Der neueste Stand bei Spectre & Meltdown

Meltdown und Spectre
Bild: Google

 

Es ist etwas ruhiger geworden um die katastrophalen Sicherheitslücken in den meisten der in letzten rund 20 Jahren verkauften Prozessoren, was aber keinesfalls als Entwarnung missverstanden werden sollte. Wer es noch nicht verinnerlicht hat, dem sei hier nochmals gesagt: Meltdown und Spectre werden erst völlig geschlossen sein, wenn Intel neue Steppings seiner Prozessoren am Markt hat. Das wird vermutlich nicht vor 2020 sein. Die für den Sommer 2018 von Intels CEO Brian Krzanich bei der Verkündung der Quartalsergebnisse für Q4 2017 am 25. Januar medienwirksam angekündigten neuen CPUs mit »eingebautem Schutz gegen Meltdown und Spectre« betreffen lediglich neue Server-CPUs. Die Aussage von Krzanich lässt zudem vermuten, das Intel schon länger Kenntnis von den Lücken hatte, denn Änderungen am Silicon dauern lange. Wörtlich sagte er, ohne weiter auf Details einzugehen:

“We’re working to incorporate silicon-based changes to future products that will directly address the Spectre and Meltdown threats in hardware. And those products will begin appearing later this year.”

Verbesserter Schutz mit 4.15.2 und 4.14.18

Das bringt leider den Milliarden in aller Welt betroffenen Rechnern nichts. Wer in den nächsten zwei Jahren eine Intel-CPU für seinen PC kauft, der kauft mit ziemlicher Sicherheit Meltdown und Spectre mit ein. Auch die Entwickler des Linux-Kernel werden noch lange Zeit damit zubringen, die Patches gegen die Lücken zu verbessern. So wurden am 7. Februar die Linux-Versionen 4.15.2 und 4.14.18 veröffentlicht, die erste Maßnahmen gegen Spectre v1 enthalten. Heises Kernel-Spezi Thorsten Leemhuis geht hier mit seinem aktualisierten Kernel-Log in die Details. So wurde nicht nur initialer Schutz gegen Spectre v1 eingebaut, auch der Schutz vor Spectre v2 wurde verbessert. Meltdown hatten die Kernel-Entwickler schon seit 4.15-rc6  gut abgedeckt, sodass hier nur noch Detailverbesserungen einfließen.

Spectre & Meltdown
Spectre-Meltdown-Checker mit Kernel 4.15.1
Spectre & Meltdown
Spectre-Meltdown-Checker mit Kernel 4.15.2

 

Intels zweiter Versuch

Am 8. Februar gab Intel zudem bekannt, neuen Microcode veröffentlicht zu haben. Dieser ist in stabiler Version derzeit allerdings nur für mobile und stationäre Skylake-CPUs verfügbar. Das Update ist nicht für Broadwell,  Haswell, Kaby Lake, Skylake X, Skylake SP oder Coffee Lake geeignet. Neuer Microcode für diese Plattformen befindet sich laut Intel noch im Beta-Test. Die letzte Version des Microcodes zog Intel kürzlich zurück, da die Chip-Plattformen Broadwell und Haswell mit dieser Microcode-Version ungewollte Abstürze oder Neustarts der Hardware auslösten. Der neu veröffentlichte Microcode soll vor allem die Spectre-Lücke besser abdichten.

Noch keine Angriffe bekannt

Linux-Anwender kommen hierbei noch ganz gut weg, denn der  Microcode wird per Paket von den Distributionen ausgeliefert und jeweils beim Systemstart geladen. Windows-Nutzer müssen dazu ihr BIOS aktualisieren. Zudem dauert es bei Windows länger, bis die Fixes zu den Anwendern gelangen. Intel liefert den Microcode erst an die OEMs aus, die den Code dann an ihre Mainboards anpassen, bevor er den Anwendern dann als BIOS-Update angeboten wird.

Verharmlosen hilft nicht

Vereinzelt werden die Lücken derzeit kleiner geredet als sie sind. Als Aufhänger dient hier die Tatsache, dass »in the wild« noch kein Angriffsszenario umgesetzt werden konnte, das die Lücken ausnutzt. Die 139 Malware-Samples, über die vor einer Woche auch hier berichtet wurde, funktionieren bisher lediglich im Labor. Aber wie gesagt, die Lücken bleiben uns in abgemilderter Form noch lange erhalten und staatliche Hacker und Kriminelle werden nicht so schnell aufgeben.

Allerdings ist der Grad der Sicherheit seit Bekanntwerden der Lücken Anfang Januar für Linux-Anwender stark verbessert worden. Spectre war von Anbeginn an nur von Profis auszunutzen. Heute ist das Dank der unermüdlichen Arbeit der Kernel-Entwickler wesentlich schwerer geworden.

 

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
3 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments