Und weiter geht's in der unsäglichen Geschichte um Designfehler in Intel-Prozessoren, die Anfang des Jahres bereits für die Sicherheitslücken Meltdown und Spectre sorgten. Wie Intel, Google und Microsoft in der vergangenen Nacht bekanntgaben, ist nun eine neue Variante von Spectre aufgetaucht, die erneut Millionen von Computern und mobilen Geräten einer Reihe von Herstellern betrifft. Hintergrund der neuen Spectre Variant 4 ist erneut der sogenannte "Speculative Store Bypass", über den der Prozessor Vorabannahmen trifft, um Berechnungen zu beschleunigen. Angreifer können diesen Vorgang nutzen, um Schadcode einzuschleusen und auf sensible Daten zuzugreifen.
Intel stuft die Gefahr, die von dieser neuen Variante ausgeht als moderat ein, da viele der Angriffsszenarien bereits durch verschiedene Updates geschlossen seit Beginn des Jahres geschlossen wurden. Dennoch kündigte man ein weiteres Update an, welches auch Variant 4 endgültig unschädlich machen soll. Auch Apple Macs und iOS-Geräte sind grundsätzlich von dem Problem betroffen. Apple war in der Vergangenheit allerdings sehr schnell beim Schließen der Lücken. Zur aktuell entdeckten Sicherheitslücke hat man sich bislang noch nicht geäußert.
Künftige Intel-Chips werden von Meltdown und Spectre übrigens nicht mehr betroffen sein, da man das dafür verantswrtliche Design verändern wird. Bereits die nächste Generation seiner Xeon-Prozessoren (Cascade Lake) und die 8. Generation der Intel Core-Prozessoren sind auf diese Weise dann nicht mehr angreifbar.
Vor allem Intel stand Anfang des Jahres in der Kritik, als bekannt wurde, dass so gut wie alle Prozessoren auf dem Markt gegen zwei Angriffe anfällig sind, die unter den Namen Spectre und Meltdown bekanntwurden. Nun hat Intel CEO Brian Krzanich angekündigt, dass die nächste Generation der Xeon Scalable (Cascade Lake) Prozessoren und der Intel Core Prozessoren der 8. Generation über eine neudesignte Komponenten-Infrastruktur verfügen werden, die sie gegen Spectre und Meltdown immun machen sollen. Während die Spectre Variante 1 weiterhin mittels Software-Updates bekämpft werden soll, wird sich das neue Hardware-Design um den Schutz gegen die Spectre Variante 2 und Meltdown kümmern.
Intels neue Xeon Scalable Prozessoren und die 8. Generation der Intel Core Prozessoren sollen in der zweiten Jahreshälfte an die verschiedenen Computerhersteller ausgeliefert werden. Inzwischen hat Intel zudem bekanntgegeben, dass inzwischen 100% der in den vergangenen fünf Jahren erschienenen Intel-Prozessoren mit Software-Updates gegen die beiden Angriffsvektoren versorgt wurden, Nutzer aber auch weiterhin darauf achten sollen, ihre Systeme aktuell zu halten.
Der Anfang des Jahres war lange geprägt von den Meldungen zu den auf die Namen Meltdown und Spectre hörenden Sicherheitslücken in vielen Prozessoren, von denen vor allem Intel, aber auch AMD und ARM betroffen waren. Nun kommt heraus, dass die Chip-Hersteller offensichtlich schon deutlich länger von der potenziellen Gefahr wusste, als dies zunächst bekannt war. Dies haben verschiedene Technologie-Unternehmen, zu denen unter anderem auch Apple und Google zählen, in einem Brief an das House Energy and Commerce Committee der USA bekanntgemacht (via Reuters). Demnach haben es Intel, AMD und ARM es trotz des Wissens um die Sicherheitslücken vermieden, die US-Behörden über die daraus resultierenden Gefahren zu informieren.
So gibt Alphabet, der Google-Mutterkonzern an, dass das hauseigene Project Zero die drei großen Chip-Hersteller bereits im Juni vergangenen Jahres über die Angriffsvektoren informiert und ihnen die üblichen 90 Tage Zeit gegeben habe, sie zu beheben, ehe man damit an die Öffentlichkeit geht. Intel informierte das US Computer Emergency Readiness Team (US-CERT) jedoch erst am 03. Januar über Meltdown und Spectre, nachdem entsprechende Berichte dazu in der Fachpresse veröffentlicht wurden. Nach eigener Aussage habe man sich nicht eher dazu geäußert, das es keine bekannten Hacker-Angriffe auf die Sicherheitslücken gab. Eine sicherlich mehr als schwache Begründung.
Inzwischen dürften die meisten Systeme gegen Meltdown und Spectre immunisiert sein. Apple hat sich des Themas beispielsweise mit iOS 11.2, macOS 10.13.2 und tvOS 11.2, sowie verschiedenen weiteren kleinen Updates angenommen. Die zunächst befürchteten negativen Auswirkungen auf die Performance der gefixten Systeme haben sich in der täglichen Arbeit so gut wie gar nicht bewahrheitet.
Ähnlich schlecht wie für Apple das vergangene Jahr geendet ist, ist es wohl für Intel gestartet. Grund sind die beiden Prozessor-Schwachstellen, die von Meltdown und Spectre ausgenutzt werden können. Zwar waren die großen Hersteller, darunter Apple, durchaus schnell im Patchen der Lücken, allerdings könnten diese Patches auch zu Problemen führen, wie Intel selbst nun einräumen musste. So können die Patches auf manchen Systemen zu unerwarteten Neustarts und unvorhersehbarem Systemverhalten führen. Aus diesem Grunde rate man aktuell von einer Installation ab. Aktuell teste man bereits ein neues Update, welches man den Nutzern schnellstmöglich zur Verfügung stellen möchte.
Nach aktuellen Kenntnisstand sind Macs nicht betroffen, wohl aber verschiedene Prozessoren unter Windows und Linux. Intel hat bereits eine Liste der betroffenen Prozessoren veröffentlicht, die fortlaufend gepflegt und mit den neuesten Erkenntnissen ergänzt wird.
Der Prozessor-Bug, der über die beiden Angriffsmethoden "Meltdown" und "Spectre" ausgenutzt werden kann, war eines der großen Themen der ersten Tage dieses Jahres. Nun hat sich Intel CEO Brian Krzanich in einem offenen Brief an Nutzer und Kunden gewandt und dabei betont, dass sein Unternehmen weiter alles daran setzen werde, die Schwachstelle nachhaltig zu beheben und dass die Sicherheit weiterhin oberste Priorität für Intel habe. Bis zum 15. Januar sollen mindestens 90% aller Rechner die in den vergangenen fünf Jahren mit einem Intel-Prozessor auf den Markt gekommen sind mit Updates versorgt sein, die die Schwachstelle beheben.
Apple-Nutzer, die auf dem aktuellsten Stand von macOS, iOS und Safari sind, haben diese Updates bereits jetzt erhalten. Erst Anfang der Woche wurden weitere Updates von Apple veröffentlicht, die weitere Sicherheitsmaßnahmen implementieren.
Intel verspricht für die Zukunft eine größere Transparenz bei der Kommunikation, unter anderem auch in Bezug auf die Auswirkungen auf die Performance der gepatchten Rechner. Laut Apple sind diese Auswirkungen auf die eigenen Systeme minimal. Durch künftige Updates sollen sie sogar noch weiter verringert werden.
Wie in der vergangenen Woche angekündigt, hat Apple heute die mit der Veröffentlichung von iOS 11.2 und macOS High Sierra 10.13.2 bereits gestopften Prozessor-Sicherheitslücken "Meltdown" und "Spectre" weiter geschlossen. iOS 11.2.2 und das ergänzende Update für macOS High Sierra 10.13.2 kümmern sich dabei vor allem um das von "Spectre" betroffene Safari und die zugrundeliegende WebKit-Engine. Hierzu steht inzwischen zudem auch das Update auf
Safari 11.0.2 für OS X El Capitan 10.11.6 und macOS Sierra 10.12.6 zum Download bereit. Ähnlich wie bei den anderen Updates, die sich um die Verbesserung der Sicherheit kümmern, ist auch die Installation dieses Updates dringend empfohlen.
Neben iOS 11.2.2 hat Apple am heutigen Abend auch ein ergänzendes Update zu macOS High Sierra 10.13.2 veröffentlicht, welches sich ebenso wie das iOS-Update um weitere Fixes für die beiden Prozessor-Bugs "Meltdown" und "Spectre" kümmert. Während Apple bereits bekanntgegeben hatte, dass man sich um die Behebung von "Meltdown" bereits mit macOS High Sierra 10.13.2 gekümmert habe kündigte man gleichzeitig weitere Korrekturen an, die den Mac dann unter anderem auch gegen "Spectre" immun machen sollte. Die Aktualisierung kann ab sofort aus dem Update-Bereich des Mac AppStore geladen werden. Wie bereits am Namen zu erkennen, ist ein installiertes macOS 10.13.2 die Voraussetzung für die Installation.
Nach den ganzen in den vergangenen Tagen aufgekommenen Meldungen zu der Prozessor-Schwachstelle, die zu einem großen Sicherheitsproblem werden könnte, hat sich nun auch Apple erstmals öffentlich geäußert. Cupertino bestätigt dabei, dass sämtliche Macs, iPhones, iPads und Apple TVs von den als "Meltdown" und "Spectre" bekanntgewordenen Problemen betroffen sind. Erste Gegenmaßnahmen gegen "Meltdown" wurden bereits in den Updates auf iOS 11.2, macOS 10.13.2 und tvOS 11.2 ergriffen. Weitere Maßnahmen gegen "Spectre" sollen in Kürze folgen.
Apple betont dabei, dass die beiden Sicherheitslücken momentan noch theoretischer Natur sind und bislang keine tatsächlich erfolgreichen Angriffe über diese Lücken bekannt seien. In einem Statement, welches man in Form eines (momentan nur in Englisch verfügbaren) Support-Dokument veröffentlicht hat, schreibt Apple:
Security researchers have recently uncovered security issues known by two names, Meltdown and Spectre. These issues apply to all modern processors and affect nearly all computing devices and operating systems.
All Mac systems and iOS devices are affected, but there are no known exploits impacting customers at this time. Since exploiting many of these issues requires a malicious app to be loaded on your Mac or iOS device, we recommend downloading software only from trusted sources such as the App Store.
Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. Apple Watch is not affected by Meltdown. In the coming days we plan to release mitigations in Safari to help defend against Spectre. We continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.
Während die aktuellsten Apple-Updates bereits erste Gegenmaßnahmen eingeleitet haben ist unklar, wie es um ältere Betriebssystemversionen steht. Gemeinsam mit macOS 10.13.2 hatte Apple auch Security Updates für macOS Sierra und macOS El Capitan veröffentlicht, so dass hier möglicherweise ebenfalls bereits eingegriffen wurde. Für iOS stehen solche Updates allerdings definitiv aus. Es gilt also noch einmal die Wichtigkeit zu betonen, auf die neuesten OS-Versionen zu aktualisieren und auch sämtliche erschienenen Sicherheitsupdates zu installieren. Zudem besteht natürlich der allgemeine Hinweis, merkwürdige Links, Webseiten und Downloads zu meiden.
Alles was man über "Meltdown" und "Spectre" in Sachen Apple wissen muss, kann dem angesprochenen Support-Dokument entnommen werden. Hier äußert sich Apple auch zu den erwarteten Performance-Einbußen durch Softwareupdates zur Behebung der Sicherheitslücke. Demnach seien keine messbaren Rückgänge in den gängigen Performancetests festgestellt worden.
Apple released mitigations for Meltdown in iOS 11.2, macOS 10.13.2, and tvOS 11.2. watchOS did not require mitigation. Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6.
Auch der offenbar am heftigsten betroffene Prozessor-Hersteller Intel hat sich inzwischen noch einmal zu dem entdeckten Problem geäußert. Demnach sind Softwareupdates für die eigenen Chips auf dem Weg, die diese vollständig gegenüber "Meltdown" und "Spectre" immunisieren werden. Dabei habe man sich zunächst vor allem auf Chips konzentriert, die in den vergangenen fünf Jahren auf den Markt gekommen sind. Bis Ende kommender Woche sollen 90% dieser Prozessoren gepatcht sein.