2321888

Schwerer CPU-Bug: Alle Macs, iPads und iPhones betroffen

05.01.2018 | 09:19 Uhr | Panagiotis Kolokythas

Apple hat den CPU-Bug bei Intel- und ARM-CPUs analysiert und teilt mit: Nahezu alle seine Produkte sind von dem Fehler betroffen.

In einem Support-Beitrag teilt Apple seine Analyse der k├╝rzlich enth├╝llten CPU-Sicherheitsanf├Ąlligkeit "Meltdown" und "Spectre" bei Intel- und ARM-basierten CPUs mit. Die schlechte Nachricht: Alle Mac-Systeme und iOS-Ger├Ąte sind von der Problematik betroffen. Die gute Nachricht ist immerhin, dass bisher keinerlei Angriffe bekannt geworden sind, die auf die Anf├Ąlligkeiten "Meltdown" oder "Spectre" abzielen.

Lediglich die Apple Watch ist zumindest von "Meltdown" nicht betroffen. Apple empfiehlt allen Nutzern die Installation der zuletzt ver├Âffentlichten Updates, um vor "Meltdown" sicher zu sehen. Konkret sind dies iOS 11.2, macOS 10.13.2 und tvOS 11.2. Schon bald soll Safari ein Update gegen Spectre-Angriffe erhalten. Weitere Updates f├╝r alle Plattformen werden ebenfalls f├╝r die kommende Zeit in Aussicht gestellt.

In dem Support-Beitrag liefert Apple auch einige Erkl├Ąrungen zu Meltdown und Spectre. In beiden F├Ąllen werde eine Performance-Funktion moderner CPUs namens "speculative execution" ausgenutzt. Die Funktion beschleunige die Verarbeitung von Befehlen, indem die eingehenden Befehle nicht in der Reihenfolge ihres Eingangs abgearbeitet werden, sondern so angeordnet werden, dass sie besonders schnell argearbeitet werden k├Ânnen. Die Techniken Meltdown und Spectre k├Ânnen dabei daf├╝r verwendet werden, eigentlich abgesicherte Informationen im Kernel-Speicher auszulesen. Dazu k├Ânnen etwa Passw├Ârter oder andere pers├Ânliche Informationen geh├Âren.

So funktioniert Meltdown

Im Falle von Meltdown wird das Auslesen des Kernel-Speichers m├Âglich und ist ├╝ber CVE-2017-5754 dokumentiert. Apples eigene Analyse habe dabei ergeben, dass diese Technik das gr├Â├čte Potential biete, von Angreifern verwendet zu werden. Dagegen habe man iOS 11.2, macOS 10.13.2 und tvOS 11.2 bereits ver├Âffentlicht. F├╝r WatchOS sei kein Update notwendig. Die bereits im Dezember 2017 von Apple durchgef├╝hrten Performance-Messungen nach der Installation der Updates h├Ątten ergeben, dass die Systeme nicht merklich ausgebremst werden. Konkret hat Apple dabei mit folgenden Benchmarks gemessen: GeekBench 4, Speedometer, Jetstream und ARES-6.

So funktioniert Spectre

Spectre verwendet zwei unterschiedliche Techniken, die unter CVE-2017-5753 und CVE-2017-5715 dokumentiert sind. Auch hier k├Ânnte eine Anwendung Lesezugriff auf Informationen im gesch├╝tzten Kernel-Speicher erhalten. Ausgenutzt wird eine Anf├Ąlligkeit, die dadurch entsteht, dass es zu einer zeitlichen Verz├Âgerung kommt, wenn die CPU einen Speicher-Zugriffsbefehl validiert. Apples Analysen h├Ątten gezeigt, dass "Spectre" sich sehr schwer von Angreifern ausnutzen lasse und damit Angriffe eher weniger wahrscheinlich als im Falle von Meltdown seien.

Das Spectre-Update f├╝r Safari soll in K├╝rze erscheinen und wird sich laut Apple wenig auf die Performance von Safari auswirken. Bei Speedometer und ARES-6 habe man kaum eine Auswirkung gemessen. Die Auswirkungen beim Jetstream-Benchmark fallen mit unter 2,5 Prozent eher minimal aus. In naher Zukunft sollen schlie├člich auch Updates f├╝r iOS, macOS, tvOS und watchOS folgen.


Nehmen Sie Kontakt mit uns auf!

Macwelt Marktplatz

2321888