2321888

Schwerer CPU-Bug: Alle Macs, iPads und iPhones betroffen

05.01.2018 | 09:19 Uhr | Panagiotis Kolokythas

Apple hat den CPU-Bug bei Intel- und ARM-CPUs analysiert und teilt mit: Nahezu alle seine Produkte sind von dem Fehler betroffen.

In einem Support-Beitrag teilt Apple seine Analyse der kĂŒrzlich enthĂŒllten CPU-SicherheitsanfĂ€lligkeit "Meltdown" und "Spectre" bei Intel- und ARM-basierten CPUs mit. Die schlechte Nachricht: Alle Mac-Systeme und iOS-GerĂ€te sind von der Problematik betroffen. Die gute Nachricht ist immerhin, dass bisher keinerlei Angriffe bekannt geworden sind, die auf die AnfĂ€lligkeiten "Meltdown" oder "Spectre" abzielen.

Lediglich die Apple Watch ist zumindest von "Meltdown" nicht betroffen. Apple empfiehlt allen Nutzern die Installation der zuletzt veröffentlichten Updates, um vor "Meltdown" sicher zu sehen. Konkret sind dies iOS 11.2, macOS 10.13.2 und tvOS 11.2. Schon bald soll Safari ein Update gegen Spectre-Angriffe erhalten. Weitere Updates fĂŒr alle Plattformen werden ebenfalls fĂŒr die kommende Zeit in Aussicht gestellt.

In dem Support-Beitrag liefert Apple auch einige ErklĂ€rungen zu Meltdown und Spectre. In beiden FĂ€llen werde eine Performance-Funktion moderner CPUs namens "speculative execution" ausgenutzt. Die Funktion beschleunige die Verarbeitung von Befehlen, indem die eingehenden Befehle nicht in der Reihenfolge ihres Eingangs abgearbeitet werden, sondern so angeordnet werden, dass sie besonders schnell argearbeitet werden können. Die Techniken Meltdown und Spectre können dabei dafĂŒr verwendet werden, eigentlich abgesicherte Informationen im Kernel-Speicher auszulesen. Dazu können etwa Passwörter oder andere persönliche Informationen gehören.

So funktioniert Meltdown

Im Falle von Meltdown wird das Auslesen des Kernel-Speichers möglich und ist ĂŒber CVE-2017-5754 dokumentiert. Apples eigene Analyse habe dabei ergeben, dass diese Technik das grĂ¶ĂŸte Potential biete, von Angreifern verwendet zu werden. Dagegen habe man iOS 11.2, macOS 10.13.2 und tvOS 11.2 bereits veröffentlicht. FĂŒr WatchOS sei kein Update notwendig. Die bereits im Dezember 2017 von Apple durchgefĂŒhrten Performance-Messungen nach der Installation der Updates hĂ€tten ergeben, dass die Systeme nicht merklich ausgebremst werden. Konkret hat Apple dabei mit folgenden Benchmarks gemessen: GeekBench 4, Speedometer, Jetstream und ARES-6.

So funktioniert Spectre

Spectre verwendet zwei unterschiedliche Techniken, die unter CVE-2017-5753 und CVE-2017-5715 dokumentiert sind. Auch hier könnte eine Anwendung Lesezugriff auf Informationen im geschĂŒtzten Kernel-Speicher erhalten. Ausgenutzt wird eine AnfĂ€lligkeit, die dadurch entsteht, dass es zu einer zeitlichen Verzögerung kommt, wenn die CPU einen Speicher-Zugriffsbefehl validiert. Apples Analysen hĂ€tten gezeigt, dass "Spectre" sich sehr schwer von Angreifern ausnutzen lasse und damit Angriffe eher weniger wahrscheinlich als im Falle von Meltdown seien.

Das Spectre-Update fĂŒr Safari soll in KĂŒrze erscheinen und wird sich laut Apple wenig auf die Performance von Safari auswirken. Bei Speedometer und ARES-6 habe man kaum eine Auswirkung gemessen. Die Auswirkungen beim Jetstream-Benchmark fallen mit unter 2,5 Prozent eher minimal aus. In naher Zukunft sollen schließlich auch Updates fĂŒr iOS, macOS, tvOS und watchOS folgen.


Macwelt Marktplatz

2321888