Meltdown/Spectre – wer ist gefährdet und was kann ich tun?

Mit dem Einstieg in den Blog-Eintrag wollen wir uns gar nicht lange aufhalten. Es wurden bekanntlich Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Diese wurden Meltdown und Spectre getauft. Angreifer können diese Sicherheitslücken nutzen, um sämtliche Daten auszulesen. Besonders schwer wiegt, dass zu diesen Daten selbstverständlich auch Passwörter und weitere hochsensible Informationen gehören.

Wer ist gefährdet?

Im Grunde genommen jeder. Die betroffenen Prozessoren stecken in einer Vielzahl von Geräten, von Desktop-Computern, Laptops, Smartphones, Tablets bis hin zu Streaming-Boxen.

Wie lauten die technischen Bezeichnungen der Sicherheitslöcher?

  • CVE-2017-5715 (branch target injection)
  • CVE-2017-5753 (bounds check bypass)
  • CVE-2017-5754 (rogue data cache load)

Quelle: Microsoft

Kann ich mich durch Anti-Viren-Programme schützen?

Nein.

Welche Prozessoren sind denn betroffen?

Hier alle aufzulisten, würde den Rahmen des Blogs sprengen. Grundsätzlich sind sowohl aktuelle als auch ältere Prozessoren für mindestens eines der Angriffsszenarien anfällig. Dazu gehören etwa sämtliche Intel-Core-Prozessoren seit 2008, oder auch die Serien Intel Atom C, E, A, x3 und Z sowie die Celeron- und Pentium-Serien J und N. Außerdem nahezu alle Server-Prozessoren der vergangenen Jahre sowie die Rechenkarten Xeon Phi.

Laut ARM sind zahlreiche Prozessoren der Cortex-Serie betroffen, die in Smartphones und Tablets verbaut wurden und auch in anderen SoC-Kombiprozessoren stecken, etwa in Nvidias Tegra-Chips. Nicht betroffen ist etwa der Prozessor des Raspberry Pi. AMD-Prozessoren sind nach dem derzeitigen Kenntnisstand lediglich für eine der drei Angriffsszenarien anfällig (Spectre; Variante 1).

Und welche Geräte sind betroffen?

Fast alle IT-Geräte/-Systeme auf diesem Planeten (genauere Angaben gibt es von den jeweiligen Herstellern). Bekannte Geräte sind u.a. Smartphones/Tablets, Server, Laptops, PC’s, IoT Geräte.

Alle Betriebssysteme sind betroffen. Sowohl Windows als auch Linux, Android, macOS, iOS und FreeBSD.

Nicht direkt: Der Angreifer muss Schadcode auf dem betroffenen System ausführen. Deshalb ist die Lücke in vielen Embedded Systems und Routern unkritisch. Besonders gefährdet sind hingegen Web-Browser. Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Dagegen helfen Browser-Updates.

Wie kann ich mich schützen?

Updates einspielen. Betriebssystemhersteller wie Microsoft rollen bereits Updates aus. Doch auch viele Anwendungen (z.B. Browser) und Treiber (z.B. Nvidia) müssen abgesichert werden.

Gibt es Performance-Einbußen?

Es wird zu Leistungseinbußen kommen. Jedoch ist noch nicht sicher, ob diese für den Benutzer spürbar sein werden.

Hersteller die von diesen Problemen betroffen sind, stellen auf ihren Webseiten weitreichende Informationen zur Verfügung und informieren dort auch über verfügbare Firmware und Software Aktualisierungen, sowie über mögliche Leistungseinbußen.

Microsoft hat dies z.B. in einem Blogeintrag näher beschrieben:

One of the questions for all these fixes is the impact they could have on the performance of both PCs and servers. It is important to note that many of the benchmarks published so far do not include both OS and silicon updates. We’re performing our own sets of benchmarks and will publish them when complete, but I also want to note that we are simultaneously working on further refining our work to tune performance. In general, our experience is that Variant 1 and Variant 3 mitigations have minimal performance impact, while Variant 2 remediation, including OS and microcode, has a performance impact.

Here is the summary of what we have found so far:

  • With Windows 10 on newer silicon (2016-era PCs with Skylake, Kabylake or newer CPU), benchmarks show single-digit slowdowns, but we don’t expect most users to notice a change because these percentages are reflected in milliseconds.
  • With Windows 10 on older silicon (2015-era PCs with Haswell or older CPU), some benchmarks show more significant slowdowns, and we expect that some users will notice a decrease in system performance.
  • With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
  • Windows Server on any silicon, especially in any IO-intensive application, shows a more significant performance impact when you enable the mitigations to isolate untrusted code within a Windows Server instance. This is why you want to be careful to evaluate the risk of untrusted code for each Windows Server instance, and balance the security versus performance tradeoff for your environment.

For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation. Older versions of Windows have a larger performance impact because Windows 7 and Windows 8 have more user-kernel transitions because of legacy design decisions, such as all font rendering taking place in the kernel. We will publish data on benchmark performance in the weeks ahead.

Zum Blog von Terry Myerson (Microsoft)

Schließen diese Updates die Prozessorlücken?

Nein. Sie verringern nur das Risiko. Einen hundertprozentigen Schutz gegen Meltdown- und Spectre-Attacken gibt es nicht.

Was bedeutet das für mich?

Die Firmware und das BIOS müssen aktualisiert werden (CVE 2017-5715). Das Betriebssystem (CVE 2017-5754) und Drittanbieter-Software müssen aktualisiert werden (CVE 2017-5753).

Laut Intel soll es im Januar für alle innerhalb der vergangenen fünf Jahre hergestellten Prozessoren Microcode-Updates geben. Was mit älteren Prozessoren geschieht, ist derzeit noch unklar.

Kann es passieren, dass mein System nicht mehr bootet?

Ein durchaus schwerwiegendes Problem kann bei Besitzern von AMD-Prozessoren auftreten. Microsoft gab bekannt, dass man von Kunden mit AMD-basierten Geräten Berichte über schwerwiegende Probleme bekommen habe. Deren Rechner landen nach der Installation der ersten Notfall-Patches gegen Meltdown und Spectre in einem Zustand, aus dem sie nicht booten können.

Wir halten Sie in den kommenden Tagen auf dem aktuellen Stand. Wenn Sie vorher schon ein unverbindliches Beratungsgespräch wünschen, füllen Sie bitte das folgende Formular aus, oder wenden Sie sich an Ihren zuständigen Vertriebsmitarbeiter.

Möchten Sie uns etwas im Vorfeld mitteilen?