Bundesamt für Sicherheit in der Informationstechnik

Prozessor-Schwachstellen: Spectre und Meltdown

Prozessoren verschiedener Hersteller weisen gravierende und schwer zu behebende Sicherheitslücken auf, wie Sicherheitsforscher von Google Project Zero und der Technischen Universität Graz aufgezeigt haben. Die gefundenen Schwachstellen können über Angriffsszenarien, die als "Spectre" oder "Meltdown" bezeichnet werden, ausgenutzt werden, um sensible Speicherinhalte des Computers auszulesen. Betroffen sind nahezu alle Geräte, die über einen Prozessorchip der betroffenen Hersteller verfügen. Dazu zählen unter anderem Computer, Smartphones und Tablets aller gängigen Betriebssysteme. Da der Austausch von Hardware in den meisten Fällen nicht realistisch ist, arbeiten Software- und Hardwarehersteller derzeit an der Bereitstellung von Sicherheitsupdates. Wie die Sicherheitslücken zustande kommen, hat das BSI unter dem Abschnitt zum technischen Hintergrund zusammengefasst. Wie Anwenderinnen und Anwender sicherstellen können, dass sie die aktuellen Updates auf ihren Systemen installiert haben, können sie unter "Wie können Systeme kurzfristig geschützt werden?" nachlesen.

Was ist der technische Hintergrund von Spectre und Meltdown?

Die entdeckten Sicherheitslücken erlauben es Angreifern, sensible Speicherbereiche des Computers auszulesen. So können Informationen wie zum Beispiel Passwörter, kryptografische Schlüssel, E-Mail-Nachrichten oder Chatinhalte mittels des Spectre-Angriffs aus den eigentlich nicht zugänglichen Speicherbereichen fremder Programme und mittels des Meltdown-Angriffs aus dem eigentlich geschützten Speicherbereich des Betriebssystems extrahiert werden.

Die eigentliche Ursache der Sicherheitslücken liegt dabei im leistungsoptimierten Design der Prozessoren mehrerer Hersteller. Mithilfe der Verfahren "Speculative Execution" und "Out of order execution" wird die Prozessorleistung erhöht, jedoch sind durch diese gleichzeitig die nun bekannt gewordenen Sicherheitslücken entstanden.

Spekulative Ausführung sorgt für eine beschleunigte Reaktion auf bestimmte Benutzereingaben. Chips, die aktuell wenig zu tun haben, führen somit Berechnungen aus, von denen angenommen werden kann, dass sie zeitnah benötigt werden. Mit der Speicherung solcher spekulativen Ergebnisse stehen sie  bereits zur Verfügung, wenn das Programm an der relevanten Stelle angelangt und das Ergebnis tatsächlich benötigt wird. Nun werden die zwischengespeicherten Ergebnisse gelesen, passende werden ausgeführt und nicht benötigte verworfen. Somit wird in Phasen geringer Ausnutzung die vorhandene Leistungsfähigkeit der Hardware vorausschauend genutzt und der Prozessor bei einer höheren Auslastung entlastet. Eine vereinfachte Erläuterung dieses technischen Hintergrunds findet sich in den "Weiteren Informationen zum Thema".

Nach gegenwärtigem Stand ist der Hersteller Intel von allen bekannten Angriffstypen betroffen. Neben der besonders starken Betroffenheit des im PC- und Serverbereich dominanten Herstellers Intel sind zudem Prozessoren von AMD (sowie auf AMD basierende Prozessoren von NVIDIA) und des im Smartphone-Bereich dominanten Herstellers ARM (sowie auf ARM basierende Prozessoren von Apple, Samsung und Qualcomm) teilweise anfällig. Unter folgendem Link finden Sie heraus, ob Sie betroffen sind.

Da der Austausch von Hardware in den meisten Fällen nicht realistisch ist, haben Betriebssystem- und Softwarehersteller auf Software basierte Lösungen entwickelt oder bereiten diese gerade vor. Die damit einhergehenden Sicherheitsupdates basieren beispielsweise darauf, die ursächlichen Cache-Optimierungen zu deaktivieren oder zusätzliche Schutzmaßnahmen zu ergänzen. Eine detaillierte Auflistung einzelner Herstellerreaktionen finden Sie auf der Webseite "Meltdownattack". Auch der Warn- und Informationsdienst von CERT-Bund sowie Heise Security bieten diesbezüglich aktuelle Informationen.

Welches Risiko entsteht durch die beiden Schwachstellen?

Wie kritisch die Schwachstellen Meltdown und Spectre für ein betroffenes System sein können, ist abhängig von dessen Einsatzgebiet. Die Angriffe setzen insbesondere voraus, dass der Täter eigenen Angriffscode auf dem System ausführen kann. Dies ist vor allem in Cloud-Umgebungen und virtualisierten Systemen mit mehreren Anwendern ein Risiko. Auf Smartphones könnten schädliche Apps unter Ausnutzung von Meltdown Informationen aus anderen Apps auslesen. Mit Spectre können zudem sogenannte Prozessgrenzen innerhalb des Browsers überwunden werden. Auf Webseiten platzierte schädliche Webskripte können dadurch sensible Informationen aus dem Kontext anderer geöffneter Tabs auslesen.

Abgesehen von Angriffsdemonstrationen ist eine Ausnutzung der Schwachstellen bisher nicht bekannt. Die Entwicklung von robusten, breitflächigen Angriffen ist prinzipiell aufwändig, gezielte Angriffe auf einzelne ausgewählte Systeme erscheinen jedoch möglich. Das Risiko eines solchen Angriffs für Privatpersonen erscheint aufgrund des hohen Aufwandes niedrig, dennoch ist ein solcher Angriff möglich. Deswegen sollten alle Nutzer und Nutzerinnen Ihre Computer, Laptops, Smartphones und Tablets sowie sonstige digitale Geräte mit den unten beschriebenen Sicherheitsupdates schützen. Vergleichsweise bedeutender ist das Angriffsrisiko für Anbieter von Cloud-Diensten wie zum Beispiel Web-Hoster oder E-Mail-Provider. Diese wurden vorab über die Schwachstellen informiert und sollten entsprechende Schutzmaßnahmen bereits umgesetzt haben.

Wie können Systeme kurzfristig geschützt werden?

Pachen, patchen, patchen.. Die Schwachstellen sind aber insofern schwierig zu schließen, da jede betroffene Software, wie zum Beispiel Betriebssysteme, Web-Browser oder Gerätetreiber, einzeln aktualisiert werden muss, um Angriffe im eigenen Prozesskontext zu verhindern. Für die meisten Einsatzszenarien auf einem PC oder Smartphone ist es ratsam, die entsprechenden Software-Aktualisierungen einzuspielen, sobald sie verfügbar sind. Da insbesondere Betriebssystem-Updates in der Regel die ursächlichen Cache-Optimierungen deaktivieren, kann es dabei zu spürbaren Leistungseinbußen kommen. Inwiefern ein Update z.B. auf einem stark ausgelasteten Server-System angewendet werden sollte, hängt von dessen Konfiguration und Nutzung ab. Gegebenenfalls sind hier weitere Vorbereitungen zu treffen und Tests durchzuführen. Weiterhin ist das Updaten des Betriebssystems nicht alleine ausreichend, um die Schwachstellen vollständig zu beheben. Es ist prinzipiell notwendig, Updates auch für die Firmware/BIOS zu installieren. Da deren Bereitstellung aller Voraussicht nach einige Zeit in Anspruch nehmen wird, können kurzfristig nur die verfügbaren Software-Updates insbesondere der Betriebssysteme (Windows, macOS, iOS, Linux, ChromeOS und Android), Web-Browser und Gerätetreiber helfen.

Welche Updates zum Schutz gegen Spectre und Meltdown bereits existieren und was dabei zu beachten ist:

Updates für Betriebssysteme:

Alle gängigen Betriebssysteme haben bereits Sicherheitsupdates zur Verfügung gestellt, die auf normalen PCs umgehend installiert werden sollten. Im folgenden wurde zusammengestellt, was bei den Updates zu beachten ist. Sind die Updates für die genutzten Betriebssysteme erfolgreich abgeschlossen, sollten danach direkt Updates für alle genutzte Software und speziell der Browser eingespielt werden.

Microsoft Windows:

Microsoft hat Advisories für Clients und Server veröffentlicht sowie für Windows 10 und Windows Server vorab Out-of-Band-Updates zur Verfügung gestellt. Die übrigen Updates werden seit dem Patch-Tuesday im Januar über das Windows Update verteilt.

Da verschiedene Antivirenprogramme mit dem aktuellen Microsoft-Update nicht kompatibel sind, wird das Update nur an Rechner ausgerollt, deren Antivirenprogramm vom Hersteller explizit als kompatibel markiert wurde. Dies geschieht durch das Setzen bestimmter Einträge in der Windows Konfiguration (Registry). Bisher gibt es keine vollständige Übersicht, welche Antivirenprogramme mit den Microsoft-Updates kompatibel sind.

Besonders relevant ist, dass eine Inkompatibilität oder das Nichtvorhandensein eines Antivirenprogramms auch alle weiteren Microsoft Updates blockiert. Anwender dieser Software sollten daher folgende Anleitung nutzen, um zu überprüfen, ob die neuesten Updates installiert wurden!

Erste Überprüfung des Windows-Updates

Zuallererst muss geprüft werden, ob das entsprechende Betriebssystemupdate von Microsoft erfolgreich installiert wurde. Starten Sie dafür die Suche nach Updates über "Einstellungen" [Windows 7: "Systemsteuerung"] → "Update und Sicherheit" [Windows 7: "Windows Update"]→ "Nach Updates suchen" (Bilder 1-4). Danach muss im Updateverlauf das Update mit der Kennzahl "KB4056892" [Windows 7: "KB4056897"; Windows 8.1: "KB4056898"] angezeigt werden (Bild 5a für Windows 10 und Bild 5b für Windows 7). Es reicht nicht aus, nur den Status von Windows Update (Bild 4) zu betrachten. Dieser zeigt unter Umständen auch dann ein grünes Häkchen an, wenn das Update nicht eingespielt wurde.

Screenshot Windows Einstellungen Anleitung - Windows 10: Einstellungen Bild 1a: Windows 10 - Einstellungen öffnen.

Screenshot Windows 7 Systemsteuerung Anleitung - Windows 7: Systemsteuerung Bild 1 b: Windows 7 - Systemsteuerung öffnen.

Screenshot Suche Update und Sicherheit in den Windows Einstellungen Anleitung: Windows 10 - Update und Sicherheit Bild 2: Suche Update und Sicherheit in den Windows Einstellungen.

Screenshot Updatesuche in Windows. Anleitung: Updates suchen Bild 3a: Updatesuche

Screenshot In Windows Updates nach Updates suchen und Updateverlauf anzeigen Anleitung: Windows 7 - Updates suchen in Windows Update Bild 3b: Windows 7 - In Windows Updates nach Updates suchen und Updateverlauf anzeigen.

Screenshot Updatestatus in Windows Anleitung: Updateanzeige Bild 4: Updatestatus

Screenshot Updateverlauf unter Windows 10 Anleitung: Updateverlauf Windows 10 Bild 5a: Updateverlauf unter Windows 10

Screenshot Updateverlauf unter Windows 7 Anleitung: Updateverlauf Windows 7 Bild 5b: Updateverlauf unter Windows 7

Fall 1: Windows-Update vorhanden

Wurde das Update eingespielt, muss in diesem Fall mit Bezug auf das Betriebssystem zunächst nichts mehr unternommen werden. Denken Sie daran, dass jetzt die Updates für andere Software und Firmware auf Ihrem Computer eingespielt werden sollten.

Fall 2: Windows-Update fehlt

Ist das Windows-Update nicht vorhanden, könnte dies durch die genannte Imkompatibilität mit dem installierten Antivirenprogramm oder weiteren Software-Komponenten bedingt werden. Nutzer sollten sich daher folgende Fragen stellen und entsprechende Schritte durchführen, damit das Windows-Update installiert werden kann:

Hat Ihr Computer einen Prozessor von AMD installiert?

Von Microsoft wurden für bestimmte Systeme mit AMD-Prozessoren zunächst keine Windows Updates zur Verfügung gestellt, da es dabei auf einigen älteren Systemen zu Systemabstürzen kam. Nachdem die Probleme behoben wurden, stehen jetzt entsprechende Updates zur Verfügung.

Ist auf Ihrem Computer ein Antivirenprogramm installiert?

Da das Update auf Ihrem Computer fehlt, könnte es sein, dass auf dem Computer ein Antivirenprogramm installiert ist, welches mit dem Update für das Betriebssystem von Microsoft noch nicht kompatibel ist. Kompatible Antivirenprogramme konfigurieren einen bestimmten Eintrag in der Windows Registry. Ob dieser spezifische Eintrag auf dem System vorhanden ist, kann vom Nutzer oder der Nutzerin mit dem folgenden Powershell-Befehl überprüft werden:

Test-Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

Dafür sollte zunächst die Powershell-Konsole, die Verwaltungs- und Konfigurations-Software für Windows-Systeme, geöffnet und im Administrator-Modus ausgeführt werden. (s. Bild 6)

Wenn der Eintrag vorhanden ist, wird als Antwort "True" angezeigt (s. Bild 7a), dann ist das Antivirenprogramm auf dem Computer mit dem aktuellen Windows-Update kompatibel. Ist dieser Fall eingetreten, liegt ein anderes Problem vor, welches verhindert, dass das Betriebssystem das neue Update einspielen kann.

Bild 6a: Nach der Eingabe des Powershell-Befehls erscheint als Antwort "True". Interface der Windows Konfiguration (Registry) - Anzeige True Bild 6a: Nach der Eingabe des Powershell-Befehls erscheint als Antwort "True".

Wenn der Eintrag nicht vorhanden ist, wird als Antwort "False" angezeigt (s. Bild 7b), dann ist das Antivirenprogramm auf dem Computer nicht mit dem aktuellen Windows-Update kompatibel. Zunächst sollte jetzt das bestehende Antivirenprogramm aktualisiert werden. Danach kann das Windows-Update nochmals gesucht und überprüft werden.

Bild 6b: Nach der Eingabe des Powershell-Befehls erscheint als Antwort "False". Interface der Windows Konfiguration (Registry) - Anzeige False Bild 6b: Nach der Eingabe des Powershell-Befehls erscheint als Antwort "False".

Alternativ kann das betroffene Antivirenprogramm vorübergehend deinstalliert werden, damit keine Kompatibilitätsprobleme mehr auftreten. Unter Windows 8.1 oder 10 bleibt dann weiterhin der Windows Defender als Antiviren-Lösung automatisch aktiv und schützt das System. Damit das Windows-Update installiert werden kann, sollten die Anwender dann den folgenden Schritt durchführen, um das aktuelle Update für das Betriebssystem zu erhalten.

Ist auf Ihrem Computer kein Antivirenprogramm installiert oder für das Update von Ihnen vorübergehend deinstalliert?

Damit das Update auf dem System erhalten werden kann, muss ein bestimmter Eintrag in der Windows Registry gesetzt werden. Dafür sollte zunächst die Powershell-Konsole geöffnet und im Administrator-Modus ausgeführt werden (s. Bild 6). Führen Sie anschließend in der zuvor geöffneten Powershell-Konsole den folgenden Befehl aus:

New-Item HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat | New-ItemProperty -Type DWORD -Name '{cadca5fe-87d3-4b96-b7fb-a231484277cc}' -value 0

Bild 8: Nach der Eingabe des Powershell-Befehls erscheint als Antwort "New item". nterface der Windows Konfiguration (Registry) - Anzeige New item Bild 8: Nach der Eingabe des Powershell-Befehls erscheint als Antwort "New item".

Linux:

Verschiedene Linux-Distributionen haben bereits Spectre-Patches veröffentlicht, unter anderem Red Hat, Ubuntu, Debian und SUSE. Für andere Distributionen werden derzeit Patches vorbereitet. Diese werden, sobald sie verfügbar sind, üblicherweise über die automatischen Update-Funktionen installiert.

Google:

Anfang Januar wurden über ein Android Security Bulletin zusätzliche Schutzmechanismen gegen diese Art von Angriffen veröffentlicht. Seit dem 15.12.2017 steht Chrome OS v63 zur Verfügung. Für den Browser Chrome unter Google's Betriebsystem Chrome OS müssen ergänzend die im Abschnitt "Browser Applikationen" genannten Schutzmaßnahmen umgesetzt werden.

Apple:

Laut Apple sind alle macOS und iOS Geräte betroffen. Zum Schutz vor Meltdown wurden iOS 11.2, macOS 10.13.2 und tvOS 11.2 veröffentlicht. Zum Schutz vor Spectre enthalten iOS 11.2.2, macOS High Sierra 10.13.2 und Safari 11.0.2 zusätzliche Schutzmaßnahmen.

Updates für Browser Applikationen:

Insbesondere Updates für Web-Browser sollten zeitnah eingespielt werden, da Web-Browser die Voraussetzung erfüllen, fremden Code in Form von Skripten und anderen aktiven Inhalten auszuführen. Darüber könnten Angreifer leichter die beiden Schwachstellen Spectre und Meltdown ausnutzen.

Chromium/Chrome (ab Version 63):

Um Spectre-Angriffe zu verhindern, empfiehlt Google, die Funktion Site Isolation zu aktivieren. Dies kann durch Setzen des Flags enable-site-per-process erfolgen. Ab der Version 64 soll die Funktion direkt aktiviert sein, daher ist für alle Nutzer ein frühzeitiges Prüfen der Kompatibilität mit eigenen Web-Anwendungen zu empfehlen.

Firefox:

Mozilla hat mit Version 57.0.4 ein Update veröffentlicht, das Maßnahmen gegen den Spectre-Angriff enthält. Als wichtigste Maßnahmen werden darin die Funktion SharedArrayBuffer deaktiviert. In Firefox 52 ESR wird die Funktion SharedArrayBuffer nicht unterstützt und diese Browser-Version ist daher weniger anfällig. In der für Ende Januar angekündigten Version 52.6 ESR wird als Gegenmaßnahme zusätzlich die Auflösung der Funktion performance.now() erhöht.

Internet Explorer / Edge:

Microsoft gibt in seinem Windows-Blog bekannt, dass mit den bereitgestellten Patches unter Microsoft Edge ebenfalls die Funktion SharedArrayBuffer deaktiviert sowie unter Microsoft Edge und Internet Explorer die Auflösung der Funktion performance.now() erhöht wird.

Safari:

Apple hat die Spectre-Schwachstellen des Safari-Browsers in Safari 11.0.2 für macOS Sierra und OS X El Capitan geschlossen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK