Radio Hamburg

Milliarden Geräte betroffen

Sicherheitslück in Computerchips

Santa Clara, 04.01.2018
Computerchip

Milliarden Computerchips weisen Sicherheitslücken auf.

In Computerchips von Milliarden Geräten ist eine Sicherheitslücke entdeckt worden, durch die Angreifer an vertrauliche Daten kommen könnten.

In Computerchips von Milliarden Geräten ist eine Sicherheitslücke entdeckt worden, durch die Angreifer an vertrauliche Daten kommen könnten. Forscher demonstrierten, dass es möglich sei, sich Zugang zum Beispiel zu Passwörtern, Krypto-Schlüsseln oder Informationen aus Programmen zu verschaffen.

Die Tech-Firmen sind dabei, die Lücke mit Software-Aktualisierungen zu stopfen. Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden. Diese als "speculative execution" bekannte Technik wird seit Jahren von diversen Anbietern eingesetzt. Damit dürfte eine Masse von Computer-Geräten zumindest theoretisch bedroht sein.

Attacken hinterlassen keine Spuren

Sie wüssten nicht, ob die Sicherheitslücke bereits ausgenutzt worden sei, erklärten die Forscher. Man würde es wahrscheinlich auch nicht feststellen können, denn die Attacken hinterließen keine Spuren in traditionellen Log-Dateien. Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an einer Lösung gearbeitet, bezweifelte aber zugleich, dass die Schwachstelle bereits ausgenutzt worden sei. Der kleinere Intel-Konkurrent AMD, der von den Entdeckern der Sicherheitslücke ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig dafür seien.

Die Sicherheitslücke war bereits vor einiger Zeit entdeckt worden. Die Tech-Industrie arbeitete seitdem daran, die Schwachstelle mit Software-Updates zu schließen, bevor sie publik wurde. Die Veröffentlichung war für den 9. Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, "irreführenden Berichten" zu widersprechen und betonte, es handele sich um ein allgemeines Problem.

"Meltdown" und "Spectre"

Die Forscher, die unter anderem bei Google arbeiten, beschrieben zwei Attacken auf Basis der Schwachstelle. Bei der einen, der sie den Namen "Meltdown" gaben, werden die grundlegenden Trennmechanismen zwischen Programmen und dem Betriebssystem ausgehebelt. Dadurch könnte böswillige Software auf den Speicher und damit auch auf Daten anderer Programme und des Betriebssystems zugreifen. Für diese Attacke ist den Entdeckern der Schwachstelle zufolge nahezu jeder
Intel-Chip seit 1995 anfällig - sie kann aber mit Software-Updates behoben werden.

Die zweite Attacke, "Spectre", lässt zu, dass Programme einander ausspionieren können. "Spectre" sei schwerer umzusetzen als "Meltdown" - aber es sei auch schwieriger, sich davor zu schützen. Man könne aber zumindest bekannte Schadsoftware durch Updates stoppen. Von "Spectre" seien "fast alle Systeme betroffen: Desktops, Laptops, Cloud-Server sowie Smartphones", erklärten die Forscher. Man habe die Attacke auf Chips von Intel und AMD sowie Arm-Designs nachgewiesen.

(dpa/aba)

comments powered by Disqus