Spectre & Meltdown: Alles, was ihr zur Mega-Sicherheitslücke wissen müsst

UPDATEUnfassbar !16
Meltdown und Spectre haben sogar eigene Logos erhalten.
Meltdown und Spectre haben sogar eigene Logos erhalten.(© 2018 Public Domain/ CURVED Montage)

Die Ausmaße von "Spectre" und "Meltdown" sind gewaltig: Milliarden von Geräten sind von den Sicherheitslücken betroffen. Angreifer haben die Möglichkeit, auf verschlüsselte Daten auf Computern, aber auch Smartphones und sogar Smartwatches zuzugreifen. Was sie anrichten, welche Geräte betroffen sind und was hilft, erklären wir euch hier.

Was sind Spectre und Meltdown?

Spectre und Meltdown sind die Namen zweier Sicherheitslücken, die fast alle aktuellen Chipsätze betreffen. Sie gewähren Zugriff auf Informationen, die eigentlich tief im System versteckt sind. Vereinfacht gesagt lassen sich wegen eines grundlegenden Fehlers im Design der Prozessoren verschlüsselte Daten wie Passwörter oder Sicherheitsschlüssel auslesen. Denn: Die Chipsätze rufen diese Informationen schon vorab auf, damit sie bei Bedarf schneller vorliegen. Spectre und Meltdown sind zwei unterschiedliche Herangehensweisen, diese Daten ohne weitere Erlaubnis abzurufen. Meltdown betrifft Intel-Chipsätze, Spectre wiederum Intel-, AMD und ARM-Chipsätze. Eine sehr ausführliche und technische Beschreibung liefert das Project Zero von Google, das sie Sicherheitslücken mitentdeckt hat.

Welche Geräte sind betroffen?

Grob gesagt alle Geräte, in denen aktuelle Intel-, AMD- oder ARM-Chipsätze stecken. Das betrifft neben Laptops und PCs auch Konsolen wie die Playstation, Xbox oder Nintendo Switch sowie Server von Cloud-Anbietern – und auch Smartphones, Tablets sowie Smartwatches und Streaming-Boxen wie etwa Apple TV. Egal ob Windows, Linux, macOS, Android oder iOS: Das Betriebssystem spielt keine Rolle. Betroffen sind alle.

Getestet und nachgewiesen wurden die Sicherheitslücken bei Prozessoren, die ab 2011 hergestellt wurden. Theoretisch betroffen sind sogar alle seit 1995 produzierten Chipsätze. Grundsätzliche sollte jedes nicht negativ getestete Gerät als gefährdet betrachtet werden.

Egal ob A11 Bionic von Apple, Snapdragon 835 von Qualcomm, Exynos 8895 von Samsung oder Helio P20 von Mediatek: Alle in Smartphones und Tablets verbauten Chipsätze basieren auf einem ARM-Kern und sind ebenso betroffen wie die wenigen Modellen mit Intel-Chipsätzen. Auch der Snapdragon 2100, der für Wearables vorgesehen ist und zum Beispiel in der Asus Zenwatch 3 oder der Misfit Vapor steckt, ist genauso ein ARM-Chipsatz wie die S-Chip der Apple Watch.

So schützt man sich vor Spectre und Meltdown

Entdeckt wurden Spectre und Meltdown bereits im Juni 2017. Seitdem arbeiten Entwickler daran, die Sicherheitslücken zu schließen. Für Meltdown waren sie auch erfolgreich, doch das Schlupfloch von Spectre lässt sich nicht so einfach schließen.

Mit einem Software-Update kann man zwar eine "höhere Mauer" um den Kernel bauen, sodass der Meltdown-Angriff nicht mehr funktioniert. Damit gehen allerdings Leistungseinbußen einher, die sich zwischen fünf und 30 Prozent bewegen sollen. Apple konnte bei seinen Updates bisher keinen so großen Rückgang der Leistung feststellen.

Unter Windows

Amazon und andere Betreiber von Cloud-Plattformen haben ihre System bereits aktualisiert oder ein Update für die erste Januar-Hälfte angekündigt. Für Windows hat Microsoft bereits am 4. Januar einen Sicherheitspatch veröffentlicht. Haltet beim Windows Update nach "KB4056892" Ausschau. Entwickler verschiedener Linux-Distributionen arbeiten bereits an entsprechenden Updates.

Spectre stellt die Entwickler dagegen vor eine deutlich größere Herausforderung. Sie konnten bisher noch keinen Weg finden, den Angriff ganz zu unterbinden, da die Lücke quasi fest eingebaut ist. Deswegen ist in diesem Zusammenhang oft von "Mitigation" die Rede, was sich mit "Minderung" übersetzen lässt. Euch bleibt am Ende auch hier nichts anderes übrig, als auf Updates der Hersteller zu warten und sie zu installieren.

Neben dem Betriebssystem müsst ihr auch eure Browser aktualisieren, da Spectre über JavaScript-Code im Browser ausgenutzt werden kann. Chrome sollte man bereits jetzt auf die neueste Version aktualisieren und am 23. Januar auf die Version 64 updaten. Bei Firefox müsst ihr mindestens die Version 57 installieren und für Safari hat Apple ein Update in den nächsten Tagen angekündigt.

Unter Android

So enthält zum Beispiel das Android-Sicherheitsupdate für den Januar 2018 Minderungen für Spectre. Google hat dieses für das Nexus 5X, Nexus 6P, Pixel C, Pixel (XL) und Pixel 2 (XL) bereits veröffentlicht. Andere Hersteller müssen ihre Geräte selber mit dem Update versorgen und haben die nötigen Informationen von Google bereits im Dezember erhalten. Leider lässt die Versorgung mit Updates bei vielen Modellen zu wünschen übrig. Euch bleibt ihn diesem Fall nur das Warten auf ein Update.

"Strict site isolation" in Chrome unter Android aktivieren.(© 2018 CURVED)

In der Android-Version des Chrome-Browsers könnt ihr "chrome://flags" in das Adressfeld eingeben und in den dann erscheinenden Einstellungen nach "Site" suchen. Aktiviert ihr die "Strict site isolation" erschwert ihr Zugriffe über Spectre. Nebenwirkungen, etwa auf die Darstellung von Webseiten, sind allerdings nicht ausgeschlossen. Es handelt sich noch um eine experimentelle Sicherheitsfunktion.

Unter iOS, macOS und Co

Apple hat nach eigenen Angaben Meltdown bereits im Dezember 2017 mit iOS 11.2, macOS 10.13.2, und tvOS 11.2 behoben und konnte keine negativen Einflüsse auf die Leistungsfähigkeit feststellen. Die Apple Watch sei von Meltdown nicht betroffen, hieß es aus Cupertino.

Updates für iOS, macOS, tvOS und watchOS, die vor Spectre schützen, hat Apple außerhalb der üblichen Beta-Versionen veröffentlicht. Auf dem iPhone müsst ihr zum Beispiel iOS 11.2.2 und auf dem Mac macOS 10.13.2 installieren.


Weitere Artikel zum Thema
iOS 12: Das sind die neuen Emojis für iPhone und iPad
Marco Engelien
Die neuen Emojis in iOS 12 bieten mehr Vielfalt.
Pünktlich zum "Welt Emoji Tag" gibt Apple einen Ausblick auf neue Smileys, die in iOS 12 enthalten sein werden. Mit dabei sind Superhelden und Tiere.
Nicht nur Surface Phone: Micro­soft soll an Android-Smart­phone arbei­ten
Christoph Lübben1
Könnte Microsoft nach den Lumia-Smartphones (Bild) ein Android-Gerät planen?
Angeblich will Microsoft ein neues Smartphone veröffentlichen. Als Betriebssystem soll aber Android vorinstalliert sein.
"PUBG Mobile" läuft auf Huawei-Smart­pho­nes künf­tig schnel­ler
Christoph Lübben
Die schöne Grafik von "PUBG Mobile" soll mit "GPU Turbo" von Huawei noch flüssiger über den Screen laufen
Flüssiger “PUBG Mobile” auf Huawei-Smartphones spielen – das Feature “GPU Turbo” soll speziell bei diesem Titel für mehr Leistung sorgen.

Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Durch die weitere Nutzung der Website stimmen Sie dem zu. Um mehr über die von uns verwendeten Cookies zu erfahren und wie man sie deaktiviert, können Sie unsere Cookie-Richtlinie aufrufen.