»Meltdown« und »Spectre«: CPU-Gate weitet sich aus

In der Erschütterung der IT-Branche durch die CPU-Sicherheitslücken »Meltdown« und »Spectre« fällt es zunehmend schwer, den Überblick über betroffene Prozessoren und ausgelieferte Patches zu behalten.

(Foto: beebright - Fotolia)

Sicherheitsexperten des BSI bezeichnen »Meltdown« und »Spectre« als »gravierende und schwer zu behebende Sicherheitslücken.« G Data legt noch eine Schippe drauf mit dem Statement »Meltdown und Spectre gelten als die gravierendsten Sicherheitslücken in der Computergeschichte.« Beinahe stündlich tauchen neue Meldungen über betroffene Prozessoren auf, und im Dschungel der Patches bleibt die Information, ob der eigene Rechnen nun sicher ist oder nicht, häufig auf der Strecke. Am stärksten betroffen ist CPU-Hersteller Intel. Hier setzt man auf die Salami-Taktik: Erst spielte der Chip-Riese die Bedeutung der Lücken herunter, später räumte er ein, dass sie »manchmal gravierend« sein könne. Konkurrent AMD ist auch nicht besonders transparent, wenn Partner und Kunden fragen, welche CPUs betroffen sind und wer Patches erhalten soll. Alles sei sehr komplex, so ein AMD-Verantwortlicher.

Fujitsu hat inzwischen eine lange Liste mit betroffenen Produkten veröffentlicht. Sie enthält Mainboards, PCs und Workstations ebenso wie Thin Clients und Sparc-Server. Konkrete Abhilfe kann das Unternehmen noch nicht anbieten. Eine weitere Liste liegt von Google vor bezüglich Chromebooks, auch IBM und die NAS-Hersteller Qnap und Synology haben Einzelheiten genannt. Von Oracle hingegen gibt es noch keine greifbaren Informationen, auch bei Nvidia bleibt die Lage unklar. Doch nicht nur physische Geräte sind betroffen: Ein Bericht von Red Hat legt nahe, dass auch virtuelle Maschinen nicht verschont bleiben. Der physikalische Speicher der Host-Maschinen und der Speicher anderer virtueller Maschine auf dem gleichen Host sind demnach angreifbar. Container hingegen gelten weiterhin als sicher.

Wenn ein Patch zur Verfügung steht, heißt das noch lange nicht, dass dieser auch eingespielt wird. Denn Microsofts Windows-Updates vertragen sich mitunter nicht mit Antivirenprogrammen. Da das aktuelle Microsoft-Update in Kombination mit verschiedenen Antivirenprogrammen zu Abstürzen und Bluescreens geführt hat, setzt Microsoft die AV-Hartseller unter Druck: Das Update wird nur ausgerollt, wenn der Hersteller sein Programm explizit als kompatibel markiert. Dies erfolgt durch das Setzen einen Schlüsselwerts in der Registry. Bisher gibt es keine vollständige Übersicht, welche Antivirenprogramme mit dem Microsoft-Update kompatibel sind. Besonders pikant dabei ist, dass die Inkompatibilität oder das Fehlen eines Antivirenprogramms auch alle weitere Windows-Updates blockiert.

Völliges Chaos herrscht auch in der Frage, inwieweit die Patches zu einer Verlangsamung der Systeme führen. Intel bleibt hier seiner Salami-Taktik treu: Erst waren die Perfomance-Einbußen nach dem Patchen »unbedeutend«, inzwischen ist daraus »manchmal bedeutend« geworden. Besonders betroffen von der verringerten Leistung sind Cloudanbieter. Die Nachrichtenagentur »Reuters« meldet, dass bereits mehrere Rechenzentren und Großkunden in den USA Alternativen zu Intels x86-Architektur evaluieren und AMD und ARM als Optionen nennen. Inzwischen sind auch erste Klagen in mehreren US-Bundesstaaten eingereicht worden, die sich zu Sammelklagen ausweiten könnten.

Übersicht