Sicherheitslücke: Supergau bei Prozessorherstellern

Nahezu alle Intel-Prozessoren seit 1995 und einige Prozessoren von AMD und ARM beinhalten eine kritische Sicherheitslücke in der Hardware.

Meltdown & Spectre, Intel, Sicherheitslücke
Meltdown & Spectre, Intel, Sicherheitslücke Meltdown & Spectre

Sicherheitsforscher haben kürzlich mehrere schwere Designfehler (Sicherheitslücken) in zahlreichen Computer-Prozessoren (CPUs) entdeckt, die ein Auslesen von geschützten Inhalten durch normale Programme sogar aus der Ferne ermöglichen. Dadurch ist es theoretisch möglich, dass eine Webseite mittels Javascript auf Passwörter und andere sensible Inhalte des Computers eines Besuchers zugreifen kann, die sich gerade in seinem Arbeitsspeicher befinden.

Sicherheitslücke – es traf Intel sehr stark

Besonders schlimm hat es Intel getroffen, da hier gleich zwei verschiedene Hardware-Bugs entdeckt wurden. Die Intel-spezifische Sicherheitslücke wird als Meltdown („Kernschmelze“) bezeichnet und befindet sich in Prozessoren der letzten 20 Jahre bis zurück zum Pentium Pro. Der andere Fehler, der teilweise auch AMD und die Hersteller von ARM-CPUs betrifft, wird Spectre („Gespenst“) genannt. Insbesondere Spectre wird sich nicht vollständig durch Software beheben lassen. Die beiden Namen hat man übrigens wegen der Dramatik der Fehler aus James-Bond-Filmen entnommen.


Betriebssystem-Hersteller arbeiten fieberhaft an einer Lösung

Seit Tagen arbeiten Microsoft und zahlreiche Linux-Entwickler mit Hochdruck an ihren Produkten, um Notfall-Patches zu entwickeln und die Fehler durch neue Software des innersten Bereichs des Betriebssystems – den Kernel – zu beheben. Apple hält sich mit Aussagen etwas bedeckt, doch auch deren CPUs, unter anderem von ARM und Intel, enthalten die Sicherheitslücke.

Die neue Kernel-Software bringt je nach Prozessor auch erhebliche Geschwindigkeitseinbußen von bis zu 30% mit sich. Das gilt insbesondere für Netzwerk- und Datei-intensive Programme, bei denen häufig Funktionen des Betriebssystems aufgerufen werden. Diese sogenannten Kontext-Wechsel zwischen Benutzer-Programmen und Kernel kann man durch die geflickte Software sehr verlangsamen – sehr zum Ärger der Benutzer.

Hardware ist verantwortlich, keine Sicherheitslücke in der Software

Normalerweise werden Fehler in Computern durch neue Software behoben. Doch in diesem Fall ist die Hardware schuld, was eine Reparatur mit Software-Updates sehr erschwert. Daher wäre es wesentlich sinnvoller, den Fehler direkt zu beseitigen, statt an der Software herumzudoktern. Doch leider gibt es noch keine fehlerfreie Hardware. Die müsste man erst extra entwickeln. Bis dahin muss man mit geflickten Betriebssystemen vorlieb nehmen, sofern die Hersteller diese überhaupt zur Verfügung stellen können. Insbesondere für ältere Geräte mit fester Firmware wird das zum Problem. Betroffen ist der komplette Sektor von Smartphones und Routern, über Unterhaltungselektronik, Industrie-Maschinen und alles was als Internet-of-Things (IoT) bezeichnet wird oder irgendwie am Internet hängt und mit defekten CPUs arbeitet.

Intel-Führung hat bereits ihre Firmenaktien verkauft

Wohl in weiser Voraussicht des kommenden Schadens hat die Führung von Intel bereits Ende letzten Jahres die Aktienanteile an der Firma zu Geld gemacht, um einem drohenden Kursverlust zu entgehen. Der Chef bestreitet natürlich die Vorwürfe. Das ist die hässliche Seite des Problems. Andere Firmen werden möglicherweise auch bald folgen…

Zwischen dem 5. und 10. Januar beabsichtigen Amazon und Microsoft schrittweise ihre großen Cloudserver herunterzufahren, um Notfall-Patches gegen die Sicherheitslücke zu installieren, da auch deren riesige Computerfarmen betroffen sind.

Tarnkappe.info