Viele Prozessoren haben Sicherheitslecks

https://blog.wdr.de/digitalistan/viele-prozessoren-haben-sicherheitslecks/

Viele Prozessoren haben Sicherheitslecks

Kommentare zum Artikel: 7

Hackangriffe auf Schwachstellen in Software sind wir gewohnt. Sie bescheren uns nahezu täglich neue Sicherheitswarnungen und Update-Aufforderungen. Doch Sicherheitslücken in Chips? Das ist neu – und klingt böse. Zum einen, weil sich solche Sicherheitslecks kaum oder zumindest nur schwer stopfen lassen. Zum anderen, weil es das Vorstellungsvermögen der meisten User sprengt. Doch es scheint wahr zu sein: Moderne Chips von Intel, AMD und Co. haben ein Sicherheitsleck, über das Hacker vertrauliche Daten wie Passwörter abgreifen könnten.

Prozessoren haben Sicherheitslecks: Betrüger können sich so sensible Daten besorgen

Ein Tempovorteil wird zum Problem

Moderne Chip sind schlau: Um schneller arbeiten zu können, bearbeiten sie mitunter Aufgaben, die ihnen noch gar nicht gestellt wurden, aber mit hoher Wahrscheinlichkeit noch gestellt werden. „Speculative execution“ wird das Verfahren genannt. Dabei werden möglicherweise später benötigte Informationen schon im Voraus abgerufen. Experten von Google haben gezeigt, dass sich Hacker auf diese Weise Passwörter, Krypto-Schlüssel oder andere sensible Informationen besorgen können.

Das alarmiert natürlich – und völlig zu Recht – alle, die sich um IT-Sicherheit kümmern. Denkbar wären Szenarien, wo solche Sicherheitslecks auf Cloud-Servern ausgenutzt werden. Man mag sich gar nicht vorstellen, welche Folgen das haben könnte. Bislang werden diese Lecks offensichtlich noch nicht ausgenutzt. Das mag daran liegen, dass es extrem aufwendig und kompliziert ist, das zu tun. Aber es ist eben nicht unmöglich – und das bedeutet: Es wird der Tag kommen, an dem das Leck genutzt wird.

Tagesschau Beitrag; Rechte: NDR

Tagesschau-Beitrag zum Thema

Es drohen nun zahllose Updates

Intel bestätigt das Problem, AMD bestreitet, dass seine Produkte betroffen sein – und ARM räumt ebenfalls ein, dass einzelne Prozessoren des Herstellers anfällig sein dürften. Offensichtlich arbeitet man mit Hochdruck an einer Lösung. Da das Problem nicht in den verbauten Prozessoren selbst beseitigt werden kann, muss die Software angepasst werden, die darauf läuft – also die Betriebssysteme.

Man muss Google dafür danken, das Problem entdeckt und diskret mit den betroffenen Unternehmen besprochen zu haben. So sieht ein verantwortungsvoller Umgang mit solchen Erkenntnissen aus. Android scheint von dem Problem auch nicht betroffen zu sein. Das werden spannende Wochen werden: Wer erkennt wie schnell die Sicherheitslücken und stopft sie? Für uns Benutzer beginnt eine Phase ständiger Updates, so viel steht fest. Welche Prozessoren betroffen sind, listet die Webseite Meltdowon und Spectre auf.

 

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

7 Kommentare

  1. P. Gedoehns am

    Viel größere Sicherheitslücken sind für mich Facebook inkl. Whatsapp, Amazon inkl. Alexa, Google inkl. aller Funktionen, Yahoo, Windows10, Smartphones inkl. der unzähligen ach so praktischen und bequemen Apps, Smarthome, Smart-Fernseher, elektronische Zahlung und WLAN, insbesondere öffentliche HotSpots.
    Ich glaube eher, dass es sich hier wie bei dem für mich fragwürdigen „Diesel-Skandal“ und dem angeblich von Menschen verursachten, aber natürlichen Klimawandel, um eine geplante Verkaufsstrategie handelt.

  2. Ein interessanter Artikel aus 2013, dem Jahr der Snowden-Leaks, zum Thema:
    web.archive.org/web/20131109071515/http://www.afr.com/p/technology/intel_chips_could_be_nsa_key_to_ymrhS1HS1633gCWKt5tFtI
    Aluhutalarm? Wem kann man überhaupt noch (ver)trauen?
    Zumindest scheint die Quelle seriös zu sein.

  3. Diese Sicherheitslücke gibt es im Prinzip, seit pipelining und branch prediction Einzug in massentaugliche Prozessoren gehalten hat. Allerdings halte ich die Gefährlichkeit im PC-Bereich für übertrieben: Im Grunde geht es darum, daß ein Programm den eigentlich unzugänglichen Speicherbereich eines anderen Programms (Spectre) oder des Systems (Meltdown) lesen kann und mit dessen Daten Unfug treiben kann. Dafür muß natürlich erstmal ein solches Programm auf dem Rechner gelassen worden sein (Trojaner, Virus) – die meisten PC-User benutzen ihren Rechner allein. Das gleiche Problem könnte aber auch ohne Meltdown und Spectre auftreten, wenn der Schädling als Teil des Systems läuft, zB mit Administratorrechten installiert wurde und sich in Systemdateien eingenistet hat.

    Viel spektakulärer auswirken kann sich das auf Servern, auf denen mehrere virtuelle Maschinen von unterschiedlichen Benutzern laufen, oder in Cloud-Umgebungen. Hier besteht tatsächlich die große Gefahr, daß ein Bösewicht die Daten der übrigen VMs oder Cloud-Benutzer, oder gar die des Wirtssystems, ausliest und ausnutzt, oder das gesamte System mit allen VMs zum Absturz bringt.

  4. Wie man liest, soll diese Sicherheitslücke ja schon seit über 20(!) Jahren bestehen und Prozessoren seit Baujahr 1995 betreffen!
    Ob die Schnüffeldienste dieser Welt diese Lücke auch schon kannten und (aus)nutzten? Bin mal gespannt, wie bzw. ob Snowden sich auch dazu äußert.

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage: *

Top