Wissen: Sicherheitslücken Meltdown und Spectre

Seit dem Jahreswechsel 2018 sind zwei Sicherheitslücken unter dem Namen Meltdown und Spectre bekannt, die moderne Computersysteme, vom (Windows-) PC über Notebooks bis hin zu Tablet PCs und Smartphone bedrohen. Im Blog-Beitrag gebe ich einen kurzen Überblick, was man als Benutzer/in wissen sollte.


Anzeige

Zuerst ein kurzer Rückblick, worum es eigentlich geht. Zum Jahreswechsel 2017/2018 wurden zwei Angriffsmethoden Meltdown und Spectre bekannt, mit denen man die in jedem Gerät enthaltenen Computerchips per Software angreifen und unberechtigt Daten abgreifen kann. Das funktioniert mit (böswilligen) Programmen und Apps und geht theoretisch sogar in einem sogenannten Browser beim Surfen im Internet. Damit könnten böswillige Angreifer Kennwörter oder andere sensitive Daten von den Geräten der Nutzer stehlen. Eine erste Information hatte ich im Artikel Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme, drüben in meinem Computerblog gegeben.

An dieser Stelle möchte ich es kurz erwähnen. Oben schreibe ich von den Sicherheitslücken Meltdown und Spectre. Genau genommen sind dies die Namen der Angriffsmethoden. Die Sicherheitslücken haben andere Bezeichnungen wie CVE-2017-5753 (Spectre 1, Bounds Check Bypass), CVE-2017-5715 (Spectre 2, Branch Target Injection) und CVE-2017-57 (Meltdown, Rogue Data Cache Load). Das kann sich aber niemand merken, weshalb ich die obigen Namen Meltdown und Spectre in meinen Blog-Beiträgen verwende. Dann weiß jeder, was gemeint ist.

Fast alle Geräte betroffen

Da diese Angriffe direkt auf die Chips in den Geräten zielen, ist das Ganze ein GAU (größter anzunehmender Unfall), da eigentlich alle Hersteller vom PC-Bauer bis zum Handy-Anbieter betroffen sind.

Meltdown/Spectre

Die Angriffsmethode mit dem Namen Meltdown funktioniert nur auf Computern oder Geräten mit Intel Chips. Betroffen sind eigentlich Windows-Geräte und Apples Macintosh macOS-Rechner. Die zweite Angriffsmethode mit dem Namen Spectre funktioniert sogar auf fast allen bekannten CPUs, also selbst in Handys.

Chip-Austausch nicht realistisch

Im Grunde genommen müssten alle Chips ausgetauscht werden, um die Schwachstellen zu beseitigen. Dies geht aber aus zwei Gründen nicht: Einmal können nicht auf einen Schlag Milliarden Geräte ausgetauscht werden. Zudem werden auf Jahre hinaus schlicht die benötigten, fehlerfreien Chips nicht zur Verfügung stehen. Ich hatte dies drüben im IT-Blog-Beitrag Bringen Meltdown/Spectre die Tech-Industrie ans wanken? mit angesprochen.

Hilft ein Virenschutz?

Üblicherweise gibt es bei Sicherheitslücken die Empfehlung, ein aktuelles und gutes Virenschutzprogramm zu installieren. Das hilft bei den Angriffen über Meltdown und Spectre leider nicht, da die Virenschutzprogramme diese nicht bemerken. Die Programme sind blind und könnten höchstens als schädlich bekannte Programme blockieren.

Was tun die Hersteller?

Seit die Sicherheitslücken, die seit Sommer 2017 bekannt sind (für Insider deutete sich seit Anfang 2017 an, dass da was im Busch sein könnte), zum Jahreswechsel 2018 öffentlich wurden, versuchen die Hersteller von Geräten und von Software (Apple macOS, iOS, Microsoft Windows, Android, Linux etc.) Updates zum Abschwächen der Lücken auszurollen. Ich habe in meinem IT-Blog in folgenden Beiträgen aufgegriffen und einen Überblick gegeben.


Anzeige

Meltdown und Spectre: Was Windows-Nutzer wissen müssen
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2

Bin ich angreifbar, was kann ich tun?

Zum letzten Teil der Frage: Die Industrie agiert recht hilflos, es gibt den ‘Tipp’, dass man als Benutzer einfach die Updates der Software- und Gerätehersteller installieren sollte. So gibt es von Apple, Google und Microsoft Updates für deren Betriebssysteme iOS, macOS, Windows und Android. Und auch die Browser (Google Chrome, Firefox, Internet Explorer, Safari) sind oder werden mit Updates versehen.

Dieser Ansatz hat aber gleich mehrere Pferdefüße. Die Updates verursachen auf Systemen, die diese erhalten, mitunter erhebliche Probleme und können zum Ausfall des Geräts führen. Man muss es sich so vorstellen: Man gibt das Auto zur Werkstatt, die spielen ein Software-Update ein, und danach ist das Auto kaputt, weil dieses Update Murks gebaut hat.

Der zweite, noch größere Pferdefuß: Viele Geräte werden schlicht keine Updates bekommen, weil die Hersteller diese nicht anbieten. Bei Android sieht es ganz schlecht aus, gut 95% der Geräte bekommen keine Updates (oder erst sehr verspätet). Bei Apples iOS für iPhone und iPad sieht es ähnlich schlecht aus. Dort wurde nur die neueste Version von iOS 11 mit Updates versehen.

Ashampo Spectre Meltdown CPU Checker Prüfergebnisse

Wer Windows verwendet und wissen will, ob er durch Meltdown oder Spectre angreifbar ist, kann übrigens ein kleines Testprogramm ausführen. Ich habe das Ganze im Blog-Beitrag Tipp: Test mit dem Ashampoo Spectre Meltdown CPU-Checker beschrieben. Obiges Bild zeigt, dass mein System noch für Spectre-Angriffe anfällig ist – dies gilt übrigens zum Zeit für alle Windows-Systeme.

Tipp: Im Browser kann man diese Webseite aufrufen und dort prüfen lassen, ob das Programm verwundbar für Spectre ist. Während Google Chrome und davon abgeleitete Browser noch verwundbar sind, ist der Firefox-Browser in der Version 57.0.4 bereits abgesichert. Auch der Microsoft Internet Explorer 11 ist, sofern die letzten Updates eingespielt sind, nicht mehr angreifbar.

Wie hoch ist die Gefahr?

Abschließende Frage, die viele Nutzer/innen interessiert: Wie kritisch ist das Ganze für mich. Langfristig könnten diese Fehler ungeahnte Folgen haben. Aktuell sind aber noch keine konkreten Angriffe, die diese Methoden benutzen, bekannt. Sicherheitsfachleute gehen bisher davon aus, dass die Risiken aktuell noch gering sind. Das kann sich aber täglich ändern.

Momentan kann man nur raten, vorsichtig zu sein – keine neuen Apps oder Anwendungen aus unsicheren Quellen installieren, und die Browser sowie Betriebssystem aktualisieren. Online-Banking mit Android-Apps zu betreiben, war schon vor diesem ‘Unfall’ keine gute Idee, wie ich in diversen Beiträgen hier im Blog ausgeführt habe. Und man sollte sich halt informieren (z.B. bei mir in den Blogs), ob es neue Erkenntnisse gibt.

Ähnliche Artikel:
Meltdown und Spectre: Was Windows-Nutzer wissen müssen
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Neuer Bug in Intels Management Engine (Intel SA-00086)
Open Smart Grid-Protokoll enthält Sicherheitslücken
Realer Irrsinn Deutschland: Intelligente Stromzähler
Tipp: Test mit dem Ashampoo Spectre Meltdown CPU-Checker


Anzeige

Dieser Beitrag wurde unter Computer, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Kommentare zu Wissen: Sicherheitslücken Meltdown und Spectre

  1. Facelwega sagt:

    Guten Morgen

    Die Interpretation für Updates im IE 11 macht mir noch immer Bauchweh. Automatisch “gedownloaded” wurde KB 4056568 (am 03.01.2017). Ich meine, dass die aktuelle Version KB 4056897 sein müsste.

    Empfiehlt es sich, die Aktualisierung via MS Update Katalog vorzunehmen? Wäre “Abwarten” die bessere Lösung?

    Danke für Eure Assistenz.

    Facelwega

  2. Klaus Böhme sagt:

    Chrome in der Version 63.0.3239.132 (Offizieller Build) (64-Bit) ist “not vulnerable”, das meldet heute jedenfalls Ihr angesprochener Bowser-Link

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.