Sicherheitslücke: Supergau bei Prozessorherstellern


Sicherheitsforscher haben kürzlich mehrere schwere Designfehler in zahlreichen Computer-Prozessoren (CPUs) entdeckt, die ein Auslesen von geschützten Inhalten durch normale Programme sogar aus der Ferne ermöglichen. Dadurch ist es theoretisch möglich, dass eine Webseite mittels Javascript auf Passwörter und andere sensible Inhalte des Computers eines Besuchers zugreifen kann, die sich gerade in seinem Arbeitsspeicher befinden.

Besonders schlimm hat es Intel getroffen, da hier gleich zwei verschiedene Hardware-Bugs entdeckt wurden. Der Intel-spezifische Fehler wird als Meltdown (“Kernschmelze”) bezeichnet und befindet sich in Prozessoren der letzten 20 Jahre bis zurück zum Pentium Pro. Der andere Fehler, der teilweise auch AMD und die Hersteller von ARM-CPUs betrifft, wird Spectre (“Gespenst”) genannt. Insbesondere Spectre wird sich nicht vollständig durch Software beheben lassen. Die beiden Namen wurden übrigens wegen der Dramatik der Fehler aus James-Bond-Filmen entnommen.

Betriebssystem-Hersteller arbeiten fieberhaft an einer Lösung

Seit Tagen arbeiten Microsoft und zahlreiche Linux-Entwickler mit Hochdruck an ihren Produkten, um Notfall-Patches zu entwickeln und die Fehler durch neue Software des innersten Bereichs des Betriebssystems – den Kernel – zu beheben. Apple hält sich mit Aussagen etwas bedeckt, doch auch deren CPUs, unter anderem von ARM und Intel, enthalten den Fehler.

Die neue Kernel-Software bringt je nach Prozessor auch erhebliche Geschwindigkeitseinbußen von bis zu 30% mit sich, was insbesondere für Netzwerk- und Datei-intensive Programme gilt, bei denen häufig Funktionen des Betriebssystems aufgerufen werden. Diese sogenannten Kontext-Wechsel zwischen Benutzer-Programmen und Kernel können durch die geflickte Software sehr verlangsamt werden – sehr zum Ärger der Benutzer.

Fehlerhafte Hardware ist verantwortlich


Normalerweise werden Fehler in Computern durch neue Software behoben, doch in diesem Fall ist die Hardware schuld, was eine Reparatur mit Software-Updates sehr erschwert. Daher wäre es wesentlich sinnvoller, den Fehler direkt zu beseitigen, statt an der Software herumzudoktern. Doch leider gibt es noch keine fehlerfreie Hardware, weil die erst entwickelt werden muss. Bis dahin wird man mit geflickten Betriebssystemen vorlieb nehmen müssen, sofern diese überhaupt zur Verfügung gestellt werden. Insbesondere für ältere Geräte mit fester Firmware wird das zum Problem. Betroffen ist der komplette Sektor von Smartphones und Routern, über Unterhaltungselektronik, Industrie-Maschinen und alles was als Internet-of-Things (IoT) bezeichnet wird oder irgendwie am Internet hängt und mit defekten CPUs arbeitet.

Intel-Führung hat bereits ihre Firmenaktien verkauft


Wohl in weiser Voraussicht des kommenden Schadens hat die Führung von Intel bereits Ende letzten Jahres die Aktienanteile an der Firma zu Geld gemacht, um einem drohenden Kursverlust zu entgehen. Der Chef bestreitet natürlich die Vorwürfe. Das ist die hässliche Seite des Problems. Andere Firmen werden möglicherweise auch bald folgen…


Zwischen dem 5. und 10. Januar beabsichtigen Amazon und Microsoft schrittweise ihre großen Cloudserver herunterzufahren, um Notfall-Patches zu installieren, da auch deren riesige Computerfarmen betroffen sind.


Quelle: tarnkappe.info