Meltdown und Spectre

Bild: Google

 

Es ist etwas ruhiger geworden um die katastrophalen Sicherheitslücken in den meisten der in letzten rund 20 Jahren verkauften Prozessoren, was aber keinesfalls als Entwarnung missverstanden werden sollte. Wer es noch nicht verinnerlicht hat, dem sei hier nochmals gesagt: Meltdown und Spectre werden erst völlig geschlossen sein, wenn Intel neue Steppings seiner Prozessoren am Markt hat. Das wird vermutlich nicht vor 2020 sein. Die für den Sommer 2018 von Intels CEO Brian Krzanich bei der Verkündung der Quartalsergebnisse für Q4 2017 am 25. Januar medienwirksam angekündigten neuen CPUs mit »eingebautem Schutz gegen Meltdown und Spectre« betreffen lediglich neue Server-CPUs. Die Aussage von Krzanich lässt zudem vermuten, das Intel schon länger Kenntnis von den Lücken hatte, denn Änderungen am Silicon dauern lange. Wörtlich sagte er, ohne weiter auf Details einzugehen:

„We’re working to incorporate silicon-based changes to future products that will directly address the Spectre and Meltdown threats in hardware. And those products will begin appearing later this year.“

Verbesserter Schutz mit 4.15.2 und 4.14.18

Das bringt leider den Milliarden in aller Welt betroffenen Rechnern nichts. Wer in den nächsten zwei Jahren eine Intel-CPU für seinen PC kauft, der kauft mit ziemlicher Sicherheit Meltdown und Spectre mit ein. Auch die Entwickler des Linux-Kernel werden noch lange Zeit damit zubringen, die Patches gegen die Lücken zu verbessern. So wurden am 7. Februar die Linux-Versionen 4.15.2 und 4.14.18 veröffentlicht, die erste Maßnahmen gegen Spectre v1 enthalten. Heises Kernel-Spezi Thorsten Leemhuis geht hier mit seinem aktualisierten Kernel-Log in die Details. So wurde nicht nur initialer Schutz gegen Spectre v1 eingebaut, auch der Schutz vor Spectre v2 wurde verbessert. Meltdown hatten die Kernel-Entwickler schon seit 4.15-rc6  gut abgedeckt, sodass hier nur noch Detailverbesserungen einfließen.

Spectre & Meltdown

Spectre-Meltdown-Checker mit Kernel 4.15.1

Spectre & Meltdown

Spectre-Meltdown-Checker mit Kernel 4.15.2

 

Intels zweiter Versuch

Am 8. Februar gab Intel zudem bekannt, neuen Microcode veröffentlicht zu haben. Dieser ist in stabiler Version derzeit allerdings nur für mobile und stationäre Skylake-CPUs verfügbar. Das Update ist nicht für Broadwell,  Haswell, Kaby Lake, Skylake X, Skylake SP oder Coffee Lake geeignet. Neuer Microcode für diese Plattformen befindet sich laut Intel noch im Beta-Test. Die letzte Version des Microcodes zog Intel kürzlich zurück, da die Chip-Plattformen Broadwell und Haswell mit dieser Microcode-Version ungewollte Abstürze oder Neustarts der Hardware auslösten. Der neu veröffentlichte Microcode soll vor allem die Spectre-Lücke besser abdichten.

Noch keine Angriffe bekannt

Linux-Anwender kommen hierbei noch ganz gut weg, denn der  Microcode wird per Paket von den Distributionen ausgeliefert und jeweils beim Systemstart geladen. Windows-Nutzer müssen dazu ihr BIOS aktualisieren. Zudem dauert es bei Windows länger, bis die Fixes zu den Anwendern gelangen. Intel liefert den Microcode erst an die OEMs aus, die den Code dann an ihre Mainboards anpassen, bevor er den Anwendern dann als BIOS-Update angeboten wird.

Verharmlosen hilft nicht

Vereinzelt werden die Lücken derzeit kleiner geredet als sie sind. Als Aufhänger dient hier die Tatsache, dass »in the wild« noch kein Angriffsszenario umgesetzt werden konnte, das die Lücken ausnutzt. Die 139 Malware-Samples, über die vor einer Woche auch hier berichtet wurde, funktionieren bisher lediglich im Labor. Aber wie gesagt, die Lücken bleiben uns in abgemilderter Form noch lange erhalten und staatliche Hacker und Kriminelle werden nicht so schnell aufgeben.

Allerdings ist der Grad der Sicherheit seit Bekanntwerden der Lücken Anfang Januar für Linux-Anwender stark verbessert worden. Spectre war von Anbeginn an nur von Profis auszunutzen. Heute ist das Dank der unermüdlichen Arbeit der Kernel-Entwickler wesentlich schwerer geworden.

 

Verwandte Themen

Spectre-NG: 8 neue brisante Sicherheitslücken in ...
views 39
Bild: Public Domain Nach Informationen, die c't exklusiv vorliegen, haben Forscher acht weitere Lücken in Intel-CPUs entdeckt, die teils gefährlic...
Intel: Keine neuen Microcodes gegen Spectre v2
views 25
Bild: Public Domain   Intel hat in einem Update seines Papiers Microcode Revision Guidance (PDF) erklärt, die Arbeiten an Microcodes gegen...
Intel CEO gibt Stellungnahme zu Meltdown und Spect...
views 13
Bild: "Intel" von Christian Rasmussen Lizenz: CC By-SA 2.0   Intels CEO Brian Krzanich hat eine schriftliche Stellungnahme zu den Sicherhe...
Intel Microcode-Updates gegen Spectre v2
views 27
  Quelle: Natascha Eibl Lizenz: CC0 1.0   Intel hat weitere Microcode-Updates freigegeben, wie der aktualisierten Microcode Revisi...
MeltdownPrime und SpectrePrime – neue Angrif...
views 12
Foto: Markus Spiske auf Unsplash   Das Ende der Fahnenstange ist noch nicht erreicht bei den Sicherheitslücken in den CPUs fast aller Hers...

Beitrag kommentieren

Alle Kommentare
  • bullgard4

    09.02.2018, 14:43 Uhr

    Danke für den aktuellen Zustandsbericht!

  • chris_blues

    10.02.2018, 01:13 Uhr

    Super Arbeit! Auch ich bedanke mich für die aktuellen News! (weiter so! 🙂

  • tuxnix

    10.02.2018, 16:40 Uhr

    Klasse! Ja überhaupt, dieser Kanal hier hat die besten Artikel überhaupt. Vielen Dank dafür!