoren reduzieren. Die gepatchten Intel-Rechner könnten also etwas langsamer laufen. Intel gibt die möglichen Performance-Einbußen mit einem Wert zwischen 0 und 30 Prozent der vor dem Patch vorhandenen Leistung an. Laut Intel würden „durchschnittliche“ PC-Nutzer die Performance-Verluste nicht bemerken, sagt Intel. Apple schließt Performance-Nachteile zwar auch nicht aus, hält diese aber für gering.
Ein etwas genaueres Bild zeichnet da Microsoft . Aufatmen können zunächst mal Windows-10-Nutzer, die Skylake- oder Kabylake-CPUs von 2016 oder neuere Prozessoren haben. Diese müssen laut Microsoft nur Verlangsamungen im einstelligen Prozentbereich hinnehmen. Wer Windows 10 im Einsatz hat und CPUs von 2015, etwa Haswell, oder CPUs nutzt, die noch älter sind, muss sich eventuell auf spürbare Leistungseinbrüche einstellen. Microsoft spricht davon, dass einige dieser Nutzer etwas vom Performance-Verlust bemerken dürften, aber nicht alle. Wer hingegen Windows 8 oder Windows 7 und eine ältere CPU nutzt, dürfte ziemlich sicher eine Verlangsamung bemerken, sagt Microsoft. Welchen Prozessor Sie haben, steht in der Systemsteuerung unter “SystemsteuerungSystem und SicherheitSystem”. Eine Jahreszahl steht dort aber nicht – diese finden Sie durch eine Google-Suche nach dem genauen Modell aber schnell heraus.
Windows Server komme unabhängig von der CPU mit den wohl schlimmsten Einbußen daher, was die Leistung angeht, warnt Microsoft. Mittlerweile berichten die ersten Serverbetreiber tatsächlich von Leistungenbrüchen.
Erste Benchmarktests schienen noch anzudeuten, dass zumindest Endanwender und vor allem auch Gamer tatsächlich kaum Leistungseinbußen zu befürchten haben.
Auf Linux-Rechnern scheint mit einem Performance-Verlust von bis zu fünf Prozent zu rechnen sein. Das betrifft vor allem Serversysteme.
Zum Windows-Sicherheits-Patch KB4056892 gibt es vereinzelt Berichte, dass er auf AMD-Rechnern zu Bootproblemen führen kann, sprich: Die Rechner lassen sich nicht mehr starten. Teilweise scheint die Installation des Patches auch zu scheitern und/oder PCs frieren ein.
Microsoft hat dieses Problem bestätigt und die weitere Auslieferung der Meltdown-/Spectre-Patches an AMD-Rechner vorerst gestoppt (siehe dazu auch oben).
8. Erste Sammelklagen gegen Intel
In den USA haben Rechtsanwälte die ersten Sammelklagen gegen Intel eingereicht. Solchen US-Klagen können sich alle Betroffenen aus den USA mit wenig Aufwand anschließen um von Intel Schadenersatz zu fordern. Für Kunden in Deutschland gibt es die Möglichkeit von Sammelklagen jedoch nicht, wie zuletzt das Beispiel ” Volkswagen Defeat Device/Dieselskandal ” gezeigt hat.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.