Gravierende Prozessor-Sicherheitslücke

In Prozessoren verschiedener Hersteller steckt nach derzeit bereits kursierenden Informationen eine Sicherheitslücke, die nur aufwendige Sicherheits-Patches in Betriebssystemen schließen können.

Die Berichte über die Sicherheitslücke, die sensible Daten für Angreifer auslesbar machen und aufgrund der notwendigen Updates Leistungseinbußen bringen soll, haben nun zu Reaktionen von Herstellern geführt. Sie wollen die Spekulationen mit ersten Informationen korrigieren und die Schwere der Lücke sowie die Auswirkungen ins rechte Licht rücken.

Intel hat als Erster zu den bisherigen Berichten und Mutmaßungen über die Lücke in Intel-CPUs Stellung genommen – allerdings, ohne wirklich Klarheit zu schaffen. Denn Intel gibt nicht genau bekannt, worin die Sicherheitslücke genau besteht und welche Auswirkungen sie haben kann. Immerhin erklärt der Prozessorhersteller, die Lücke habe das Potenzial, dass Angreifer sensitive Daten auf Systemen abgreifen könnten, die eigentlich wie vorgesehen arbeiten. Man gehe aber nicht davon aus, dass durch die Lücke Daten korrumpiert, manipuliert oder gelöscht werden könnten.
Allerdings betont Intel, dass nicht nur die hauseigenen Prozessoren betroffen seien: Berichte, die Sicherheitslücke trete nur bei Intel-CPUs auf, seien nicht richtig. Auf vielen Systemen mit unterschiedlichen Prozessoren und Betriebssystemen könne das Leck ausgenutzt werden. Intel arbeite mit anderen Herstellern, darunter AMD und ARM, und Betriebssystemanbietern zusammen, um das Problem allgemein zu lösen.

Google selbst habe bereits die eigenen Systeme sowie betroffenen Produkte aktualisiert. Auch habe man mit Hardware- und Software-Herstellern in der gesamten Industrie zusammengearbeitet, um die Systeme und die User zu schützen. Google gibt zudem detaillierten Hinweise zum Status einzelner Produkte und Dienstleistungen sowie dazu, ob User-Aktivitäten zum Schutz vor dem Ausnutzen der Lücke notwendig sind.

Ähnlich wie Google haben Microsoft und Amazon bereits begonnen, ihre Cloud-Dienste mit Updates abzusichern. Außerdem will Microsoft wohl noch vor dem 9. Januar 2018 ein Security-Update für Windows veröffentlichen.

Das Windows-Update, das Microsoft am 4. Januar 2018 hierzu herausgegeben hat, um der Sicherheitslücke zu begegnen, ist offensichtlich das Update, das für den 9. Januar mit Bekanntgabe der Details zu den Problemen vorgesehen war. Allerdings bekommen nicht alle Anwender das Update angeboten: Es gibt Probleme mit einigen Antivirus-Produkten. Betroffen ist Antiviren-Software, die laut Microsoft nicht unterstützte Aufrufe in den Windows-Kernelspeicher macht. Um die Kompatibilität ihrer Antiviren-Produkte mit dem Sicherheitsupdate zu dokumentieren, müssen die Hersteller einen bestimmten Registry-Key in Windows setzen; Microsoft dokumentiert dies in seinem Support-Hinweis. Einige Antiviren-Hersteller, etwa Kaspersky oder Avast, haben schon reagiert und Updates bereitgestellt oder sie für den 9. Januar angekündigt. Microsoft warnt ausdrücklich davor, das Windows-Update zu installieren, solange nicht kompatible Antiviren-Software eingesetzt wird.

Auch Apple soll mit einem früheren Update für macOS das Leck bereits partiell geschlossen haben und mit dem geplanten Update auf 10.3.3 weitere Fixes nachziehen.

Insgesamt stellt sich die Situation für die normalen User jedenfalls als sehr undurchsichtig dar – immerhin schätzen alle Sicherheitsforscher und Hersteller die Lücke als sehr gravierend ein, und alle Hersteller bemühen sich offensichtlich um schnelle Updates. Klar scheint nach den Analysen von Google jedenfalls zu sein, dass man lokal Code auführen können muss, um einen Angriff einzufädeln. Die weiteren Entwicklungen und die einzelnen Patches werden aber erst noch zeigen müssen, welche Auswirkungen die Lücke und die Gegenmaßnahmen wirklich haben.