Als Anfang des Jahres unter den Namen Spectre und Meltdown insgesamt drei grundlegende Fehler in der Art, wie aktuelle Prozessoren rechnen, offenbar wurden, warnte so mancher Sicherheitsexperte, dass hier noch weitere ähnliche Probleme folgen könnten. Nun bewahrheiten sich diese Prognosen.

Umfassendes Problem

Google und Microsoft warnen gemeinsam vor einer neuen kritischen Hardwarelücke, die praktisch alle aktuellen Prozessoren betrifft. Neben Intel- und AMD-Chips sind also auch die im Smartphone-Bereich dominanten ARM-Prozessoren betroffen. Selbst IBMs Power-Architektur und die System-z-CPUs sind für entsprechende Angriffe anfällig.

Besonders unerfreulich: Da der Angriff erneut auf einem grundlegenden Designfehler in der Prozessorarchitektur basiert, lässt er sich nicht so einfach mit einem Update bereinigen. Zwar können betreffende Attacken über Software- und Firmware-Anpassungen abgefangen werden, das geht aber mit weiteren Performance-Einbußen einher. Ein kompletter Fix kann hingegen nur über neue Hardware erreicht werden.

Angriffsweg

Ähnlich wie eine der beiden bisher schon bekannten Spectre-Ausführungen kann die neue Lücke potenziell über simple Skripte ausgenutzt werden, was einen Angriff auf Browser ermöglicht. So könnte dann etwa eine bösartige Webseite sensible Informationen aus anderen geöffneten Tabs auslesen – also beispielsweise Kreditkarteninformationen oder Passwörter. Aber zumindest in dieser Hinsicht gibt es eine gute Nachricht: Jene Workarounds, die Browser wie Chrome und Edge in den letzten Monaten für Spectre implementiert haben, greifen auch hier, was heißt, dass die meisten Rechner zumindest gegen dieses eine Angriffsszenario schon geschützt sein sollten.

Freilich gibt es auch noch andere potenzielle Angriffsvektoren, und das hat weniger erfreuliche Konsequenzen. Heißt dies doch, dass für eine komplette Bereinigung – einmal mehr – Firmware-Updates für alle betroffenen Rechner anstehen. Und vor allem: Diese führen zu weiteren Leistungseinbußen, bei Intel spricht man etwa im Schnitt von einem Performance-Verlust in der Größenordnung von zwei bis acht Prozent bei den eigenen Prozessoren.

Intel

Angesichts dessen – und da für die meisten User auch aufgrund des erwähnten Browserschutzes die Gefährdung recht gering ist – sollen die neuen Schutzfunktionen zumindest bei Intel vorerst nicht von Haus aus aktiviert werden. Diese Wahl wolle man den Nutzern beziehungsweise den Hardwarepartnern überlassen. Entsprechende Updates für die Prozessor-Firmware (Microcode) seien bereits weitergereicht worden, versichert Intel, nun liegt es an den Soft- und Hardwarepartnern, diese auszuliefern.

ARM und AMD

Von ARM heißt es wiederum, dass nur ein kleiner Teil der eigenen Cortex-A-Prozessorkerne betroffen ist. Das ist zwar an sich richtig, ein Blick auf die entsprechende Detailinformationen offenbart aber, dass ausgerechnet jene anfällig sind, die in aktuellen Smartphones zum Einsatz kommen, von Cortex A57 bis A75. ARM betont allerdings auch, dass man bereits entsprechende Updates entwickelt hat, die man ebenfalls an die eigenen Partner weitergereicht habe. Ob diese in der gewohnt Update-faulen Smartphone-Welt dann auch bis zu den Konsumenten gelangen, ist natürlich eine ganz andere Frage.

Bei AMD verweist man wiederum auf die Betriebssystemhersteller, im Falle der eigenen Prozessoren sollen entsprechende Updates schon bald für Windows- und Linux-Systeme folgen.

Hintergrund

Technische Hintergründe liefert der Linux-Anbieter Red Hat. Daraus geht hervor, dass es sich bei dem neuen Bug genau genommen um eine weitere Spectre-Variante handelt, der Fehler also in der spekulativen Ausführung von Prozessorbefehlen zu suchen ist. Dabei handelt es sich um einen Trick moderner CPUs, bei dem diese schon vorab "raten", welchen Weg die nächsten Befehle nehmen werden, um so den Prozessor besser auszulasten und die Ausführung zu beschleunigen. Da dabei Daten aus dem Hauptspeicher in den Cache des Prozessors kopiert werden, kann die Ausführung so manipuliert werden, dass andere Speicherinhalte desselben Programms ausgelesen werden können – worunter eben auch sensible Daten fallen können.

Aufdecker

Entdeckt wurde die neue Attacke parallel von Microsofts Sicherheitsforscher Ken Johnson sowie von Jann Horn, der für Googles Project Zero aktiv ist und schon maßgeblich an der Aufdeckung der ersten Spectre- und Meltdown-Bugs beteiligt war. Hinter den Kulissen dürften die Fehler schon seit November bekannt gewesen sein, angesichts der Schwere und der zahlreichen betroffenen Firmen hat man sich aber bis jetzt mit der Veröffentlichung Zeit gelassen.

So spannend der Einblick, den dieser neue Bug in die Fallstricke moderner Prozessorentwicklung gibt, auch sein mag, die reale Gefährdung für die End-User ist derzeit gering. Das liegt einerseits daran, dass aktuelle Browser, wie erwähnt, bereits vor dem gefährlichsten Angriffsvektor schützen. Aber auch sonst ist so eine Attacke nicht gerade einfach ausführbar.

Weitere folgen

Es dürfte auch nicht der letzte solche Bug sein, der an die Öffentlichkeit kommt. So hat Heise Security schon Anfang Mai darauf hingewiesen, dass hinter den Kulissen an zwei neuen Spectre-Update-Wellen gearbeitet wird. Die erste davon solle noch im Mai bekanntgemacht werden – was sich jetzt bestätigt hat. Die nächste folge dann im August. (Andreas Proschofsky, 22.5.2018)