Sicherheitsupdates

Meltdown und Spectre: Erste Updates zum Schutz sind da

Früher als vorgesehen haben Forscher mehr Details zu der in Intel-CPUs entdeckten Sicherheitslücke veröffentlicht. Mittlerweile stehen für alle wichtigen Betriebssysteme entsprechende Updates bereits. Jedoch gibt es dabei einige Dinge zu beachten.
Von mit Material von dpa
AAA
Teilen (37)

Sicherheit bei BetriebssystemenDie ersten Updates gegen Meltdown sowie Spectre sind da Eine Sicherheitslücke in zahlreichen Computer- und Smartphone-Prozessoren macht die Chips anfällig für Datenklau. Die unter der Bezeichnung Meltdown und Spectre veröffentlichten Angriffs­möglichkeiten ziehen sich quasi durch die gesamte Prozessor-Landschaft, wobei Intel in besonderem Umfang betroffen ist.

Das perfide an den entdeckten Lücken ist der Fakt, dass nur der Austausch der verbauten Prozessoren mit neuen Hardware-Revisionen tatsächlich die Lücken schließt. Updates für Betriebs­systeme sind nur eine Art Pflaster, die zwar den direkten Kontakt mit den Sicherheits­löchern zu verhindern versuchen, das Problem an sich aber nicht lösen können.

Dennoch ist es wichtig, die von Microsoft, Apple und auch Google veröffentlichten Patches möglichst schnell über die eingebaute Update-Funktion der Betriebs­systeme zu installieren.

Microsoft Windows

Microsoft hat bereits ein Update für Windows 10 veröffentlicht. Selbst für Windows 8 und Windows 7 sollen entsprechende Updates bereit­gestellt werden. Sofern diese nicht automatisch eingespielt werden, sollten Nutzer in den nächsten Tagen in der System­steuerung unter "Windows Update" schauen, ob sie bereits vorhanden sind. Grund­sätzlich rät Microsoft dazu, immer sofort die neuesten Sicherheits­updates einzuspielen.

Jedoch sollten Anwender von Anti-Malware-Programmen unbedingt vorher schauen, ob der Entwickler der eingesetzten Lösung den Microsoft-Patch bereits unterstützt. Bei den internen Tests des Patches von Microsoft hat sich gezeigt, dass einige Anti-Malware-Programme mit nicht unterstützten Aufrufen auf den Windows-Kernelspeicher zugreifen, was bei installiertem Patch zu einem Bluescreen führen kann.

Daher rät Microsoft dazu sich im Vorfeld zu erkundigen, ob das Anti-Malware-Programm selbst ein entsprechendes Update erhalten hat, wie im Fall von Kaspersky oder auch Avast. Anderenfalls wird von der Installation des Patches abgeraten. Die von Microsoft angesprochenen Programm-Updates setzen von der Sache her einen neuen Registry-Eintrag, welchen wiederum das Windows-Update gegen Meltdown und Spectre abruft. Ist dieser nicht vorhanden, weil das Anti-Malware-Programm noch kein Update erhalten hat, taucht auch das Windows-Update nicht in der Update-Suche auf.

Apple macOS

Auch Mac-Nutzer sollten Updates sofort installieren, wenn sie über den Mac App Store angeboten werden. Wie heise security berichtet, ist ein Teil des Problems mit dem jüngsten macOS-Update bereits behoben. Das Update auf macOS 10.13.3 soll weiteren Schutz bringen und befindet sich aktuell im Beta-Test.

Welche genauen Mechanismen zum Schließen der Lücken mit macOS 10.13.3 genutzt werden, dürfen beteiligte Entwickler aufgrund einer Verschwiegenheits­klausel nicht verraten. Im Fall von macOS 10.13.2 wird zumindest ein Double Map genanntes Prinzip verwendet, um das Apple-Betriebssystem weitest­gehend abzusichern. Der Entdecker Alex Ionescu merkt an, dass es nicht zwingend erforderlich ist, macOS 10.13.3 zu installieren, um die Sicherheits­lücke von Seiten des Betriebs­systems gänzlich zu schließen. Es werden lediglich einige Routinen anders gehand­habt, was sich minimal positiv auf die Leistung auswirkt.

Apple iOS

Für Besitzer eines iPhone oder iPad ist es wichtig, dass das Update auf iOS 11.2 installiert wird. Wie bei macOS 10.13.2 sind in der aktuellen Fassung des iOS-Betriebssystems erste Maßnahmen zum abschwächen der Sicherheits­lücken implementiert, die spätestens mit iOS 11.3 weiter ausgebaut werden. Besitzer einer Apple Watch benötigen kein Update, da das Betriebs­system watchOS 4 nicht von Meltdown sowie Spectre betroffen ist.

Google Android

Auch Nutzer von Android-Smartphones sind unter Umständen betroffen. Laut Google sind Geräte mit dem jüngsten Sicherheits­update mit Stand 5. Januar geschützt. Dies betrifft hauptsächlich neuere Androiden und Googles eigene Pixel-Smartphones. Wann es von den einzelnen Herstellern für ihre jeweiligen Geräte Sicherheits­updates gibt, ist noch unklar. Viele ältere Geräte werden erfahrungs­gemäß kein Update erhalten und zeigen einmal mehr, welchen enormen Nachteil die Android-Plattform mit sich bringt.

Immerhin könnte Google mit Project Treble den Schlüssel in der Hand halten, um selbstständig derart wichtige Sicherheits­updates auf unterstützte Geräte ausliefern zu können. Leider ist der Unterbau für Project Treble erst bei Geräten Pflicht, die ab Werk mit Android 8.0 Oreo ausgeliefert werden und nicht bei Geräten, die diese Android-Version als Update erhalten.

Der Grund dafür ist die notwendige neue Aufteilung des internen Speichers, welche ein vergleichs­weise kompliziertes Neu-Flashen der Geräte erforderlich machen würde. Ein Schritt, den kein OEM-Hersteller seinen Kunden zumuten will.

Chrome und Firefox

Neben den gängigen Betriebssystemen haben mit Google und Mozilla auch erste Browser-Hersteller dazu geraten, den jeweils verwendeten Browser gegen potenzielle Angreifer abzuschotten. Für Chromium und dem darauf basierenden Chrome Browser wird dazu geraten, die Option Website-Isolierung in den Einstellungen zu aktivieren. Hierbei wird jedes Browser-Fenster in einem separaten Prozess gerendert, was Angriffe zusätzlich erschwert.

Dazu muss in der Adresszeile die lokale Adresse "chrome://flags/#enable-site-per-process" eingegeben werden, um anschließend hinter dem Punkt auf den Button Aktivieren zu klicken. Nach einem Neustart des Browsers ist die Funktion aktiv. Mit Chrome 64 wird zudem die JavaScript-Engine V8 gegen Ende Januar mit weiteren Maßnahmen ausgestattet.

Auch für Mozilla Firefox wird es demnächst ein Update gegen Meltdown und Spectre geben. Bei diesem Update soll die Genauigkeit von Zeitquellen innerhalb des Browsers herunter­gesetzt werden, da die Angriffs­szenarien auf einer genauen Zeitmessung basieren. Zu den Maßnahmen gehören eine Deaktivierung der Funktion SharedArrayBuffer, sowie die JavaScript-Methode performance.now() auf ein Zeitfenster von nur noch 20 Mikrosekunden beschränkt.

Teilen (37)

Mehr zum Thema Sicherheitslücke