Meltdown und Spectre: Chip Hack bekommt einen Namen, einen Notfall-Patch und ein offizielles Statement von Microsoft

Die Geschichte bezüglich der massiven Schwachstelle in fast jedem PC und anscheinend auch Telefon in den letzten 20 Jahren entwickelt sich heute schnell und weitere Details wurden nun von zwei Sicherheitsforschern im Zentrum der Entdeckung enthüllt.

Die als „Meltdown“ und „Spectre“ bezeichnete Schwachstelle ist offenbar seit 1995 in „fast jedem System“ vorhanden und ermöglicht Hackern den Zugriff auf Daten von jedem Ort im physischen Speicher eines Systems.

„Ein Angreifer könnte möglicherweise alle Daten auf dem System stehlen“, sagte Sicherheitsforscher Daniel Gruss.

Das Team bestätigte, dass nicht nur Intel-Chips betroffen sind, sondern auch einige, aber nicht alle AMD-Chips. AMD sagte jedoch: „Aufgrund von Unterschieden in der AMD-Architektur glauben wir, dass es derzeit ein nahezu null Risiko für AMD-Prozessoren gibt.“

ARM fügte hinzu, dass einige seiner Prozessoren, einschließlich seiner Cortex-A-Chips, betroffen seien. Cortex-A-Kerne kommen auch in der beliebten Snapdragon-Reihe von Qualcomm zum Einsatz.

Mit dem Meltdown-Hack könnte eine unprivilegierte Anwendung wie Javascript-Code möglicherweise Ihre Passwörter aus dem Speicher lesen und sie überall im Internet exportieren. Mozilla hat das bestätigt ein Javascript-basierter Angriff ist möglich und patchen Firefox, um dies zu mildern. Intel sagte, dass Angreifer jedoch nicht in der Lage sein werden, den Arbeitsspeicher eines PCs oder Telefons zu modifizieren, wodurch der Schaden etwas begrenzt wird. Spectre kann Anwendungen jedoch dazu verleiten, Informationen preiszugeben.

Derzeit gibt das britische National Cyber ​​Security Centre an, dass es keine Hinweise auf böswillige Exploits in freier Wildbahn gibt, aber angesichts des Umfangs der Schwachstelle gehen wir davon aus, dass Hacker sich beeilen, Exploit-Code zu produzieren, wobei Proof-of-Concept-Code bereits auf Twitter von veröffentlicht wurde Sicherheitsforscher Erik Bosman.

Die vollständigen Details der Schwachstelle wurden jetzt hier veröffentlicht.

Microsoft hat einen Out-of-Band-Sicherheitspatch veröffentlicht, um das Problem zu beheben, und heißt es in einer Erklärung:

Wir sind uns dieses branchenweiten Problems bewusst und arbeiten eng mit Chipherstellern zusammen, um Maßnahmen zum Schutz unserer Kunden zu entwickeln und zu testen. Wir sind dabei, Risikominderungen für Cloud-Dienste bereitzustellen, und haben außerdem Sicherheitsupdates veröffentlicht, um Windows-Kunden vor Schwachstellen zu schützen, die unterstützte Hardware-Chips von Intel, ARM und AMD betreffen. Wir haben keine Informationen erhalten, die darauf hindeuten, dass diese Schwachstellen für Angriffe auf unsere Kunden verwendet wurden.

Berichten zufolge hat Apple den Fehler in macOS 10.13.2 gepatcht, und Patches für Linux-Systeme sind ebenfalls verfügbar, und es wird erwartet, dass neue Prozessoren überarbeitet werden, um das Problem weiter anzugehen.

Der Windows 10-Patch wird heute automatisch um 5:2 Uhr ET / XNUMX:XNUMX Uhr PT angewendet, während Patches für ältere Windows-Versionen am Patchday eingeführt werden. Microsoft hat nicht gesagt, ob sie Windows XP patchen werden.

Der Patch hat das Potenzial, PCs zu verlangsamen, aber neuere Prozessoren wie Skylake sind weniger betroffen, und nicht alle Aufgaben sind gleichermaßen betroffen, wobei Aufgaben wie der Zugriff auf viele kleine Dateien stärker betroffen sind als beispielsweise das einfache Browsen.

Während die Schwachstelle anfangs als Intel-Problem verkauft wurde, sind PCs viel einfacher zu beheben als die riesige Menge von Android-Telefonen, die keine Updates mehr erhalten, was darauf hindeutet, dass dies letztendlich zu einem Telefonproblem für weit in die Zukunft werden könnte.

Daniel Gruss bemerkte, wie schwierig es sei, die Spectre-Angriffe einzudämmen, und sagte, dass das Problem „uns jahrelang verfolgen wird“.

Weitere Informationen zur Stelle und den Ansprechpartner in unserem Hause finden Sie hier: ZDNET, der Rand