Meltdown und Spectre: Was es mit den CPU-Schwachstellen auf sich hat
Meltdown und Spectre sind die Bezeichnungen für einige schwere Sicherheitslücken, die in faktisch allen Hochleistungsprozessoren gefunden wurden, die sich heute in unseren PCs, Smartphones und Tablets befinden. Zwar sind einige Prozessoren stärker von den Problemen betroffen als andere, aber generell gilt, dass bei Angriffen Speicherbereiche ausgelesen werden können, die normalerweise geschützt sein sollten.
So ist es möglich, beispielsweise Passwörter, E-Mail-Adressen oder Kreditkartendaten zu extrahieren, wenn diese in den Hauptspeicher geladen wurden. Und besonders gravierend ist, dass Angriffsszenarien gefunden wurden, bei denen diese Schwachstellen von Websites über den Internet-Browser ausgenutzt werden können.
Fast noch gravierender ist ein anderes Angriffsszenario, das besonders Cloud-Dienste betrifft. Hier teilen sich unterschiedliche Anwender die Rechner- und Speicherkapazitäten eines besonders leistungsfähigen Computers. Normalerweise sind die Daten dieser Anwender voneinander getrennt, doch die gefundenen fehlerhaften Implementierungen erlauben es, dass ein böswilliges Programm auf diesem Computer potenziell Daten von allen Anwendern auslesen kann.
Durch das Abspielen des Videos erfolgt eine Verbindung zum externen YouTube-Server.
Was die Schwachstellen so problematisch macht: Sie befinden sich in der CPU, also in der Hardware. Und die kann nicht so einfach „repariert“ werden. Der Hintergrund des ganzen Schlamassels ist, dass moderne Prozessoren immer leistungsfähiger und schneller geworden sind. Der Zugriff auf den Hauptspeicher oder gar die Festplatte dauert aber viel länger als eine Berechnung im schnellen Zwischenspeicher der CPU. Damit die also nicht ständig warten und Däumchen drehen muss, hat man irgendwann für clever gehalten, dass die CPU statt zu warten ja schon mal die nächsten Berechnungen „vorausschauend“ (predictive) starten kann, die anstehen. Erweist sich später, dass die Ergebnisse doch nicht gebraucht werden, dann schmeißt man sie halt weg. Aber man hat keine Taktzyklen vergeudet. Nur die Müllhalde das Problem: Man hat vergessen, diesen Müll abzusichern, und jetzt stellt sich das als fatal heraus.
Prinzipiell kann zumindest in Teilen ein BIOS-Update für den Rechner Abhilfe schaffen. Aber – bitte ehrliche Antwort: Wann haben Sie mal das BIOS Ihres Rechners aktualisiert? Und pflegt der Hersteller die Modellreihe überhaupt noch? Und können Sie dann sicher sein, dass die Probleme beseitigt sind? Eher nicht.
Daher stellen die Betriebssystem-Hersteller ihrerseits Updates bereit, die versuchen, die Probleme auf der nächsthöheren Ebene, also nicht dem Prozessor, sondern dem Betriebssystem, zu adressieren und die Angriffsszenarien zu verhindern. Das Problem ist nur: Das bedeutet zusätzliche Verarbeitungsschritte und damit einen Performance-Verlust. Wie groß der Leistungseinbruch wirklich ist, lässt sich noch nicht abschließend sagen, und das hängt auch stark vom Einsatzgebiet ab. Zahlen von 1 bis 30 Prozent machen die Runde, wobei letzteres gerade für große Betreiber und Rechenzentren eine Katastrophe wäre, wenn sie für die gleiche Rechenleistung morgen ein Drittel mehr Rechner benötigen würden als noch vor einer Woche.
Schließlich arbeiten auch die Entwickler der Webbrowser wie Firefox, Chrome, Safari und Edge an Updates, um die Ausnutzung der Schwachstellen über das Internet zu unterbinden.
Für Sie bedeutet das in erster Linie, dass Sie Updates für Ihre PCs und Notebooks, aber auch für Smartphones und Tablets schnellstmöglich einspielen sollten. Details zu den Schwachstellen, neue Angriffsszenarien und verbesserte Fehlerkorrekturen werden uns vermutlich noch lange beschäftigen.
Weiterführende Informationen: Die Heise-Redaktion hat zu Meltdown und Spectre eine umfangreiche Linksammlung zu Sicherheitshinweisen und Updates von Hardware- und Software-Herstellern veröffentlicht.
