Chipdesign ist unsicher

Die Kacke dampft! Intel, AMD und ARM schauen blöd aus der Prozessor-Wäsche

Das „Chip-Theater“ im neuen Jahr nimmt Fahrt auf. Nachdem Sicherheitsexperten eine Sicherheitslücke (Meltdown) nachgewiesen hatten, die auf einem Design-Fehler bei Intel-Prozessoren beruht, machte das Unternehmen Andeutungen. Der Hinweis Intels: CPUs von AMD und ARM könnten auch ausgetrickst werden. Hacker würden so womöglich Zugriff auf sensitive Daten erhalten. Richtig ist: Es gibt noch eine zweite Sicherheitslücke (Spectre), für die es keinen Patch gibt und die vermutlich alle Prozessoren betrifft, die seit 1995 veröffentlicht wurden.

Von   Uhr

Alle Intel-Prozessoren des Typs x86-64 haben einen Designfehler. Der erlaubt es Hackern Daten aus dem flüchtigen Speicher auszulesen. Glück im Unglück: Der Fehler erlaubt es nicht, Daten zu manipulieren. Aber Hacker müssen nicht zwangsläufig physikalischen Zugriff auf die Rechner haben. Sie könnten vielmehr über entsprechende Malware die Daten auslesen.

Intel zieht AMD und ARM mit ins Boot

So weit, so schlecht. Doch im gleichen Atemzug, in dem Intel versucht Schadensbegrenzung zu betreiben, weist der Chip-Hersteller mit dem Finger auf die Konkurrenz. Intels Hinweis geht in die Richtung, dass auch Prozessoren von AMD und ARM betroffen seien. Damit wären selbst Spielekonsolen oder Smartphones und Tablets mögliches Ziel von Angriffen.

Intel von Veröffentlichung überrumpelt

Der US-Halbleiter-Konzern wurde von der Veröffentlichung über die Meltdown-Sicherheitslücke überrumpelt. Das Unternehmen wollte erst kommende Woche eine detaillierte Meldung zu dem Thema veröffentlichen. Dies sollte geschehen, nachdem für die meisten Betriebssysteme ein Patch zur Verfügung stehen würde. Windows-Nutzer dürften am kommenden Dienstag ein Update erhalten. Intel wollte solange mit der Veröffentlichung warten.

Hersteller verklärt die Realität

Vermutlich hat die Leitung des Unternehmens die Marketing- und Rechtsabteilung gebeten, Schadensbegrenzung zu betreiben. Doch dass man mit seinem Statement unbedingt die Realität verklären möchte, dürfte nicht für ein besonders gutes Gefühl bei Konsumenten sorgen. Vor so einem Hintergrund zu schreiben, dass die eigenen Produkte zu „den sichersten in der Welt“ gehören, wirkt wie blanker Hohn.

Meltdown und Spectre: Auch ARM und AMD betroffen

Hatte Intel aber mit dem Vorwurf an die Konkurrenz vielleicht sogar Recht? IT-Experten geben dem US-Konzern bei genauerem Hinsehen nicht Recht. Im Detail ist es aber so, dass ARM- und AMD-CPUs von einem weiteren Fehler betroffen sind, an dem aber Intels Prozessoren ebenfalls kranken.

Die beiden Sicherheitslücken wurden deshalb unterschiedlich benannt: Meltdown und Spectre. Die Experten gehen sogar soweit zu behaupten, dass beinahe jedes System, das seit 1995 veröffentlicht wurde, Opfer von Angriffen werden kann.

Systeme seit 1995 betroffen

Die IT-Experten stellen klar, dass nur Intels Prozessoren von der Meltdown-Lücke betroffen sind. Bei dieser könnten Hacker den Speicher der Geräte auslesen. Für sie gibt es bereits ein Update für Mac- und Linux-Nutzer.

Daneben gibt es aber noch das Problem namens „Spectre“, das offenbar noch dramatischer ausfällt. Denn Hacker könnten durch Fehler im Prozessordesign die Barrieren zwischen Apps durchbrechen. Einfach ausgedrückt: Der Schutzmechanismus namens Sandbox wäre theoretisch unwirksam.

Vor Spectre kann man sich nicht schützen

Die tragischste Erkenntnis: Für die Spectre-Sicherheitslücke wird es keinen umfassenden Schutz geben. Einfach formuliert: Per Software werden Anbieter von Betriebssystemen nur die Symptome bekämpfen können, nicht aber die Ursache. Man kann es Hackern nur schwerer machen, die Lücke auszunutzen, sie aber nicht davon abhalten.

Die IT-Experten nämlich haben mit Spectre einen Fehler gefunden, der nur abgestellt werden können soll, wenn das Prozessordesign tatsächlich grundlegend überarbeitet würde.

AMD und ARM veröffentlichen Statements

Ist das Kind erst einmal in den Brunnen gefallen, wird es schwer genug, es dort wieder heraus zu ziehen. AMD und ARM haben mittlerweile eigene Statements veröffentlicht. Der Prozessorhersteller gibt nur halbherzig zu, dass man auch betroffen ist. Man behauptet: Das Risiko für den Nutzer sei „nahe Null“.

ARM hingegen gibt eine Beteiligung zu. Manche seiner Prozessoren (Cortex-A) seien von der Lücke betroffen.

Diskutiere mit!

Hier kannst du den Artikel "Die Kacke dampft! Intel, AMD und ARM schauen blöd aus der Prozessor-Wäsche" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Mal wieder eine Warnung an alle, die sich immer für 100% abgesichert halten

Ja Moin, eigentlich kann man jetzt den ganzen aktuellen IT-Kram Zuhause genauso gut verschrotten! LOL
Vielleicht kann man seine Geräte ja auch zurückgeben? :-)

Also schon seit dem ersten Pentium Pro (P6)
Einführungstermin: 1. November 1995
Echt krass und damals dachte ich noch der Rechenfehler im Pentium wäre das schlimmste. Ich möchte gerne für alle Prozessoeren die ich hatte und es sind einige mindestens 50 Prozent vom Geld zurückhaben.

War nicht schon immer ein Warnaufkleber auf den meisten Rechnern? Da stand doch "Intel inside". Wem das nicht Warnung genug ist.....
Ich wünsche allen Hackern viel Spass beim auslesen meines flüchtigen Speichers, langweilt euch zu Tode!

Bekommen wir dann alle eine Entschädigung! Und ich freu mich schon drauf, dass die Macs noch langsamer werden...

Welcher Speicher ist das denn? Festplatte, RAM oder Cache? Oder ein anderer? Welche Daten können denn genau ausgelesen werden? Emails oder Temperatur des Prozessors oder Lieblingsfarbe? Kommt die Maleware auch ohne mein Zutun auf den Mac? Gibt es die schon?
Oder soll ich einfach pauschal Panik bekommen?

Sie könnten sich einige Fragen bereits selbst beantworten, aber wahrscheinlich haben Sie sich durch Ihren Zynismus davon ablenken lassen. Es gibt solche Leute.

Festplatten gelten beispielsweise nicht als flüchtiger Speicher. Entsprechend ist Ihre Frage ungenau. Gemeint ist der Arbeitsspeicher. Im Text ist ein Link zu einer Webseite enthalten, in der zwei wissenschaftliche Papiere über die Sicherheitslücken zu finden sind.

Es können bei Meltdown Passwörter, Logins, Tastatureingaben, ALLES, was von Applikationen im flüchtigen Speicher abgelegt wird, ausgelesen werden.

Im Fall von Spectre wird die Sandbox unnütz und Software A kann Software B kapern und hätte entsprechend Zugriff auf alle Informationen der Software.

Die Sicherheitslücken hätte man nicht entdeckt, wenn man nicht auch wüsste, wie man sie umgehen kann. Was Hacker Malware nennen ist bei IT-Spezialisten ein Proof of Concept.

Panik werden Sie noch bekommen, weil auch Amazon, Google, Hetzner und wie sie alle heißen jetzt Updates einspielen. Wenn nicht in ein paar Jahren die ganze Infrastruktur ausgetauscht wird, weil irgendjemand denkt, dass es zu viel Geld kostet, wird das noch böse enden.

noch einen G3, G4 oder G5 betreibt. Für das 'surfen' sind die allemal noch gut.
Think different :-)

Das mit dem intel Desaster ist sehr wahrscheinlich nicht die einzige fette Lücke welche auch die Blockchains a la Bitcoin etc. löchrig macht wie Schweizer Käse.

Natürlich werden jetzt "nur" die letzten 5 Jahre alten CPUs gepatscht. Man will ja schließlich auch wieder neue Prozessoren verkaufen die "vermeintlich" sicher sind.

So kann man auch Verkäufe ankurbeln in Zeiten wo kaum noch jemand PCs kauft. Aber nur ganz zufällig. Ein starkes Argument haben die Verkäufer jetzt mit Sicherheit und Otto normal schluckt es. Damit will ich die Sicherheitslücken nicht verharmlosen oder relativieren.

In all den Jahren in denen ich mich mit iT beschäftige gab es mit Sicherheit schon mehr Sicherheitslücken wie es unsichere Software gibt. Dazu zähle ich vor allem das OS, die größte Sicherheitslücke überhaupt. Wenn man jetzt noch zusätzliche Sicherheitssoftware einsetzt die auch noch Sicherheitslücken enthält braucht man kein Spectre mehr. Da wäre noch der Browser der eigentlich alles rein lässt was nicht explizit gesperrt wurde.

Ich hatte schon so viel Malware auf meinen Rechnern und wurde auch schon betrogen, auch ganz ohne Spectre. Ich sehe das ganze eher entspannt, wenn jemand an meine Daten will dann macht er es auch ohne Spectre und Meltdown.

Alles Panikmache...

Die Kommentare für diesen Artikel sind geschlossen.