Ihre Auswahl  
    Home  Impressum  Kontakt  

Prozessor-Schwachstellen Meltdown und Spectre 

 

Ein Team von Forschern hat Anfang des Jahres 2018 gravierende Schwachstellen in der Hardware-Architektur von fast allen modernen Prozessoren festgestellt. Betroffen sind die Hersteller Intel, AMD, ARM, IBM, MIPS, Oracle, Fujitsu aber auch Hersteller von Smartphone-Chips wie Apple, Mediatek, Qualcomm und Samsung. Aufgrund der sehr hohen Verbreitung dieser Kernbausteine sind Millionen von Geräten betroffen.

Dazu gehören Client- und Serversysteme, virtualisierte Umgebungen, Hypervisor, Netzwerkkomponenten, Cloud-Dienste, PCs, Laptops aber auch Smartphones und Tablets. Experten sprechen von einem „Security-Super-GAU“. Potentielle Angreifer können durch das Ausnutzen dieser Sicherheitslücken alle Daten auslesen, die das jeweilige Gerät im Speicher verwaltet. Dazu gehören unter anderem Passwörter, kryptografische Schlüssel, E-Mails und andere sensible Daten.

Die gute Nachricht: Die „Meltdown“ und „Spectre“ genannten Angriffsvektoren können mit Software-Updates entschärft werden.

Um unsere Kunden aktiv vor Gefahren zu schützen und Anfragen kanalisiert zu beantworten, haben wir als SanData IT-Gruppe eine Taskforce gebildet. Sie besteht aus Experten verschiedener Geschäftseinheiten und dient als zentrale Anlaufstelle für alle Themen rund um die Schwachstellen und damit verbundenen Fragestellungen. Wir unterstützen Sie gerne beim Aktualisieren Ihrer Infrastruktur und stehen jederzeit für Fragen zur Verfügung. Um individuelle Informationen zu erhalten, können Sie gerne das nebenstehende Kontaktformular ausfüllen oder sich per Mail an wenden. Ein Experte aus unserer Taskforce steht Ihnen für Fragen gerne zur Verfügung.

Letzte Aktualisierung: Dienstag, 17. Juli 2018

 
Fragen zu Meltdown und Spectre? Wir helfen Ihnen gerne!
 *
Ihr Name
 *
Ihre Firma
 
Telefon
 *
E-Mail
 
Betreff
 *
Mitteilung
 *
Ich habe die  Hinweise zum Datenschutz gelesen und akzeptiert.
Spam-Schutz*
Um Spam zu vermeiden, geben Sie bitte zur Kontrolle das Wort aus
dem Bild unten links in das Textfeld unten rechts ein:
 
Bestätigung

*) Dieses Feld muss ausgefüllt werden

Unter dem Namen "Spectre-NG" wurden am 03. Mai acht neue, bisher unbekannte, Sicherheitslücken von Intel-Prozessoren bekannt. Für vier der acht Lücken stuft Intel die Gefährlichkeit als hochriskant ein. Die technischen Details der Sicherheitslücken werden voraussichtlich erst veröffentlicht, wenn entsprechende Patches seitens Intel verfügbar sind.

Eine der Spectre-NG-Lücken hat laut Experten ein wesentlich höheres Bedrohungspotenzial als die bekannten Spectre-Lücken – sie lässt sich verhältnisweise einfach über die Grenzen virtueller Maschinen hinweg ausnutzen. Nutzer sind nun abermals auf Patches von Intel angewiesen. Bei Fragen rund um die Aktualisierung Ihrer Infrastrktur können Sie uns gerne jederzeit kontatkieren. Unsere Taskforce steht Ihnen gerne zur Verfügung!


Neuigkeiten zum Thema
kurz zusammengefasst -

Neuigkeiten zum Thema kurz zusammengefasst 

11.07.2018: Wie praktisch alle anderen Browserhersteller hat auch Google kurz nach Veröffentlichung der Sicherheitslücke Spectre im Januar mit Notfallpatches für Chrome reagiert. Nun gibt Google in seinem Blog bekannt, dass ab Chrome 67 die strike Seiten-Isolierung standardmäßig eingeführt wurde. Sie soll auf Spectre basierende JavaScript-Attacken bestmöglich verhindern. Quelle 1 Quelle 2

10.07.2018: Sicherheitsforscher haben Details über zwei weitere Angriffsvektoren (Spectre 1.1 & Spectre 1.2) veröffentlicht. Beide Lücken basieren auf dem selben Schwachstellen wie Spectre V1 und sind ebenso kritisch. Allerdings benötigten mögliche Angreifer lokalen Zugriff auf das betroffene Gerät, um Schadcode ausführen zu können.  Quelle 1 Quelle 2

02.07.2018: Die von verschiedenen Browsern (Chrome, Firefox, Edge, Safari ...) getroffenen Schutzmaßnahmen gegen Spectre-Angriffe im Brwoser reichen nicht aus, um Angriffe vollständig abzuwehren. Laut Sicherheitsexperten von Aleph Research reichen können die Abwehrmethoden zwar Angriffe abschwächen und verlangsamen, aber letzlich keinen wirksamen Schutz bieten.  Quelle 1 Quelle 2

27.05.2018: Die kommende Intel-Prozessoren-Generation wird laut aktuellsten Berichten nicht, wie urspünglich versprochen, hardwareseitig gegen alle Spectre Varianten sicher sein. Intels Lösung mit einer hardwarebasierten Sicherheitsvorkehrung für seine neuen Chips wurden spezifisch für Spectre V2 und V3 entwickelt und werden sich wohl nicht auf die neu entdeckte Variante 4 auswirken können.  Quelle 1 Quelle 2

21.05.2018: Für zwei der acht neuen Spectre-NG-Lücken kündigt Intel Updates an. Die Schwachstellen betreffen abermals fast sämtliche Intel-Prozessoren der vergangegen Jahre. Wie auch schon bei Spectre V1 und V2, kann die Ausnutzung von Spectre V4 durch Anwendungsupdates (z.B. für Browser wie Chrome) erschwert werden. Intel bringt aber auch neue CPU Microcode Updates, die wie bisher sowohl per BIOS-Update oder auch vom Betriebssystem eingespielt werden können. Die neuen Updates sind bereits in Beta-Versionen verfügbar und sollen im Laufe der nächsten Monate final erscheinen und gegen Spectre V3a Abhilfe schaffen.  Quelle 1 Quelle 2

18.05.2018: Intel bereitet wohl für Montag, 21. Mai Updates gegen die ersten Spectre-Next-Generation-Lücken vor. Parallel dazu wird es dazu dann wohl auch konkrete Informationen zu den Sicherheitslücken geben. Quelle

16.05.2018: Mit dem Update "KB4100347" für Windows 10, Version 1803 liefert Microsoft die lang erwarteten Microcode-Updates für Intel-Prozessoren der Generationen Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake. Damit werden die Gefahren gegenüber den Spectre-Angriffsszenarien minimier. Für andere Windows-Versionen sind aktuell, abhängig von der genauen Version, Patches für Intel-Prozessoren der Generationen Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake verfügbar. Quelle 1 Quelle 2

14.05.2018: Die jüngst veröffentliche Windows 10 Version in der Version 1803 (10 April-2018-Update) beinhaltet nach wie vor keine Microcode-Updates gegen die Spectre-Lücken. Windows-10-Nutzer benötigen damit also ein BIOS-Update seitens des Mainboard-Herstellers, das allerdings in den wenigsten Fällen vorliegen dürfte. Die aktuelle Insider-Version von Windows beinhaltet jedoch bereits einige Microcode-Updates und dürfte in einigen Wochen oder Monaten verfügbar sein. Quelle 1 Quelle 2

03.05.2018: Unter dem Namen "Spectre-NG" wurden acht neue, bisher unbekannte, Sicherheitslücken von Intel-Prozessoren veröffentlicht. Für vier der acht Lücken stuft Intel die Gefährlichkeit als hochriskant ein, die restlichen vier werden mit dem Risiko "mittel" eingestuft. Eine der Spectre-NG-Lücken hat laut Experten ein wesentlich höheres Bedrohungspotenzial als die bekannten Spectre-Lücken – sie lässt sich über die Grenzen virtueller Maschinen hinweg für Angriffe ausnutzen. Die technischen Details der Sicherheitslücken werden voraussichtlich erst veröffentlicht, wenn entsprechende Patches seitens Intel verfügbar sind. Nutzer sind nun auf Patches von Intel angewiesen. Quelle 1 Quelle 2

25.04.2018: Microsoft hat seine Windows-Patches gegen Spectre Variante 2 von Intel Prozessoren stark erweitert. Welche Achitekturen genau von Intel dabei mit neuem Microcode versorgt werden, hängt von der Windows-Version ab. Neu ist jedoch, dass auch Intel Haswell und Intel Broadwell per Windows-Update gesichert werden können. Bisher war das nur bis zurück zu Skylake der Fall. Quelle 1 Quelle 2

12.04.2018: Microsoft sorgt für eine großflächtige Verteilung seiner Patches gegen Meltdown- & Spectre. Der Registry-Schlüssel, der die Installation beim Vorhandensein inkompatibler AV-Programme bis dato verhindert hat, wird ab sofort bei der Installation von Updates nicht mehr beachtet. Quelle 1 Quelle 2

10.04.2018:  Als Schutz vor der Sicherheitslücke Spectre Variante 2 bringt nun auch AMD Microcode-Updates auf den Weg, die in BIOS-Updates für betroffene Computer und Mainboards einfließen sollen. Eine Kombination aus einem Windows-Update mit BIOS-Updates für Mainboards soll Windows-10-Rechner mit AMD-Prozessoren ab der 2011 vorgestellten Bulldozer-Generation schützen. Quelle 1 Quelle 2

04.04.2018:  Intel hat seine Arbeiten an den Microcode-Updates gegen Spectre Variante 2 final abgeschlossen. Für fast alle Architekturen, für die Intel Anfang des Jahres Microcode-Updates in Aussicht gestellt hatte, gibt es nun ein Update. Für die Architekturen, für die es jedoch zum jetzigen Zeitpunkt kein Update gibt, wird es auch in Zukunft keine mehr geben. Betroffen sind die Generationen Core 2 Duo (Wolfdale) und Core 2 Quad (Yorkfield), deren Mobile-Pendants (Penryn), die erste Core-i7-Generation (Bloomfield), die ersten Desktop-Sechskerner (Gulftown) und die Sofia 3GR genannten Chips für Smartphones. Bei einigen Xeon-Pendants spart sich Intel das Microcode-Update ebenfalls. Als Grund nennt der Hersteller die geringe Verbreitung der Chips. Quelle 1 Quelle 2

28.03.2018: Wie bereits bei Veröffentlichtung der beiden Side-Channel-Attacken "Meltdown" und "Spectre" vermutet, wurde nun von einem Forscher-Team dreier Universitäten aus den USA, Katar und Großbritannien ein weiterer Angriffsvektor veröffentlicht. Der "BranchScope" getaufte Vektor basiert ebenfalls auf dem "Austricksen" der Branch-Prediction-Unit. Intel wird wohl mit weiteren Firmware-Updates den Angriffsvektor lindern müssen. Quelle 1 Quelle 2

20.03.2018: VMware hat nun Updates für seine populären Produkte VMware ESXi, vSphere, Workstation und Fusion veröffentlicht. Die Updates finden Sie in folgendem Artikel: Quelle

15.03.2018: Wie Intel nun bekanntgegeben hat, sollen bereits im Laufe des Jahres 2018 hardwareseitig sichere Prozessoren gegen Spectre-artige Angriffe erscheinen. Konkret sollen die die kommenden Intel-Prozessoren der Xeon-Serie Cascade Lake sowie neue Core-i-8000-Prozessoren bereits Änderungen der Mikroarchitektur enthalten. Quelle 1 Quelle 2

14.03.2018: Nach langem Warten hat Intel Microcode-Updates gegen die Spectre Variante 2 Schwachstelle veröffentlicht. Die Updates stehen bald in Form von BIOS-Updates bei den Herstellern zur Verfügung. Weiterhin hat Microsoft sein Microcode-Update aktualisiert (siehe Meldung vom 01.03.2018). Auch für Linux-basierte-Systeme hat Intel einen aktualisierten Processor Microcode Data File veröffentlicht, welcher in Linux-Betriebssysteme integriert werden kann. Quelle 1 Quelle 2

13.03.2018: Immer mehr Hersteller veröffentlichen überarbeitete Firmware/BIOS-Updates, welche den stabilen Microcode von Intel enthalten. Die aktuellsten Updates erhalten Sie direkt über die Herstellerwebseiten. Diese finden Sie auf unserer Webseite unter dem Punkt "Offizielle Informationen von Herstellern aus unserem Produkt-Portfolio" aufgelistet.

05.03.2018: Forscher der Ohio State University haben eine neue Variante des Spectre-Angriffs auf Intel-Prozessoren beschrieben. In ihrem Bericht legen sie dar, wie sie per Side-Channel-Angriff die Sicherheitsfunktion "Software Guard" umgehen können. Microsoft kündigt Patches des SGX-Frameworks für den 16. März an. Quelle 1 Quelle 2

01.03.2018: Microsoft verteilt Microcode-Updates gegen Spectre künftig selbst! Dadurch sind Windows-Nutzer nicht mehr auf die Gunst ihrer Mainboard-Hersteller angewiesen. Zunächst stehen nur Update für die Intel Skylake-Generation zur Verfügung - weitere werden jedoch folgen. Die Updates werden zum aktuellen Zeitpunkt noch nicht über Windows-Update verteilt, sondern können manuell aus dem Windows Catalog heruntergeladen werden. Die Updates werden nicht dauerhaft auf der CPU gespeicher, sondern wentweder vom BIOS/UEFI beim Start in ein flüchtiges Register geladen oder eben vom Betriebssystem eingespielt. Quelle 1 Quelle 2

28.02.2018: Intel liefert nun auch stabile Microcode-Updates gegen Spectre Variante 2 für die etwas älteren Prozessorgenerationen Broadwell- und Hasswell an die Hersteller aus. Updates für Sandy Bride und Ivy Bride bleiben noch in der Betaphase - werden aber voraussichtlich auch bald veröffentlicht. Quelle 1 Quelle 2

22.02.2018: Auch AMD sieht sich mehreren Sammelklagen wegen des Umgangs mit den Sicherheitslücken Meltdown & Spectre gegenüber. Quelle 1

20.02.2018: Intel liefert neue Microcode-Patches für Desktop- sowie Notebook-Plattformen (Coffee Lake, Kaby Lake) und für Server (Skylake-D, Skylake-SP) an Partner aus. Diese bauen daraus nun BIOS-Updates, welche in den kommenden Tagen veröffentlicht werden dürften. Quelle 1 Quelle 2

16.02.2018: Wie Intel in einer Pflichtmittelung an die US-Börsenaufsicht bekannt gibt, wurden zum jetzigen Zeitpunkt insgesamt 32 Klagen gegen den Hersteller wegen der Sicherheitslecks Meltdown und Spectre eingereicht. Der Hersteller könne jedoch aktuell keine seriöse Schätzung abgeben, wie hoch die drohenden Strafzahlungen ausfallen könnten. Quelle 1 Quelle 2

15.02.2018: Drei Froscher aus den USA entdecken neue Angriffsvektoren für Meltdown und Spectre. Die "MeltdownPrime" und "SpectrePrime" genannten Attacken nutzen, anders als Meltdown und Spectre, den Zugriff zweier Rechenkerne auf den Arbeitsspeicher. Die Informationen, die darüber gewonnen werden können, seien jedoch die gleichen wie bei den urspünglichen Attacken. Laut den Forschen werde Intel wohl zusätzliche Hardware-Fixes bereitstellen müssen. Quelle 1 Quelle 2

15.02.2018: VMware veröffentlicht für sein Produkt vCenter Server (vCSA) den Patch 6.5U1f. Neben Meltdown und Spectre Variante 1 adressiert das Update eine Vielzahl weiterer Sicherheitslücken. Quelle 1 Quelle 2

13.02.2018: Microsoft verteilt nun auch Patches gegen Meltdown&Spectre an 32-Bit-Versionen von Windows 10. Es handelt sich dabei um die selben Updates, die Anfang Januar für die 64-Bit-Versionen veröffentlicht wurden. Quelle

12.02.2018: Als Reaktion auf die Schwachstellen Meltdown und Spectre erweitert Intel sein "Bug Bounty Program". Das nun öffentlich zugängliche Programm belohnt Personen mit bis zu 250,000 $, wenn Sie eine kritische Seitenkanalattacke in Intel-Prozessoren finden, welche per Software ausnutzbar ist. Quelle 1 Quelle 2

11.02.2018: HP Inc. veröffentlicht einige BIOS-Updates für auf Skylake-basierende Produkte. Erst wenn Intel weitere Microcode-Updates veröffentlicht, können weitere Geräte aktualisiert werden. Quelle

09.02.2018: Intel bestätigt, dass auch Prozesssoren der Generation "Penryn" (Core-2-Prozessoren)   anfällig sind für die Schwachstellen Meltdown und Spectre. Die betroffenen Produkte wurden im Update-Terminplan von Intel aufgenommen - allerdings ohne konkreten Termin. Entgegen erster  Stellungnahmen will Intel  damit auch vor 2013 produzierte Prozessoren mit Updates versorgen. Quelle 1 Quelle 2

09.02.2018: Die neuen Linux-Kernel-Serien 4.15.2 und 4.14.18 führen einen Schutz gegen Spectre Var. 1 ein. Weiterhin wurden die Schutzmaßnahmen gegen die Schwachstellen Spectre Var. 1 und Meltdown verbessert. Vollständig sind die Gegenmaßenahmen damit aber nach wie vor nicht. Quelle 1 Quelle 2

08.02.2018: Intel hat eigenen Angaben zufolge die ersten aktualiserten Microcode-Updates für Partner (HPE, Dell, VMware ...) bereitgestellt. Diese sind jedoch bisher nur für Skylake (6. Generation der i3-, i5-, i7-Serie) vorgesehen. Es wird wohl noch einige Tagen dauern, bis die Partner die Updates verarbeitet haben und BIOS-Aktualisierungen für Endkunden zur Verfügung stellen. Quelle 1 Quelle 2

05.02.2018: AMD hat bekanntgegeben, dass neben den aktuellen Prozessoren der Ryzen- und Bulldozer-Serie auch ältere CPUs der Serien K10 und K8 (bis zurück ins Jahr 2003) von den beiden Spectre-Schwachstellen betroffen sind.  Die Autoren des Nachrichtenportals "Tech ARP" haben eine Liste aller von Meltdown & Spectre betroffenen Prozessoren aufgestellt. Dort werden alle 2146 von Spectre und 1525 von Meltdown betroffenen CPUs mit ihrer Modellnummer gelistet. Quelle 1 Quelle 2 Quelle 3

02.02.2018: Intel veröffentlicht einige Microcode-Updates für verschiedene Mini-PCs. Weiterhin gibt sich Intel bis zum 15. Februar 2018 Zeit, weitere Updates für mehr Prozessoren zu veröffentlichen. Doch Intel steht nicht alleine da: Auch AMD nennt bisher keinen Zeitpunkt zu dem weitere Microcode-Updates veröffentlicht werden sollen. Quelle 1 Quelle 2

31.01.2018: AMD stellt eine Prozessoren-Generation in Aussicht, die hardwareseitig vor Spectre- und Meltdownähnliche Lücken sicher sein soll. Die Prozessoren mit Zen-2-Architektur sollen 2019 erscheinen. Quelle 1 Quelle 2

29.01.2018: Der Linux-Kernel Version 4.15 mit Änderungen gegen das Ausnutzen der Schwachstellen Meltdown und Spectre wurde freigegeben. Linus Torvalds betont jedoch, dass „wir mit Spectre/Meltdown noch nicht fertig sind“. Quelle 1 Quelle 2

29.01.2018: Microsoft hat, als Reaktion auf Intels Meldung vom 22.01., ein optionales Update für Windows 10, 8.1, 7 sowie Windows Server veröffentlicht. Das Update deaktiviert Teile des Anfang Januar verteilten Updates  gegen die Schwachstelle Spectre 2. Der Schutz gegen Meltdown und erste Anwendungsupdates (z.B. Internetbrowser Edge) gegen Spectre 1 bleiben davon unberührt. Hintergrund ist, dass die bisherigen Updates gegen Spectre 2 zu unkontrollierten Neustarts und Datenverlust führen können. Quelle 1 Quelle 2

26.01.2018: Intel-CEO Brian Krzanich kündigt eine Prozessoren-Generationen an, die nicht anfällig ist für die Schwachstellen Meltdown und Spectre. Er erklärt, dass „einige der besten Köpfe“ bei Intel an diesem Projekt arbeiten und unanfällige Prozessoren noch „im Laufe des Jahres“ veröffentlicht werden sollen. Quelle 1 Quelle 2

24.01.2018: Intel heuert die krisenvertraute PR-Beratung Sard Verbinnen & Co an, um als Krisenmanager die aktuelle Situation zu betreuen. Außerdem verschiebt Intel die planmäßig anstehenden Produktneuvorstellungen. Neue, ungepatchte CPUs zu veröffentlichen würde wohl nur noch Öl ins Feuer gießen. Quelle 1 Quelle 2

23.01.2018: Apple versorgt auch ältere MacOS-Versionen wie macOS Sierra 10.12.6 und Mac OS X El Capitan 10.11.6 mit Patches gegen Meltdown. Für das aktuelle macOS High Sierra brachte Apple schon Anfang Detember 2017 ein entsprechendes Update heraus. Quelle 1 Quelle 2

23.01.2018: Die ersten Hersteller (Dell EMC, HP, HPE ...) sowie Softwarelieferanten (VMware, Veeam ...) reagieren auf Intels Meldung vom 22.01. Sie weisen in aktualisierten Meldungen darauf hin, dass vorerst keine aktuell verfügbaren Microcode-Updates eingespielt werden sollten. Weiterhin sollten bereits eingespielte BIOS-Updates wieder rückgängig gemacht werden. Quelle 1 Quelle 2 Quelle 3 Quelle 4 Quelle 5

22.01.2018: Intel rät allen Nutzern das Aktualisieren Ihrer Systeme mit zu diesem Zeitpunkt erhältlichen Microcode-Updates ab. Laut Intel wurden zwar mittlerweile die Gründe für die ungeplanten Neustarts von gewissen Intel Prozessoren gefunden (vgl. Meldung vom 17.01.), doch erst nach weiteren Tests will man die überarbeiteten Microcode-Updates für die Endanwender freigeben. Bis dahin rät Intel davon ab, Microcode-Updates einzuspielen. Achtung: Betriebssystem- und Anwendungsupdates sind von dieser Meldung nicht betroffen und sollten schnellstmöglich angewandt werden. Quelle 1 Quelle 2

21.01.2018: In einer wutentbrannten Mail an sein Team nennt Linux Torvalds, Inititator sowie treibende Kraft bei der Entwicklung des Linux-Kernels, die bisherigen Microcode-Updates von Intel "complete and utter garbage" (dt.: "absoluten Müll"). Quelle 1 Quelle 2

20.01.2018: Im aktuellen c’t uplink Podcast diskutieren einige IT-Experten über die Hardware-Schwachstellen Meltdown und Spectre. Dabei wird untere anderem die genaue Funktionsweise der Schwachstellen, Updatemöglichkeiten sowie Performancebeeinträchtigungen erläutert. Link zum Video

18.01.2018: Intel hat seine bereits veröffentlichten Benchmarks im Hinblick auf den Leistungsabfall durch Meltdown/Spectre-Update erweitert. Diesmal hat Intel keine Client-Systeme, sondern Server im Rechenzentrum näher betrachtet. Je nach Nutzungsszenario schwanken die Leistungseinbußen im Rechenzentrum zwischen zwei Prozent (Arbeitsspeicher und CPU intensive Anwendungen) und 25 Prozent (Storage). Quelle

17.01.2018: Intel bestätigt Berichte von Anwendern, denen zufolge Geräte mit BIOS-Update gegen Spectre Variante 2 unbeabsichtigt neu starten. Betroffen sind Prozessoren folgender Serien: Sandy Bridge (Core i-2000), Ivy Bridge (Core i-3000), Haswell (Core i-4000), Broadwell (Core i-5000), Skylake (Core i-6000) und Kaby Lake(Core i-7000). Trotz der Probleme rät Intel allen Hersteller nach dem Grundsatz „Sicherheit geht vor Stabilität“ dazu, die bereits entwickelten Updates weiterhin auszuliefern. Parallel dazu sollen sich die Partner am Beta-Test des neuen Codes beteiligen. Quelle

17.01.2018: Microsoft hat seinen C/C++ Compiler aktualisiert und um eine Option erweitert, wodurch dieser Befehle in den erzeugten Code einbaut, sodass die übersetzte Anwendung vor Angriffen nach Spectre Variante 1 geschützt ist. Quelle

16.01.2018: Oracle betätigt, dass einige ihrer SPARCv9 Prozessoren von Spectre betroffen sind. Fujitsu berichtet von betroffenen SPARC64 XII und SPARC64 X+ Prozessoren. Quelle 1 Quelle 2

16.01.2018: Google berichtet von „unbemerkten“ Cloud-Patches, welche es bereits September/Oktober 2017 in seiner Infrastruktur eingespielt haben soll. Google berichtet dabei von keinerlei spürbaren Geschwindigkeitseinbußen ("no perceptible impact"). Weiterhin hat Google eine Möglichkeit namens „Retpoline“ gefunden, um die spekulative Ausführung von Befehlen sicher und mit minimalen Performance-Verlusten zu ermöglichen. Damit widerspricht Google der früheren Vermutung der Google-Ingenieure, man müsse auf bestehender Hardware ganz auf spekulative Ausführung verzichten, um vor Spectre-2 sicher zu sein. Quelle 1 Quelle 2 Quelle 3

15.01.2018: HPE, VMware und andere Hersteller ziehen bereits veröffentlichte Patches und BIOS-Update vorerst zurück. Grund dafür: Kompatibilitätsprobleme mit den ursprünglich veröffentlichten Aktualisierungen. Quelle 1 Quelle 2

12.01.2018: Das Bundesamt für Sicherheit (BSI) warnt von E-Mails mit gefälschtem BSI-Absender. Betrüger nutzen die Medienpräsenz um die Prozessor-Schwachstellen Meltdown und Spectre, um die Nutzer auf eine gefälschte Webseite zu locken. Ein Download des angeblichen Updates führt zur Schadsoftware-Infektion des Rechners oder Smartphones. Quelle

11.01.2018: AMD räumt ein, dass seine Prozessoren nun doch von Spectre Variante 2 betroffen sind. Quelle

08.01.2018: Apple veröffentlicht iOS 11.2.2 als Reaktion auf die Schwachstellen Spectre und Meltdown. Das Softwareupdate ist verfügbar für iPhone 5s und neuer (kein iPhone 5 und 5c), iPad Air und neuer sowie iPod Touch 6te Generation. Quelle

04.01.2018: Die ersten Browser-Hersteller reagieren auf die Schwachstellen Meltdown und Spectre , um das Ausnutzen der Lücken via JavaScript zu verhindern. Update 25.01.2018: Mit Chrome Version 64 stärkt Google den Schutz gegen den Spectre-Angriff weiter. Quelle 1 Quelle 2 Quelle 3

03.01.2018: Forscher der Technischen Universität Graz und des Google Project Zero veröffentlichen Informationen zu den Schwachstellen Meltdown & Spectre. Quelle 1 Quelle 2

01.06.2017: Forscher des Google Project Zero entdecken die „Meltdown“ und „Spectre“ genannten Angriffsszenarien und geben Details zunächst geheim an Intel, AMD und ARM weiter. Quelle

Was sind die technischen Hintergründe von Meltdown und Spectre? 

Die entdeckten Sicherheitslücken erlauben es Angreifern, Speicherbereiche des betroffenen Geräts auszulesen. So können sensible Informationen wie zum Beispiel Passwörter, kryptografische Schlüssel oder E-Mails mittels des Spectre-Angriffs aus den eigentlich nicht zugänglichen Speicherbereichen fremder Programme und mittels des Meltdown-Angriffs aus dem eigentlich geschützten Speicherbereich des Betriebssystems ausgelesen werden.

Sicherheits-Experten schätzen die Angriffsvektoren als eine der größten Computer-Sicherheitslücken aller Zeiten ein. Das Brisante dabei: Die Schwachstellen liegen im Design der Prozessor-Hardware selbst und müssen von Prozessorherstellern, Betriebssystem-Entwicklern und Software-Programmierern zusammen bekämpft werden.

Die darunterliegende Ursache für diesen Angriffsvektor liegt dabei im leistungsoptimierten Design moderner Prozessoren. Die beiden Verfahren "Out of order execution" und "Speculative Execution" erhöhen die Prozessorleistung, sind nun jedoch auch für die bekanntgewordenen Sicherheitslücken verantwortlich. Dabei ermöglicht die „spekulative Ausführung" von Prozessor-Befehlen eine beschleunigte Reaktion auf gewisse Benutzereingaben, indem voraussichtlich zeitnah benötige Berechnungen bereits im Voraus ausgeführt werden. Mit der Speicherung solcher spekulativen Ergebnisse stehen diese bereits zur Verfügung, wenn das betreffende Programm die Berechnung anfragt. Dabei werden die vorberechneten Ergebnisse gelesen, passende werden ausgeführt und nicht benötige werden direkt verworfen. Somit wird in Phasen geringer Auslastung die vorhandene Leistungsfähigkeit des Prozessors vorausschauend genutzt und der Prozessor bei einer höheren Auslastung geschont. Eine genaue technische Erläuterung des Sachverhaltes findet sich in der Rubrik „Quellen und weiterführende Informationen“.

Welche Risiken entstehen durch die Schwachstellen und wie können diese geschlossen werden? 

Ein potentieller Angreifer kann sensible Informationen wie Passwörter oder kryptografische Schlüssel aus dem Speicher (über den Cache) eines betroffenen Systems abgreifen. Voraussetzung hierfür ist, dass er einen entsprechenden Schadcode auf dem System ausführt. Dazu braucht der Angreifer Zugriff auf das System z. B. per Remote Desktop Protokoll auf Windows-Systemen oder SSH auf Linux-Systemen. Aber auch die Verbreitung als „klassische“ Schadsoftware über bekannte Wege als Download, E-Mail-Anhang oder bösartige Webseite (JavaScript) ist möglich.

Das Angriffsszenario Meltdown (Rogue Data Cache Load) bedient sich einer lokal ausnutzbaren Schwachstelle. Dadurch kann eine Schadsoftware Zugriff auf den eigentlich nicht zugänglichen Kernel-Speicher erhalten. Heikel dabei: Der Angreifer braucht nicht zwingen Administratorrechte, bereits normale Standardbenutzerrechte reichen aus. Die Sicherheitslücke betrifft nur Intel CPUs (vgl. Tabelle 1) und kann vergleichsweise einfach durch die Modifizierung des jeweiligen Betriebssystems verhindert werden.

Beim zweiten Angriffsszenario namens „Spectre“ handelt es sich eher rum eine neue Klasse von Attacken als um einen bestimmen Angriffsvektor. Dennoch wird formal zwischen Spectre Variante 1 (Bounds Check Bypass) und Spectre Variante 2 (Branch Target Injection) unterschieden. Beide Angriffe basieren auf der spekulativen Ausführung von Prozessor-Befehlen und können dazu genutzt werden, Informationen von anderen Prozessen auszulesen. Spectre Variante 1 kann beispielsweise mittels Schadsoftware aus der Ferne (z. B. per JavaScript im Webbrowser) ausgenutzt, ebenso einfach aber auch durch Updates des Internetbrowsers verhindert werden. Schutz vor Angriffen mithilfe von Spectre Variante 2 verlangen hingegen eine aufwendige Kombination aus CPU-Microcode-Updates und Betriebssystem-Updates. Spectre birgt insgesamt ein geringeres Risiko als Meltdown, ist jedoch auch schwieriger zu bekämpfen.

Welche Systeme sind von Meltdown und Spectre betroffen? 

Spectre und Meltdown sind grundlegende Schwachstellen in der Hardware-Architektur von Prozessoren. Dadurch sind alle darüber liegenden Schichten wie etwa die Hypervisor-Schicht, das Betriebssystem und die darauf befindlichen Anwendungsprogramme betroffen. Dies erklärt auch warum alle Ebenen, von der Hardware an beginnend über den optionalen Hypervisor bis hin zum Betriebssystem und betroffenen Anwendungen, aktualisiert werden müssen. Die nebenstehende Grafik verdeutlicht dies.

Aufgrund der Prozessor-Hardware als Basis sind auf der Betriebssystemebene alle Systeme betroffen. Dazu gehören also etwa Windows (Server), Linux, macOS, iOS, Android und FreeBSD aber auch Hypervisor-Betriebssysteme wie VMware ESXi oder Citrix XEN Server. Auf der Anwendungsebene sind alle Programme betroffen, die potenziell das Ausführen von Schadcode ermöglichen. Ein in der Vergangenheit oft genutztes Vehikel dafür sind beispielsweise Webbrowser wie Internet Explorer, Mozilla Firefox oder Google Chrome. Aber auch beispielsweise Treibersoftware von Nvidia-Grafikkarten sollte schnellstmöglich aktualisiert werden.

Neben klassischen Clients oder Servern sind auch alle anderen Geräte wie Netzwerkkomponenten (Router, Switch, Firewall etc.) sowie Smartphones und Tablets betroffen. Auch hier müssen die Schwachstellen Spectre und Meltdown mithilfe von Softwareupdates entschärft werden.

Auf der Hardwareebene sind in unterschiedlichem Schweregrad grundsätzlich alle Prozessoren mit Out-of-order Funktionen betroffen. Dazu gehören die Hersteller Intel, AMD, ARM, Qualcomm sowie IBM (POWER) . Auch Prozessoren mit SPARC-Architektur der Hersteller Oracle (SPARCv9) und Fujitsu (SPARC64 XII und SPARC64 X+) sind anfällig für die Sicherheitslücke Spectre. Weiterhin sind auch Hersteller von Smartphone-Chips wie Apple, Mediatek, Qualcomm und Samsung betroffen. Die folgende Tabelle gibt darüber gesammelt Aufschluss:

Google-Name

Kurzbezeichung

CVE-Nummer

Betroffene Hersteller

     

Intel

AMD

ARM

IBM2

Oracle

Fujitsu

Qualcomm, Apple, MIPS, Mediatek, Samsung

Spectre, Variante 1

Bounds Check Bypass

CVE-2017-5753

1

3

Spectre 1.1 Bounds Check Bypass CVE-2018-3693 3 3 3 3 3
Spectre 1.2 Bounds Check Bypass Store unbekannt 3 3 3 3 3

Spectre, Variante 2

Branch Target Injection

CVE-2017-5715

1

3

Meltdown, aka Spectre Variante 3

Rogue Data Cache Load

CVE-2017-5754

nur
A75

3

Spectre,
Variante 3a
Rogue System Register Read CVE-2018-3640 nur
A75
3
Spectre, Variante 4 Speculative Store Bypass CVE-2018-3639 3

1 betroffen sind Cortex-A8, -A9, -A15, -A17, -A57, -A72, -A73, -A75, -A57, -R7, -R8
2 betroffen sind wohl POWER7+, POWER8, POWER9 sowie die Z-Prozessoren für Mainfraimes. Weiterhin ist auch der POWER6 (mit In-Order-Pipeline) von Spectre betroffen.
3 teilweise nicht offiziell bestätigt seitens der Hersteller

Tabelle 1: Übersicht betroffener Prozessoren durch die Sicherheitslücken Meltdown und Spectre
Modifiziert nach: Heise FAQ zu Meltdown und Spectre

Kann ich meine Geräte auf Verwundbarkeit überprüfen? 

Aufgrund der hohen Verbreitung der betroffenen Prozessoren (vgl. Abschnitt „Welche Systeme sind von Meltdown und Spectre betroffen?“) ist mit sehr hoher Wahrscheinlichkeit mindestens eines Ihrer Geräte von den Sicherheitslücken Meltdown und Spectre betroffen.

Auf der Herstellerwebseite des jeweiligen Gerätes finden Sie Informationen über dessen Verwundbarkeit. Autoren des Nachrichtenportals Tech ARP haben sich die Mühe gemacht, alle betroffenen Prozessoren kategorisiert aufzulisten. Die erwähnten listen finden Sie hier:

Ergänzend listen wir im Folgenden Möglichkeiten auf, ihr individuelles Gerät selbst auf die Schwachstellen hin zu überprüfen:

Windows:
Ob ihr Windows-Client von den Schwachstellen betroffen ist, lässt sich am einfachsten mit Hilfe der Software „InSpectre“ der Firma „Gibson Research Corporation“ herausfinden. Diese finden Sie unter folgendem Link:  https://www.grc.com/inspectre.htm

Für Windows-Server hat Microsoft ein PowerShell-Skript veröffentlicht. Eine Anleitung dazu finden Sie im Microsoft KB4072698-Artikel unter: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Linux:
Ob ihr Linux-Gerät von den Schwachstellen betroffen ist, lässt sich mithilfe eines Shell Skripts aus der Community überprüfen. Die aktuellste Version des Skripts finden Sie unter  https://github.com/speed47/spectre-meltdown-checker

Welche Maßnahmen sind erforderlich? 

Da sich der Ursprung der Schwachstellen in der Prozessor-Architektur (Hardware) befindet, müssen die Sicherheitslücken mithilfe von Software-Updates entschärft werden. Eine vollständige Schließung aller genannten Schwachstellen ist endgültig nur mit einer überarbeiten Microprozessor-Architektur möglich. Da dies jedoch erst mit der nächsten Hardware-Generation realisierbar sein wird, kann das Risiko zum aktuellen Zeitpunkt nur durch Software-Updates minimiert werden.

Die nachstehende Tabelle gibt darüber Aufschluss, wie die jeweilige Sicherheitslücke geschlossen bzw. bestmöglich gesichert werden kann. Gerne unterstützen wir Sie beim Untersuchen und Aktualisieren Ihrer Infrastruktur. Wenden Sie sich dazu gerne über das obenstehende Kontakformular oder per Mail an . Ein Experte aus unserer Taskforce steht Ihnen für Fragen gerne zur Verfügung.

Google-Name

Kurzbezeichung

CVE-Nummer

Notwendige Aktionen

      Betriebssystemupdates
(z.B. Windows, Linux ...)
Microcodeupdates (z.B. BIOS, Firmware ...) Anwendungsupdates
(z.B. Browser, Interpreter ...)

Spectre, Variante 1

Bounds Check Bypass

CVE-2017-5753

Spectre, Variante 2

Branch Target Injection

CVE-2017-5715

Meltdown

Rogue Data Cache Load

CVE-2017-5754

Was sollte mit Systemen getan werden, für die keine Updates zur Verfügung stehen? 

Praktisch alle Hersteller arbeiten zurzeit unter Hochdruck an Updates für ihr jeweilige Hard- und Software. Aufgrund der schieren Menge an Systemen wird es jedoch auch Hard- und Software geben, die vorerst keine Aktualisierungen erhalten wird. Beispielsweise hat Intel angekündigt, bis Ende Januar 2018 alle Prozessoren der vergangenen fünf Jahre (seit 2013) mit Sicherheitsupdates zu versorgen. Was jedoch mit älteren Prozessoren geschieht, ist derzeit unklar. Bei Apple wurden Mobilgeräte ab dem iPhone 5S bereits mit iOS-Updates versorgt. Was mit älteren Geräte, wie dem iPhone 5 oder 5c passieren wird, ist jedoch ebenfalls unklar.

Daher empfehlen wir Systeme, auf die keine Sicherheitsupdates eingespielt werden können, mithilfe von Netzwerksegmentierung, Firewalls, Intrusion Prevention Systemen (IPS) oder anderen Sicherheitsmechanismen abzusichern und von kritischen Systemen zu isolieren. Auch sollten die betroffenen Systeme unter den Gesichtspunkten der Systemhärtung kritisch überprüft und ggf. angepasst werden. Dabei sollten beispielsweise unnötige Zugriffe von außen, etwa durch Fernwartungssoftware, strengstens reglementiert werden. Gerne helfen wir Ihnen die entsprechenden Maßnahmen individuell für Ihre Infrastruktur umzusetzen.

Offizielle Informationen von Herstellern aus unserem Produkt-Portfolio 

Apple

About speculative execution vulnerabilities in ARM-based and Intel CPUs

Brocade

Brocade Security Advisory

Check Point

Check Point Response to Meltdown and Spectre

Cisco

CPU Side-Channel Information Disclosure Vulnerabilities

Citrix

Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Dell Consumer

Meltdown and Spectre Vulnerabilities

Dell EMC Meltdown and Spectre Vulnerabilities

Fortinet

CPU hardware vulnerable to Meltdown and Spectre attacks

HP Inc.

HPSBHF03573 - Side-Channel Analysis Method

HPE

Side Channel Analysis Method allows information disclosure in Microprocessors

HPE Aruba

Aruba Product Security Advisory

IBM

Potential CPU Security Issue

Intel

Security Exploits and Intel Products

Lancom

Spectre und Meltdown: LANCOM Geräte sind nicht betroffen

Microsoft

Guidance to mitigate speculative execution side-channel vulnerabilities

Microsoft

Windows Server guidance to protect against speculative execution side-channel vulnerabilities

NetApp

Processor Speculated Execution Vulnerabilities in NetApp Products

Palo Alto Networks

PAN-SA-2018-0001 - Security Advisories

Sophos

Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre)

Trend Micro

Important Information for Trend Micro Solutions and Microsoft January 2018 Security Updates (Meltdown and Spectre)

Ubiquiti

Meltdown and Spectre exploits

Veeam

Meltdown and Spectre vulnerabilities

VMware

VMSA-2018-0002 and VMSA-2018-0004

XEN

Advisory XSA-254


Eine umfangreiche Liste aller öffentlichen Herstellerreaktionen finden Sie unter https://spectreattack.com/ und https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html

Quellen und weiterführende Informationen:  

https://developer.arm.com/support/security-update

http://crn.com/slide-shows/security/300097766/7-things-to-know-about-spectre-and-meltdown-patch-related-performance-hits.htm

https://www.synalis.de/blog/meltdown_spectre_interview/

http://theregister.co.uk/2018/01/16/oracle_quarterly_patches_jan_2018/

https://www.heise.de/ix/heft/Gespensterjagd-3948309.html

https://heise.de/newsticker/meldung/Meltdown-und-Spectre-im-Ueberblick-Grundlagen-Auswirkungen-und-Praxistipps-3944915.html

https://blog.barkly.com/meltdown-spectre-patches-list-windows-update-help

https://blog.xenproject.org/2018/01/04/xen-project-spectremeltdown-faq/

https://bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Meltdown_Spectre_Sicherheitsluecke_10012018.html

https://epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update

https://golem.de/news/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er-1801-132224.html

https://golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125.html

https://heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html

https://heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html?seite=all

https://heise.de/newsticker/meldung/FAQ-zu-Meltdown-und-Spectre-Was-ist-passiert-bin-ich-betroffen-wie-kann-ich-mich-schuetzen-3938146.html

https://heise.de/newsticker/meldung/Microsoft-ueber-Meltdown-Spectre-Details-zu-Patches-und-Leistungseinbussen-3937462.html

https://heise.de/newsticker/meldung/Patch-gegen-Spectre-Aktualisierte-Nvidia-Grafiktreiber-fuer-GeForce-und-Quadro-Tesla-Treiber-spaeter-3937247.html

https://heise.de/security/meldung/Spectre-Luecken-auch-MIPS-P5600-und-IBM-POWER6-betroffen-Intel-erklaert-IBC-3952933.html

https://heise.de/video/artikel/heiseshow-Meltdown-und-Spectre-Was-steckt-dahinter-und-wie-schlimm-ist-es-3939578.html

https://www.heise-events.de/spectre

https://meltdownattack.com/ bzw. https://spectreattack.com/

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Blog-Benchmark-Table.pdf

https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html

https://sp.ts.fujitsu.com/dmsp/Publications/public/Intel-Side-Channel-Analysis-Method-Security-Review-CVE2017-5715-vulnerability-Fujitsu-products.pdf

https://www.techarp.com/articles/meltdown-spectre-cpu-flaws/

https://theregister.co.uk/2018/01/06/qualcomm_processor_security_vulnerabilities/

Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung zu.  mehr Infos...