Fehler in betroffener Hardware ermöglichen den Zugriff auf geschützte Daten wie Zugangsdaten und Passwörter im Kernel des Betriebssystems. Betroffen ist eine Vielzahl von Prozessoren. Damit sind nahezu alle Systeme bedroht - Desktop-Rechner, Laptops, Server, mobile Geräte wie Tablets und Smartphones und auch Cloud-Dienste.
Meltdown und Spectre sind im letzten Jahr entdeckt worden. Es handelt sich um Schwachstellen in der Funktion von Computer-Prozessoren (Intel, AMD, ARM u.a.), die schon seit mindestens einem Jahrzehnt verbaut werden. Meltdown ermöglicht es, dass beliebige Programme auf geschützte Speicherbereiche des Betriebssystems zugreifen können. Spectre knackt die übliche Abgrenzung der Speicherbereiche zwischen Programmen und ermöglicht damit den Zugriff auf Daten anderer Prozesse. Damit können Passwörter und andere sensible Daten ausgespäht werden.
Antivirus-Tools können solche Attacken aktuell weder erkennen noch unterbinden. Auch ein möglicher Befall von Systemen mit entsprechendem Schadcode ist derzeit kaum nachweisbar. Hersteller von Prozessoren und Betriebssystemen stellen teilweise bereits Security-Updates zur Verfügung, die möglichst umgehend installiert werden sollten.
Nach Berichten über instabiles Verhalten von Systemen hat Intel Herstellern von Betriebssystemen empfohlen, einzelne Schutzmechanismen gegen Spectre (in der Variante 2) bis zu einer sicheren Implementierung durch Intel auszusetzen. Microsoft hat daher außerplanmäßig ein Update veröffentlicht, das Schutzmechanismen gegen Spectre V2 außer Kraft setzt. Das Update kann man bei Microsoft herunterladen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Spam-E-Mails, die angeblich im Auftrag des BSI auf eine gefälschte Webseite mit vermeintlichen Sicherheitspatches leiten, die aber Schadcode enthalten. Das BSI weist darauf hin, dass legitime Sicherheitsupdates zur Behebung der Sicherheitslücken "Spectre" und "Meltdown" von den jeweiligen Herstellern zur Verfügung gestellt und nicht per E-Mail verteilt werden.
Bisher zurückgehaltene Sicherheitsupdates für AMD-Prozessoren werden jetzt größtenteils von Microsoft verteilt. An Problemen, die ältere Prozessoren betreffen (AMD Opteron, Athlon und AMD Turion X2 Ultra Familie) wird gearbeitet und AMD geht davon aus, dass die Verteilung der Microsoft Updates für diese Prozessoren in der dritten KW erfolgen kann.
Microsoft hat noch einmal klargestellt, dass nur solche Systeme die Sicherheitsupdates gegen Meltdown/Spectre erhalten, deren Antivirus-Produkte den erforderlichen Registry-Key setzen. Die aktuell an der RUB verteilte Sophos-Version erfüllt diese Anforderung (s. Update vom 9.1.2018).
Auf Systemen mit Windows 10 oder 8.1, die kein Antivirus-Tool installiert haben, werde durch den eingebauten Defender der erforderliche Registry-Key gesetzt.
Systeme mit Windows 7 müssen ein externes Antivirus-Tool installiert haben, um die Sicherheitsupdates zu erhalten!
Weitere Informationen:
Aktuelle Windows-Patches gegen die Schwachstellen verteilen sich über WSUS und Windows Update mittlerweile automatisch. Auf heise.de werden die häufigsten Fragen zu Meltdown und Spectre verständlich zusammengefasst:
Seit heute Nachmittag wird die Sophos-AutoUpdater-Version 5.7.533 auch über Server der RUB verteilt. Diese Version setzt für Windows-Systeme den erforderlichen Registry-Key. Die Installation der aktuellen Windows-Patches sollte damit automatisch erfolgen. Auch der WSUS-Server der RUB stellt die aktuellen Windows-Patches bereit.
Da der aktuelle Patch auf zahlreichen (AMD-)Systemen zu Problemen führt (s.u. Update 7.1.2018), hat Microsoft die Verteilung dieses Patches für Rechner mit betroffenen AMD-Chips zunächst ausgesetzt. Weitere Infos - auch zur Behebung von Problemen bei gepatchten Systemen:
Apple hat die Updates iOS 11.2.2 und macOS High Sierra 10.13.2 Supplemental Update zum Schutz gegen Meltdown und Spectre veröffentlicht. Das macOS Supplemental Update aktualisiert den Safari-Browser zum Schutz gegen die Spectre-Schwachstelle. Weitere Informationen:
Auf dem Heise-Newsticker findet man eine ständig aktualisierte Linksammlung zu Informationen von Hard- und Softwareanbietern:
Sophos stellt seit dem 5.1.2018 eine AutoUpdate-Version zur Verfügung, die den erforderlichen Registry-Key setzt und damit die automatische Installation der Microsoft-Patches überhaupt erst ermöglicht. An der RUB scheint die erfordliche AutoUpdate-Version derzeit noch nicht zur Verfügung zu stehen. Sophos hat heute veröffentlich, dass der Rollout spätestens bis zum Dienstag, den 9.1.2018, erfolgen werde (Update 9.1.: AutoUpdate-Version wird jetzt über den Sophos-Server der RUB verteilt).
Heise security berichtet von Problemen nach der Installation des Windows-Patches. Das Update KB4056892 führt laut Nutzerberichten auf einigen AMD-Systemen zu einem Bootfehler. Andere Nutzer schildern Browser-Probleme:
Eine Erläuterung der technischen Hintergründen gibt Mike James von I Programmer:
Apple hat mittlerweile bestätigt, dass die Sicherheitslücke auch alle Macs und iOS-Geräte betrifft. Die Versionen iOS 11.1, macOS 10.13.2 und tvOS 11.2 seien bereits gegen Meltdown geschütz. Weitere Betriebssystem-Updates sind angekündigt; sobald wie möglich soll auch ein Update für Safari zum verbesserten Schutz gegen Spectre zur Verfügung gestellt werden. Weitere Informationen sind auch unter support.apple.com/de-de/HT208394 verfügbar.
Google stellt für seine Dienste, Android und Google-Apps bzw. -Hardware eine Übersicht der Sicherungsmaßnahmen durch Nutzer und Google selbst zur Verfügung:
Ein Patch gegen Meltdown wurde für Windows bereits am 3.1.2018 zur Verfügung gestellt. Updates stehen sowohl für das Betriebssystem sowie für die Browser Internet Explorer und Edge zu Verfügung. Patches stehen auf folgender Seite zum Download bereit und können manuell installiert werden. Sie werden auch am nächsten regulären Patchday (zweiter Dienstag des Monats) zur automatischen Installation bereit stehen. Achtung: Eine automatische Installation der Patches erfolgt nur dann, wenn das installierte Antivirus-Tool kompatibel ist und ein spezifischer Registry-Key gesetzt ist (gilt für alle Windows-Versionen). Microsoft empfiehlt, den jeweiligen Herstellersupport dazu zu kontaktieren.
Die Spectre-Schwachstelle kann auch übers Internet ausgenutzt werden, indem infizierte Webseiten vertrauliche Informationen in anderen Browsertabs ausspähen. Fast alle Hersteller haben daher Updates für Browser herausgegeben, um einen besseren Schutz zu gewährleisten.
Zusätzlich zu Patches für Betriebssysteme, Browser und sonstige Applikationen sollten auch Firmware-Updates (BIOS-Updates) eingespielt werden. Updates von Intel werden über die OEMs zur Verfügung gestellt.