PC & Internet Schwachstelle in Computerchips - weltweit

Es ist ein grundlegender Fehler in der Architektur von Computerchips, der PCs angreifbar macht: Mit diesem Problem muss sich nicht - wie anfangs angenommen - nur der US-Hersteller Intel auseinandersetzen. Das Schlamassel scheint größer zu sein.

Erst sah es so aus, als betreffe die Sicherheitslücke nur Computer mit Intel-Chips. Doch es scheinen auch andere Hersteller betroffen zu sein, sagen Forscher aus Deutschland, Österreich und den USA. Zum Beispiel die Chips der Firma ARM, die in vielen Smartphones stecken. Ein Hersteller AMD - nach Intel einer der Großen der Branche - sagt: Seine Hardware sei nur teilweise berührt.

Für Angriffe verwundbar
Nur so viel ist im Moment sicher: Der Grund für die Sicherheitslücke ist eine bestimmte Funktionalität in den Prozessoren, also dem Herzen eines jeden PCs, Servers oder Smartphones: Diese Funktion nennt sich spekulative Ausführung - speculative execution.

"Das ist eine Technologie, die moderne Chips seit vielen Jahren nutzen", sagt Ina Fried, Technologiereporterin für die Website Axios.com. "Wenn der Chip gerade nichts zu tun hat, führt er trotzdem Berechnungen aus, von denen er annimmt, dass der Nutzer sie später abruft." Dieser Ansatz sei sinnvoll, weil die Chips so dauernd beschäftigt seien, so Fried. "Wissenschaftler haben jedoch herausgefunden, dass solch ein System die Chips für Angriffe verwundbar macht."

Laut Fried ist nicht die Technologie das Problem: Sie sei gut, weil unsere Rechner schneller reagieren können, also zum Beispiel auf einen Mausklick sofort ein Programm zu starten oder blitzschnell einen Text zu laden: "Es ist die Art und Weise wie verschiedene Chips und die jeweiligen Betriebssysteme die Technologie nutzen. Das macht den jeweiligen Rechner anfällig für Angriffe von außen." Deshalb sei es im Augenblick noch schwierig zu sagen, ob jeder gleichermaßen betroffen sei.

Auch Smartphones müssen geflickt werden
Jetzt sind also die Hersteller der Betriebssysteme gefragt. Sie müssen ihre Software ändern und so genannte Patches veröffentlichen. Sie können den Fehler bereinigen. Betroffen sind nicht nur Rechner mit Windows-System, sondern alle Hersteller. Sogar die Betriebssysteme unserer Smartphones müssen vermutlich geflickt werden, so Fried: "Linux, Microsoft Windows, Apple sowohl Mac OS als auch iOS - all diese Betriebssystem werden in den nächsten Tagen Patches erhalten. Die Art wie sie arbeiten wird verändert und dadurch sind sie wieder sicherer."
Als gestern die britische Website "The Register" die Nachricht veröffentlichte, hieß es, dass diese Patches die Rechner langsamer machen könnten. Dieser Darstellung widersprach der Chiphersteller Intel. Auch Tech-Reporterin Fried glaubt nicht, dass ein Nutzer nach einem Update Geschwindigkeitseinbußen feststellen wird: "Ich glaube, die ersten Fehlerbehebungen, die in den kommenden Tagen veröffentlicht werden, werden nicht die letzten sein." Der Fehler sei so umfangreich, dass es eine Vielzahl von Ansätzen geben werde. "Mit der Zeit dürften die Patches dann besser werden."


Eine Frage, die viele Nutzer umtreibt: Weshalb wussten viele Hersteller und Softwareunternehmen offenbar schon seit Monaten über die Sicherheitslücke Bescheid? Die Antwort heißt "verantwortungsvolle Offenlegung": Wenn ein Hardware-Fehler auftaucht, will man allen Unternehmen, die dafür Software programmieren die Chance geben, diesen Fehler zu beheben, bevor Kriminelle ihn ausnutzen können.

"Das hätte hier eigentlich auch hier geschehen sollen, aber der Umfang dieser Sicherheitslücke war wohl so riesig, dass einige Leute geplaudert haben", sagt Ina Fried. "Ziel war es, die Patches zur Bekanntgabe der Nachricht zu veröffentlichen."

Du musst Regestriert sein, um das angehängte Bild zusehen.

Quelle: www.tagesschau.de

siehe auch:
Meltdown and Spectre

 

[OBrecht]

"Das hätte hier eigentlich auch hier geschehen sollen, aber der Umfang dieser Sicherheitslücke war wohl so riesig, dass einige Leute geplaudert haben", sagt Ina Fried. "Ziel war es, die Patches zur Bekanntgabe der Nachricht zu veröffentlichen."

Wäre in diesem Fall auch richtig gewesen.
Jetzt werden wieder einige Exploits kursieren, die diese Schwachstelle ausnutzen.
Heisst also, bis 100% Schutz besteht aufpassen, welche SW installiert & ausgeführt wird. Hier ist jeder Nutzer selbst gefragt!

Wird hoffentlich nicht so hoch kochen.
Da aber alle OS-Hersteller betroffen sind, wird es sicher schon Ansätze für eine Lösung geben. Es kann sich keiner leisten solch eine eklatante Sicherheitslücke offen zu lassen.

 

[josef.13]

Sicherheitslücke bei Computerchip-Design trifft Milliarden Geräte
Durch eine neu entdeckte Sicherheitslücke in Computerchips von Milliarden Geräten können auf breiter Front vertrauliche Daten abgeschöpft werden. Forscher demonstrierten, dass es möglich ist, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen.

Die Tech-Firmen sind dabei, die seit zwei Jahrzehnten bestehende Lücke mit Software-Aktualisierungen zu stopfen. Komplett kann das Problem aber nur durch einen Austausch der Prozessoren beheben.

Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im Voraus abrufen, um Verzögerungen zu vermeiden. Diese als „speculative execution“ bekannte Technik wird seit Jahren branchenweit eingesetzt.

Damit dürfte eine Masse von Computer-Geräten mit Chips verschiedenster Anbieter zumindest theoretisch bedroht sein. Das Schlimme an der Schwachstelle ist, dass alle auswendigen Sicherheitsvorkehrungen um den Prozessor herum durch das Design des Chips selbst durchkreuzt werden könnten.

Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei, erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen können, denn die Attacken hinterließen keine Spuren in traditionellen Log-Dateien.

Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an Lösungen gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle bereits für Attacken benutzt wurde. Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig dafür seien.

Die IT-Sicherheitsstelle der US-Regierung, CERT, zeigte sich kategorisch, was eine Lösung des Problems angeht: „Die Prozessor-Hardware ersetzen.“ Die Sicherheitslücke gehe auf Design-Entscheidungen bei der Chip-Architektur zurück. „Um die Schwachstelle komplett zu entfernen, muss die anfällige Prozessor-Hardware ausgetauscht werden.“

Die komplexe Sicherheitslücke war von den Forschern bereits vor rund einem halben Jahr entdeckt worden. Die Tech-Industrie arbeitete seitdem im Geheimen daran, die Schwachstelle mit Software-Updates soweit möglich zu schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9. Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, „irreführenden Berichten“ zu widersprechen und betonte, es handele sich um ein allgemeines Problem.

Die Forscher, die unter anderem bei Google arbeiten, beschrieben zwei Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen „Meltdown“ gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der Schwachstelle zufolge nahezu jeder Intel-Chip seit 1995 anfällig - sie kann aber mit Software-Updates gestopft werden.

Die zweite Attacke, „Spectre“, lässt zu, dass Programme einander ausspionieren können. „Spectre“ sei schwerer umzusetzen als „Meltdown“ - aber es sei auch schwieriger, sich davor zu schützen. Man könne lediglich bekannte Schadsoftware durch Updates stoppen.

Ganz sei die Lücke aber nicht zu stopfen. Von „Spectre“ seien „fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones“, erklärten die Forscher. Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.

Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In ersten Berichten war noch von bis zu 30 Prozent die Rede.

Besonders brenzlig werden könnte das Problem zumindest theoretisch in Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Die Cloud-Schwergewichte Google, Microsoft und Amazon erklärten, dass ihre Dienste mit Software-Updates abgesichert worden seien.

In den vergangenen Jahren hatten die Tech-Unternehmen ihre Geräte und Dienste unter anderem mit Verschlüsselung geschützt - gingen dabei jedoch davon aus, dass von den Prozessoren selbst keine Gefahr droht.

Quelle; INFOSAT

 

[josef.13]

Microsoft mit Notfall-Patch für CPU-Sicherheitslücken
Eine neue Sicherheitslücke macht derzeit von sich reden, die Intel-, AMD- und ARM-Chipsets gleichermaßen betreffen soll. Microsoft wird darauf mit einem Notfall-Patch reagieren und soll neuen Informationen zufolge die Verteilung der wichtigen Updates in Kürze starten. Die Informationen zu dem kurzfristig eingeschobenen Notfall-Patch hat das Online-Magazin The Verge erhalten. Demnach haben Quellen, die mit den Plänen Microsofts für die Security-Updates vertraut sind, bestätigt, dass das Unternehmen verschiedene Windows-Updates herausgeben wird.

Den Start machen dabei Updates für alle Windows 10-Versionen. Die Verteilung des Notfall-Patches beginnt demnach laut Plan bereits am 03.01.2018 um 22 Uhr deutscher Zeit. Direkte Informationen von Microsoft liegen derzeit aber noch nicht vor. In der Windows 10 Update Historie sind zudem auch noch keine neuen Patches verzeichnet.

Mehr folgt zum Patchday
Das Update wird auch für ältere Versionen von Windows verfügbar sein, aber nicht sofort. Ältere Betriebssystemen wie Windows 7 oder Windows 8 werden laut The Verge nicht vor dem nächsten offiziellen Patchday am kommenden Dienstag über Windows Update aktualisiert. Windows 10 hingegen wird heute automatisch aktualisiert.

Microsoft hat sich zügig an die Behebung des Problems gemacht, welches eine Änderung auf Kernel-Ebene erfordert. Von Apple ist bisher noch offiziell nichts zu hören gewesen, der schwerwiegende Sicherheits-Fehler ist aber durch die Intel-Prozessoren auch auf Macs anzutreffen.

Weitere Updates müssen folgen
Von Intel, AMD und ARM dürften dazu in den kommenden Tagen noch einige Firmware-Updates kommen. Dazu sollte es auch entsprechende Aktualisierungen für die diversen Antivirenprogramme geben, da diese Anwendungen ohne weitere Änderungen nicht mit den neuen Patches zusammenarbeiten werden.

Einen erheblichen Nachteil könnten die nötig gewordenen Firmware-Updates und Software-Patches aber mit sich bringen: Ältere Prozessoren könnten jedoch aufgrund der Änderungen deutlich langsamer werden. Nutzer sollten sich darauf einstellen, schreibt The Verge.

Nachtrag: Derzeit herrscht noch große Uneinigkeit darüber, welche Prozessoren denn nun außer denen von Intel direkt von dem Problem betroffen sind. Vor allem gibt es Streit, ob AMD jetzt von der Sicherheitslücke verschont blieb oder nicht. AMD bestreitet ein Problem, während Intel verkündete, es beträfe auch AMD, ARM Holdings und verschiedene Hersteller von Betriebssystemen.

Zudem hat sich Microsoft nun gegenüber The Verge wie folgt geäußert:

"Wir sind uns dieser branchenweiten Problematik bewusst und arbeiten eng mit den Chipherstellern zusammen, um vorbeugende Maßnahmen zum Schutz unserer Kunden zu entwickeln und zu testen. Wir sind dabei, die Auswirkungen auf Cloud-Dienste zu testen und haben außerdem Sicherheitsupdates veröffentlicht, um Windows-Kunden vor Schwachstellen zu schützen, die unterstützte Hardware-Chips von Intel, ARM und AMD betreffen. Wir haben im Übrigen keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitslücken bereits aktiv für Angriffe genutzt wurden."

Update 8:41 Uhr: Auf vielen Windows-Systemen wird der neue Patch von Microsoft noch nicht angezeigt. Wenn dies bei ihnen der Fall ist, wird dringend von einer manuellen Installation abgeraten da Microsoft sicher Gründe hat, warum der Patch für ihr System noch nicht geeignet ist. So kann z.B. das Verwenden eine bestimmten Antiviren-Software dafür sorgen, dass das Update momentan noch nicht kompatibel mit dem eigenen Computer ist und daher nicht automatisch installiert wird.

Quelle; winfuture

 

[renser]

"...potenziell der Großteil der Prozessoren seit 1995. Aber auch einige Prozessoren mit Technologie des Chip-Designers Arm, der in Smartphones dominiert, sind darunter."

Auch Handys betroffen: Was Sie über die große Chip-Sicherheitslücke wissen sollten


Fragen über Fragen:

- seit 1995(!)?
- reicht ein update vom OS oder Bios?
- sind Receiver, TV , Firestick & co auch betroffen?

Ich würde mich über eine konstruktive und sachliche Diskussion freuen.

Renser



Gesendet von meinem SM-G850F mit Tapatalk

 

[fynnthek]

Wie es aktuell aussieht, kann das Problem nicht in Hardware behoben werden. Im aktuellen Linux-Kernel (sowieso backported auf viele ältere Versionen) ist ein Fix enthalten (eher ein Workaround), der aber zu - zum Teil massiven - Performance-Einbußen führt. Für Windows wird es am nächsten Patch-Day einen Fix geben. Die Performance-Einbußen natürlich auch hier. Die aktuelle macOS-Version ist bereits sicher.

- sind Receiver, TV , Firestick & co auch betroffen?

Wenn diese ARM-Chips tatsächlich betroffen sind, dann klare Antwort: Ja!

 

[renser]

Vor kurzem (12/2017) war zu lesen das das iPhone auch nach einem Update langsamer wird...

Apple gibt zu: Ältere iPhones werden nach Update langsamer

Das liegt wohl doch nicht am Akku ; -)



Gesendet von meinem SM-G850F mit Tapatalk

 

[Hautdenlucas]

und die updates wie sicher sind die? oder bekommt man das dann gleich von den hackern?

 

[knoppel]

Ich finde das ganze Problem um die Gefahren des jahrelangen benutzen dieser Chips, sehr gruselig. Ein versierter Hacker könnte somit in Systeme einbrechen und wilde Sau spielen und nichts an installierter Schutzmechanismien könnte das stoppen.

 

[rooperde]

Spectre und Meltdown - 90 Prozent der aktuellen Intel-CPUs werden gepatcht​

In einer Woche wird Intel den Großteil seiner CPUs der vergangenen fünf Jahre mit einem Update gegen Spectre und Meltdown versehen. Google testet eine eigene Lösung bereits erfolgreich. Die Leistungseinbußen sollen marginal sein.

Du musst angemeldet sein, um Bilder zu sehen.

Intel gibt sich mit Blick auf die Sicherheitslücken Spectre und Meltdown zuversichtlich: Bis zur nächsten Woche sollen etwa 90 Prozent der Prozessoren mit Patches ausgestattet werden, die in den vergangenen fünf Jahren auf den Markt gekommen sind. Die älteste Generation scheint demnach Haswell zu sein, die durch die Bezeichnung 4xxx erkennbar ist. In einem Informationspost spricht das Unternehmen davon, betroffene Systeme gegen beide Angriffe immun zu machen.

Intel schreibt zudem, dass der Einfluss auf die Leistung der aktualisierten Systeme stark von der Rechenlast abhänge. Durchschnittliche Computernutzer sollen kaum einen Unterschied spüren. Im Laufe der Zeit und mit weiteren Updates sollen sich die Leistungseinbußen noch weiter verringern. Einen genauen Wert nannte Intel jedoch nicht.

Google testet Verfahren gegen Branch Target Injection

Einer ähnlichen Meinung ist auch Google, deren Project-Zero-Team die Bugs im Juni 2017 entdeckt und an die Hersteller gemeldet hatte. Das Unternehmen hat nach eigenen Aussagen eine binäre Modifikationstechnik mit dem Namen Retpoline entwickelt, die gegen Branch Target Injection, einem Teil von Spectre, schützen soll. Erste Tests auf den eigenen Testsystemen bestätigen wohl, dass ein solches Update nur minimale Leistungseinbußen mit sich bringe.

Während Retpoline laut Google die spekulative Ausführung von CPUs an sich nicht verhindert, versucht dieser Ansatz, Branch Target Injection zu nutzen, jedoch nicht, um wichtige Daten auszulesen, sondern um eigene Instruktionen zu injizieren, die angreifbare Branches isolieren sollen. Weitere Details zur Funktionsweise stellt Google in seinem Blogpost vor.

Gaming-Leistung unter Linux kaum betroffen

Das Onlinemagazin Phoronix konnte bereits Grafikkarten von Nvidia und AMD testen, nachdem diverse Kernel-Page-Table-Isolation-Patches (KPTI) für Linux veröffentlicht wurden. Diese sollen Spectre und Meltdown verhindern. Sowohl eine AMD Vega 64 mit Linux-Kernel 4.15 als auch die Nvidia-Karten Geforce 1060 und GTX 1080 Ti mit Kernel-Version 4.14.11 funktionieren ohne merkliche Leistungseinbußen. Messbare Unterschiede gab es demnach nur bei starken Input-Output-Lasten mit aktivierter KPTI.

Microsoft weist Nutzer darauf hin, dass die am 3. Januar veröffentlichten Sicherheitsupdates für Windows 10 für einen vollständigen Schutz gegen Spectre und Meltdown nicht ausreichten. Es sollte auch entsprechende Firmware oder Microcode der Hardwarehersteller installiert werden. Im entsprechenden Informationsartikel stellt das Unternehmen ein Powershell-Script vor, mit dem Systeme auf die Sicherheitslücken geprüft werden können. Dieses wird über den Befehl "Install-Module SpeculationControl" installiert.

Nachtrag vom 5. Januar 2018, 15:27 Uhr

In einer separaten Meldung teilt Microsoft mit, dass Surface-Geräte automatisch über Windows Update mit CPU-Microcode und Betriebssystempatches gegen Spectre und Meltdown versorgt werden. Zu den unterstützten Geräten zählen das Surface Pro 3, Pro 4 und das neue Surface Pro Model 1796. Microsoft nennt auch die Surface Books 1 und 2, das Surface Studio und den Surface Laptop.

In Debian-Mailinglisten reden Entwickler von Änderungen im Microcode der CPUs selbst - also dem Instruktionsset, das dem Prozessor Anweisungen gibt. Normalerweise werden diese über neue Bios-Versionen verteilt, ein Vorgang, den wenige Nutzer regelmäßig durchführen. Wie Intel den Patch auf möglichst viele Geräte bekommen will, erläutert das Unternehmen nicht.

Quelle: Golem​

 

[spielertyp]

Hallo, gibt es eigentlich schon Betroffene die durch diese Sicherheitslücke ernsthaft zu Schaden gekommen sind. Ich lese schon von Schadensersatzforderungen und Sammelklagen. Ich sage mir immer sobald du mit einem Gerät online bist ist nichts mehr sicher. Das muss einem klar sein. Ich denke da an verschiedene Anbieter die nach Hause telefonieren oder Handyhersteller sowie SmartTvs die sich meiner Daten unerlaubterweise bedienen oder mir beim essen zuschauen.

 

[Fisher]

Hallo, gibt es eigentlich schon Betroffene die durch diese Sicherheitslücke ernsthaft zu Schaden gekommen sind.

Bisher ist die die Angriffsmöglichkeit offiziell nur theoretischer Natur.

Die drei in den USA eingereichten Klagen (Sammelklagen sind bisher nur angestrebt) richten sich gegen die "Politik" von Intel, trotz besseren Wissens über diese Sicherheitslücken, diese weder zugegeben noch rechtzeitig via Patch gegengesteuert zu haben.
Das Motto lautet: "Hätten wir von diesen Sicherheitslücken gewusst, hätten wir keine Rechner mit Intel-Chip gekauft".

Gruß

Fisher

 

[treki]

Ernste Sicherheitslücke in Intel-CPUs betrifft alle Betriebssysteme › Dr. Windows
dann
Intel nimmt Stellung zu Sicherheitslücke: Berichte übertrieben – auch andere Hersteller betroffen › Dr. Windows
und
CPU-Sicherheitslücke: Mit welchen Leistungseinbussen musst du rechnen? - digitec

Mein Senf dazu:
Ich finde es toll, dass sie 7 Monate dicht hielten.
Alles darf nicht immer an die Öffentlichkeit.
Diesmal wurde die Lücke (seit 1995) nicht von Hackern aufgedeckt.
Somit arbeiteten sie an einer Lösung, welche fast fertig war bis zur Kommunikation.

Auch die Linux Coder wurden jetzt mal einbezogen.
Natürlich wird jetzt ein SW-Flick gebastelt.
Dass die 7 Monate dicht hielten ist bemerkenswert (das einzig Richtige).
Mal nicht von Hackern entlarvt (Schande über die, die haben die Lücke seit 22 Jahren nicht bemerkt)

 

[Fisher]

Intel und ARM haben nun eine Liste mit jenen CPUs veröffentlicht, die von den Sicherheitslücken betroffen sind.

INTEL
ARM

Gruß

Fisher

 

[castlefriend]

Also alle?