Das können Betroffene tun Sicherheitslücke trifft fast alle Computer weltweit
Sicherheitsprobleme bei Intel- und AMD-Prozessoren zwingen Entwickler zu umfangreichen Sicherheits-Updates bei den Betriebssystemen Windows, macOS und Linux. Doch der Bugfix könnte Computer, Smartphones und Tablets ausbremsen.
In den Hauptprozessoren, die in Milliarden Computern, Smartphones und Tablets weltweit stecken, ist eine Sicherheitslücke entdeckt worden, durch die Angreifer an vertrauliche Daten kommen könnten. Forscher demonstrierten, dass es möglich sei, sich Zugang zu Passwörtern, Verschlüsselungsdaten oder Informationen aus Programmen zu verschaffen.
Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden. Diese als "speculative execution" bekannte Technik wird seit vielen Jahren von Anbietern eingesetzt. Damit dürfte eine große Menge von Computergeräten bedroht sein.
Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei, erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen können, denn die Attacken hinterließen keine Spuren in traditionellen Log-Dateien.
Eine Live-Demo zeigt, wie Passwörter über die Schwachstelle "Meltdown" ausgelesen werden können:
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Mega-Update wird vorbereitet
Windows- und Linux-Programmierer arbeiteten in den vergangenen Wochen mit Hochdruck an einem Mega-Sicherheitsupdate, das die Lücke stopfen, aber die Leistung von Millionen PCs ausbremsen könnte. Das berichtete unter anderem "The Register". Ein Download des noch nicht vorhandenen Updates ist unausweichlich. Denn so soll verhindert werden, dass über die Ausnutzung der Sicherheitslücke Schaden angerichtet werden kann.
Der US-Technologieriese Microsoft, dessen Betriebssystem Windows weltweit auf PCs zum Einsatz kommt, kündigte am Mittwoch an, noch am selben Tag ein Sicherheitsupdate zu veröffentlichen, "um Windows-Kunden gegen Verwundbarkeit zu schützen". Zugleich erklärte Microsoft, das Unternehmen habe keine Informationen, dass bislang Daten beeinträchtigt worden seien. Apple hat bis jetzt nicht erklärt, welche seiner Produkte betroffen sind.
Die Schwachstelle wird durch einen Fehler in allen Prozessoren verursacht, die in den letzten zehn Jahren in Computern verbaut wurden. Wird sie nicht geschlossen, könnten Schadprogramme auf Speicherbereiche des Prozessors zugreifen, in denen zum Beispiel Passwörter, Login-Daten und andere Daten abgelegt werden.
Fünf bis 30 Prozent langsamer
Intel kann das Problem nicht selbst beheben. Nur ein aufwendiges Update des Betriebssystems, zum Beispiel Windows, kann die Lücke schließen.
Experten warnten, dass bald Millionen PC-Nutzer mit einem deutlich langsameren Computer leben müssten. Denn das Update werde die Leistung der Computer mit einem Intel-Prozessor negativ beeinflussen.
Je nach Anwendung und Prozessor könnten die Geräte um bis zu 30 Prozent langsamer werden. Andere Experten sprechen von nur fünf Prozent Geschwindigkeitseinbußen. Der Grund: Die neuen Sicherheitsfunktionen zwingen den Chip zu zusätzlichen Arbeitsschritten. Diese sollen verhindern, dass fremde Programme auf die gesperrten Speicherbereiche zugreifen. Andere Experten erklären, die 30 Prozent seien eher als eine theoretische Obergrenze zu werten. Die typischen Einbußen liegen demnach eher im Bereich um fünf Prozent.
Auch AMD-Chips sind betroffen
Den Berichten zufolge sind fast alle Intel-Prozessoren betroffen, die im letzten Jahrzehnt ausgeliefert wurden. Da der Chip-Hersteller zusammen mit der Firma AMD zu den weltweiten Marktführern zählt, dürften auch sehr viele bei den Deutschen beliebte Computer- und Laptop-Modelle betroffen sein.
Auch AMD-Prozessoren sollen von einem Sicherheitsproblem betroffen sein, hieß es am Donnerstag. Es handele sich dabei jedoch nur um eines von drei möglichen Angriffsszenarien, erklärt der Hersteller.
Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen, erklärten die Sicherheitsforscher. Am Mittwoch hatte AMD zunächst erklärt, dass ihre Prozessoren nicht betroffen seien.
Das können Nutzer von Windows, macOS und Android tun:
- Windows: Microsoft hat bereits ein Update für Windows 10 veröffentlicht. Auch für Windows 8 und Windows 7 sollen Updates bereitgestellt werden. Sofern nicht automatisch Updates eingespielt werden, sollten Nutzer in den nächsten Tagen in der Systemsteuerung unter "Windows Update" schauen, ob neue Software vorhanden ist. Grundsätzlich rät Microsoft, immer sofort die neuesten Sicherheitsupdates einzuspielen.
- macOS: Auch Mac-Nutzer sollten Updates sofort installieren, wenn sie über den Mac App Store angeboten werden. Wie "heise security" berichtet, ist ein Teil des Problem mit dem jüngsten macOS-Update bereits behoben.
Von den gravierenden Sicherheitslücken sind auch alle iPhones, iPads und Mac-Computer von Apple betroffen. Ein Software-Update für den eigenen Internet-Browser Safari solle diese Einfallstore für Hacker in Kürze schließen, teilte der Konzern am Donnerstag mit. Es werde "in den nächsten Tagen" bereitgestellt. Vor einer zweiten Sicherheitslücke, die nur Intel-Chips betrifft, seien Apple-Geräte dank der jüngsten Updates bereits geschützt. Die Smartwatch "Apple Watch" sei nicht davon betroffen.
- Android: Auch Nutzer von Android-Smartphones sind betroffen. Laut Google sind Geräte mit dem jüngsten Sicherheitsupdate (Stand 5. Januar) geschützt. Dies betrifft hauptsächlich neuere Androiden und Googles eigene Pixel-Smartphones. Wann es von den einzelnen Herstellern für ihre jeweiligen Geräte Sicherheitsupdates gibt, ist noch unklar. Viele ältere Geräte werden erfahrungsgemäß kein Update erhalten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet Bürgern und Unternehmen zu einem zügigen Update ihrer Computer und Smartphones.
Quellen:
- dpa
- The Register
- Golem.de
- Erklärung von AMD (engl,)