Meltdown und Spectre – oder heute bestellen wir neue Hardware

Was sich anhört, wie der Titel des neuen James-Bond-Krachers, ist in Wirklichkeit eine Sicherheitslücke ungeahnten Ausmaßes.

Meltdown und SpectreWorum geht es?

Moderne Prozessoren verfügen über eine Technik, bei der die CPU rät, welche Daten als nächstes benötigt werden. Diese Daten lädt der Prozessor vorausschauend in seine Register (Zwischenspeicher), um sie bei Bedarf sehr schnell abarbeiten zu können. Neben einer höheren Anzahl an Transistoren, einem höheren Takt und mehreren Rechenkernen, verdanken wir dieser Technik, dass heutige Prozessoren deutlich fixer, als noch vor 10 Jahren.

Die beiden Sicherheitslücken erlauben es nun:

  1. Die Daten in den Registern auszulesen, denn diese liegen unverschlüsselt im Prozessor
  2. Die Daten in den Registern zu manipulieren.

Somit kann ein Virus, der Meltdown bzw. Spectre nutzt, problemlos Passwörter auslesen oder Online-Banking-Daten zu Gunsten seiner Erschaffer manipulieren.

Wann geht es los?

Im Internet existieren seit einigen Wochen sogenannte Working-Samples. Damit lassen sich Viren für Meltdown und Spectre kreieren. Da täglich tausendfach neue Malware erzeugt wird, werden entsprechende Viren bereits im Umlauf sein.

Welche Prozessoren sind betroffen?

Hier ist es wirklich schwierig, den Überblick zu behalten. Vielfach widersprechen sich die Aussagen der Prozessorhersteller. Betroffen sind auf jeden Fall CPUs aller Hersteller, wie AMD, Intel oder auch Mobilprozessoren von ARM. Somit stellt die folgende Aufstellung nur eine Momentaufnahme dar (Stand Februar 2018):

Prozessor von AMD
AMDs Prozessoren sind von Meltdown nicht betroffen
Bild: FreeImages.com (Vicu)

AMD

  • Alle Ryzen, FX, Athlon X4 sowie die APUs A4, A6, A8 und A10.
    Hinweis: AMD-Prozessoren sind von Meltdown nicht betroffen.

ARM

  • Cortex-R7, Cortex-R8, Cortex-A8, Cortex-A9, Cortex-A15, Cortex-A15, Cortex-A17, Cortex-A57, Cortex-A72, Cortex-A73 und Cortex-A75

Intel

  • Alle Intel Core i3, i5, i7 Prozessoren sowie sämtliche Core2Duo, die nach 2008 produziert wurden
  • Intel Xeon 3400, 3600, 5500, 5600, 6500 und 7500 sowie die Xeon-Familien E3 (v1 bis v6), E5 (v1 bis v4) und E7 (v1 bis v4)
    Hinweis: Intel Core i-Prozessoren mit einer Typennummer größer 6000 sind für Meltdown nicht empfänglich.

Wie kann man sich schützen?

Es gibt zum einen Betriebssystem-Updates, die man einspielen kann. Diese Updates schützen leider nicht vor allen Varianten der Sicherheitslücken und bringen auch noch zahlreiche Probleme mit sich. So kommt es bei älteren Windows-Betriebssystemen, wie z.B. Windows 7, 8 und 8.1 zu einer deutlichen Verlangsamung aller Abläufe. Unter Windows Server 2008R2 sowie 2012R2 sind diese Performance-Probleme derart drastisch, dass ein vernünftiges Arbeiten mit den Updates kaum noch möglich ist. Windows 10 und Server 2016 zeigen dieses Phänomen nicht so ausgeprägt. Hier scheint es, dass Microsoft die Wartungen an Windows 7, 8 und Server 2008R2/2012R2 deutlich vernachlässigt.

Microsoft stellt auf dieser Webseite eine Übersicht über alle notwendigen Updates bereit.

Weiterhin nimmt Microsoft hier zu den Performance-Problemen Stellung.

Für Linux gestaltet sich die Update-Prozedur deutlich einfacher (zum Glück!). Die neuen Kernel 4.15.2 und 4.14.18 schließen die wichtigsten Lücken zu Spectre. Gegen Meltdown helfen die schon seit Anfang des Jahres veröffentlichten Kernelversionen 4.15-rc6 und 4.14.11. Weiterhin sind Performance-Einbrüche unter Linux so gering, dass wir keinerlei Auswirkungen spüren können.

Wie bereits erwähnt, schützen diese Updates nicht vor allen Varianten der Bedrohung. Zusätzlich wäre dazu noch eine Aktualisierung der Prozessor-Firmware (der sog. Mircocode) notwendig. Diese bekommt man jedoch nicht einfach von AMD oder Intel. Verantwortlich ist hierfür der Hersteller des Mainboards. Dieser muss die neue Firmware über ein BIOS-Update bereitstellen. Doch genau dieses BIOS-Update gibt es kaum für ältere Systeme. Bei „älteren Systemen“ reden wir jedoch über Computer und Notebooks, die 2-3 Jahre alt sind.

Natürlich freut das den Vertriebler: Denn in den vergangenen Jahren gab es kaum Anreize, neue PCs, Server und Notebooks zu kaufen. Bei den Prozessoren waren die Leistungssteigerungen gering und kaum spürbar. Sieht man vom geringen Einsparpotential beim Energieverbrauch ab, so wurden Systeme in den letzten Jahren lieber repariert bzw. aufgerüstet, anstatt diese komplett zu erneuern.

Nur den Prozessor austauschen funktioniert natürlich auch nicht, denn jeder neue Chip verlangt nach einem anderen Sockel und modernerem Arbeitsspeicher.

Doch wie die obige Aufstellung zeigt, sind nicht nur ältere Prozessoren betroffen, sondern z.B. auch AMDs neuer Super-Chip, der Ryzen!

Gibt es nun eine konkrete Handlungsempfehlungen?

  1. Bis nun endgültig klar ist, ob das entsprechende Mainboard ein BIOS-Update erhält, nutzen Sie Ihre vorhandenen Rechner weiter.
  2. Verzichten Sie auf die Sicherheitsupdates KB4056568 für den Internet Explorer 11 und KB4056894 für Windows Server. Diese beiden Updates führen so extremen Performance-Problemen!
  3. Prüfen Sie die Updates für Windows-Clients auf Verträglichkeit und rollen Sie diese erst aus, wenn Sie Probleme damit ausschließen können.
  4. Für Linux: Installieren Sie unbedingt die neuen Linux-Kernel.
  5. Und dies ist der wichtigste Punkt: Sorgen Sie für einen anständigen Virenschutz auf allen PCs und Servern. Dies schließt kostenlose Anti-Viren-Produkte absolut aus. Ein gutes Anti-Viren-Programm kann über seine Heuristik verdächtige Prozesse stoppen. Weiterhin ist ein Einsatz eines Skriptblockers für den Browser sehr empfehlenswert.

Auf lange Sicht müssen Sie den Austausch der betroffenen Systeme in Erwägung ziehen. Dies gilt vor allem für Windows. Denn selbst der beste Virenschutz kann Sie nicht bei täglich tausendfach neuer Malware zuverlässig schützen.

Ebenso stellt der Wechsel zum Betriebssystem Linux eine mögliche Alternative für ältere Systeme dar, da es unter Linux kaum Performance-Probleme gibt und die neuen Kernel teilweise sogar ohne Firmware-Update sehr gut schützen.

Ersten Kommentar schreiben

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*