Sicherheitslücke: Supergau bei Prozessorherstellern

Article by · 4. Januar 2018 ·

Sicherheitsforscher haben kürzlich mehrere schwere Designfehler in zahlreichen Computer-Prozessoren (CPUs) entdeckt, die ein Auslesen von geschützten Inhalten durch normale Programme sogar aus der Ferne ermöglichen. Dadurch ist es theoretisch möglich, dass eine Webseite mittels Javascript auf Passwörter und andere sensible Inhalte des Computers eines Besuchers zugreifen kann, die sich gerade in seinem Arbeitsspeicher befinden.

Besonders schlimm hat es Intel getroffen, da hier gleich zwei verschiedene Hardware-Bugs entdeckt wurden. Der Intel-spezifische Fehler wird als Meltdown („Kernschmelze“) bezeichnet und befindet sich in Prozessoren der letzten 20 Jahre bis zurück zum Pentium Pro. Der andere Fehler, der teilweise auch AMD und die Hersteller von ARM-CPUs betrifft, wird Spectre („Gespenst“) genannt. Insbesondere Spectre wird sich nicht vollständig durch Software beheben lassen. Die beiden Namen wurden übrigens wegen der Dramatik der Fehler aus James-Bond-Filmen entnommen.

Betriebssystem-Hersteller arbeiten fieberhaft an einer Lösung

Seit Tagen arbeiten Microsoft und zahlreiche Linux-Entwickler mit Hochdruck an ihren Produkten, um Notfall-Patches zu entwickeln und die Fehler durch neue Software des innersten Bereichs des Betriebssystems – den Kernel – zu beheben. Apple hält sich mit Aussagen etwas bedeckt, doch auch deren CPUs, unter anderem von ARM und Intel, enthalten den Fehler.

Die neue Kernel-Software bringt je nach Prozessor auch erhebliche Geschwindigkeitseinbußen von bis zu 30% mit sich, was insbesondere für Netzwerk- und Datei-intensive Programme gilt, bei denen häufig Funktionen des Betriebssystems aufgerufen werden. Diese sogenannten Kontext-Wechsel zwischen Benutzer-Programmen und Kernel können durch die geflickte Software sehr verlangsamt werden – sehr zum Ärger der Benutzer.

Fehlerhafte Hardware ist verantwortlich

Normalerweise werden Fehler in Computern durch neue Software behoben, doch in diesem Fall ist die Hardware schuld, was eine Reparatur mit Software-Updates sehr erschwert. Daher wäre es wesentlich sinnvoller, den Fehler direkt zu beseitigen, statt an der Software herumzudoktern. Doch leider gibt es noch keine fehlerfreie Hardware, weil die erst entwickelt werden muss. Bis dahin wird man mit geflickten Betriebssystemen vorlieb nehmen müssen, sofern diese überhaupt zur Verfügung gestellt werden. Insbesondere für ältere Geräte mit fester Firmware wird das zum Problem. Betroffen ist der komplette Sektor von Smartphones und Routern, über Unterhaltungselektronik, Industrie-Maschinen und alles was als Internet-of-Things (IoT) bezeichnet wird oder irgendwie am Internet hängt und mit defekten CPUs arbeitet.

Intel-Führung hat bereits ihre Firmenaktien verkauft

Wohl in weiser Voraussicht des kommenden Schadens hat die Führung von Intel bereits Ende letzten Jahres die Aktienanteile an der Firma zu Geld gemacht, um einem drohenden Kursverlust zu entgehen. Der Chef bestreitet natürlich die Vorwürfe. Das ist die hässliche Seite des Problems. Andere Firmen werden möglicherweise auch bald folgen…

Zwischen dem 5. und 10. Januar beabsichtigen Amazon und Microsoft schrittweise ihre großen Cloudserver herunterzufahren, um Notfall-Patches zu installieren, da auch deren riesige Computerfarmen betroffen sind.

Mehr zu diesem Thema:

3 Comments

  • comment-avatar

    P E N N Y W I S E


    Die ganze Panikmache im Fernsehen, Radio und Presse irritiert mich als Computerfachmann!!!

    Seit annähernd seit 20 Jahren soll die Hardware diesbezüglich Fehler aufweisen. Und es ist jetzt erst jetzt herausgefunden worden, das dieser mehr als kritisch sei… !

    KOMISCH, KOMISCH und absolut merkwürdig oder !!!

    Ein Softwareupdate / Patch soll den Fehler beheben? Alles sehr fraglich, BIOS kann mann updaten, aber den Prozessor garantiert nicht!!!

    Leistungseinbußen bis 3% und noch mehr durch Patch möglich? Kann es nicht eher sein, das die mein Update ein Trojaner/Abhörprogramm mitinstallieren, welches dann für Leistungseinbußen sorgt!

    Einige Fachleute sagen: Nur neue Hardware hilft! So ein BULLSHIT !!!

    Kann es nicht sein, das die Computer/ Handymarkt einfach nur angekurbelt werden soll ?

    Also Ich werde das „Sicherheitsupdate“ garantiert nicht installieren!

    Alles ziehmlich vage und hypothetisch !!! Pennywise stuft die Meldung als Bullshit ein.

    Gruß! Pennywise

    • comment-avatar

      anon


      Computer““““fachmann““““ -Ahnung: 0

    • comment-avatar

      von vorgestern


      Ach Irmgard, stell doch bitte das Glas bei Seite…


Leave a comment