Aktuell ist es nicht leicht, der Hysterie um “Meltdown” und “Spectre” zu entgehen. Die beiden bekannt gewordenen Sicherheitslücken sind schon vor einiger Weile entdeckt und gegenüber den Unternehmen kommuniziert worden, aber erst jetzt landete das Thema in der Öffentlichkeit. Zunächst war die Rede davon, dass so ziemlich jeder Rechner mit Intel-Prozessor betroffen sein dürfte, mittlerweile wissen wir, dass auch ARM- und AMD-bestückte Rechner betroffen sind. Apple hat sich nun öffentlich geäußert, dass alle eigenen Smartphones, Tablets und Macs betroffen sind, aber der Reihe nach:
Meltdown und Spectre
Worum geht es überhaupt bei diesen Sicherheitslücken? Schuld an den aktuellen Lücken ist eigentlich das Streben nach immer schnellerer Hardware. Die Prozessoren setzen aus diesem Grund auf ein Verfahren, welches sich Speculative Execution” nennt und quasi vorausahnen soll, was ein Rechner oder ein Smartphone als nächstes tun wird.
Genauer gesagt werden spekulativ Informationen abgerufen, von denen auszugehen ist, dass sie später benötigt werden. Das geschieht in Zeiten, in denen die Chips nicht oder nur minimal ausgelastet sind. Werden die Chips stärker belastet, kann man dann auf die bereits ausgeführten Berechnungen zurückgreifen.
Genau hier aber befindet sich eine Schwachstelle, die von “Meltdown” bzw. “Spectre” ausgenutzt wird — oder zumindest ausgenutzt werden könnte. Es geht um die Mechanismen, die das Betriebssystem von den Programmen trennt und die von “Meltdown” umschifft werden. Dadurch wäre es möglich, dass Malware auf den Speicher zugreifen kann und damit auf das Betriebssystem selbst, aber auch auf die Daten anderer Programme.
Nicht so schön ist die Gewissheit, dass nahezu jeder Intel-Chip seit 1995 von dieser Lücke betroffen ist. Deutlich schöner hingegen ist die Information, dass man sie mittels Software-Updates schließen kann. Bei “Spectre” hingegen ist das schon ein wenig komplizierter. Hier sind im Grunde jegliche Systeme — von Rechnern über Smartphones bis zu Cloud-Servern — betroffen. Ist eine Schad-Software erst mal erkannt, kann auch hier mittels Update Hilfe erfolgen. “Spectre” begnügt sich auch nicht mit Intel-Chips, sondern auch Systeme mit AMD- oder ARM-Prozessoren.
Apple: “Alle Macs und iOS-Devices sind betroffen”
Wenn eine Sicherheitslücke so flächendeckend Prozessoren betrifft, dann kann sich auch Apple dem nicht entziehen. Wenn jetzt also gesagt wird, dass Apple-Rechner genau so betroffen sind wie Windows-PCs, dann sollte das niemanden überraschen. Dennoch sollte erwähnt werden, dass sich Apple selbst jetzt offiziell zu Wort gemeldet hat mit der Aussage: “Ja, alle Macs und alle Geräte mit iOS sind betroffen”.
Allerdings gibt es gleichzeitig auch Entwarnung: Nach aktuellem Wissensstand sind die Lücken bislang bei keinem Apple-Device ausgenutzt worden. Zudem stellt “Meltdown” schon mal kein Problem für Apple dar: Die Apple Watch ist eh nicht betroffen und dank der jüngsten Software-Updates iOS 11.2, macOS 10.13.2 und tvOS 11.2 wären auch Geräte mit dieser OS-Versionen auf der sicheren Seite.
Was “Spectre” angeht, muss Apple noch dringend nachbessern, stellt aber in seiner Meldung in Aussicht, dass entsprechende Updates auf dem Weg sind. Bereits in den nächsten Tagen wird man für Safari (iOS und macOS) ein Update vorlegen, welches die Sicherheitslücke schließt und in der Folge weiter an Software-Verbesserungen für alle Apple-eigenen Betriebssysteme arbeiten.
Apple will release an update for Safari on macOS and iOS in the coming days to mitigate these exploit techniques. Our current testing indicates that the upcoming Safari mitigations will have no measurable impact on the Speedometer and ARES-6 tests and an impact of less than 2.5% on the JetStream benchmark. We continue to develop and test further mitigations within the operating system for the Spectre techniques, and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.
Na also — nachdem Intel und auch andere sich bereits zu Wort gemeldet haben, reagiert auch Apple und erklärt die Lage für Apple-Kunden. Wie es scheint, werden wir auch hier nicht wirklich davon ausgehen müssen, dass “Meltdown” oder “Spectre” in irgendeiner Weise Schaden anrichten werden.
Quelle: Apple via TechCrunch