“Melt­down” und “Spect­re”: Tech-Fir­men kämp­fen gegen Sicherheitslücken

Zwei Sicher­heits­lü­cken bedro­hen Com­pu­ter und Smart­phones welt­weit. Sie ermög­li­chen es Hackern, Pass­wör­ter und per­sön­li­che Daten auf den ange­grif­fe­nen Rech­nern aus­zu­le­sen. Die Schwach­stel­le ist den Her­stel­lern schon seit län­ge­rer Zeit bekannt.

“Melt­down” und “Spect­re”, wie die Sicher­heits­exper­ten die bei­den auf­ge­spür­ten Sicher­heits­lü­cken getauft haben, öff­nen Angrei­fern einen Weg in die gehei­men Daten über den Pro­zes­sor. Das Pro­blem: Um Ver­zö­ge­run­gen im Rechen­pro­zess zu ver­mei­den, grei­fen Chips schon im Vor­aus auf ein­zel­ne Infor­ma­tio­nen zu, die spä­ter benö­tigt wer­den könn­ten – qua­si auf Ver­dacht. Die­se ent­spre­chend “spe­cu­la­ti­ve exe­cu­ti­on” genann­te Tech­nik ist welt­weit ver­brei­tet. So ist es mög­lich, dass welt­weit Mil­li­ar­den von Rech­nern betrof­fen sind.

Dass die Tech­nik für Hacker-Angrif­fe genutzt wer­den kann, war u. a. von Goog­le ent­deckt wor­den, die dar­auf­hin die Her­stel­ler infor­mier­ten. Ursprüng­lich soll­te die Öffent­lich­keit erst am 9. Janu­ar über den Fund infor­miert wer­den, damit die Tech-Fir­men genü­gend Zeit für Gegen­maß­nah­men hät­ten. Doch als zuletzt ers­te Gerüch­te über die bei­den Schwach­stel­len die Run­de mach­ten und der Kurs des Chip-Her­stel­lers Intel absack­te, ent­schied man sich zur Ver­öf­fent­li­chung. Ob bereits Rech­ner betrof­fen sei­en, wis­se man aller­dings nicht. Die Angrif­fe hin­ter­las­sen theo­re­tisch kei­ne Spuren.

Wie gehen Melt­down und Spect­re vor?

Melt­down und Spect­re, berich­tet eine eige­ne Web­sei­te, betref­fen bei­de den Pro­zes­sor, gehen aber anders vor. Melt­down über­win­det die Trenn­li­nie zwi­schen den ein­zel­nen Pro­gram­men und dem Betriebs­sys­tem. Dadurch könn­te eine Hacker-Soft­ware auf den Spei­cher, sprich in die Daten­ban­ken ande­rer Pro­gram­me zugrei­fen. Gegen das Pro­blem lie­gen bereits die ers­ten Patches vor.

Spect­re hin­ge­gen ist kom­ple­xer. Die Metho­de zielt direkt auf den spe­ku­la­ti­ven Zwi­schen­spei­che­rungs­pro­zess und liest die hier auf­ge­lau­fe­nen Pass­wör­ter und Daten aus. Die For­scher, so die Berich­te, hät­ten die Sicher­heits­lü­cke auf Chips sowohl von Intel und AMD als auch bei Pro­zes­so­ren mit ARM-Archi­tek­tur nach­ge­wie­sen, die in den meis­ten Smart­phones genutzt wer­den. Sie ist schwie­ri­ger aus­zu­nut­zen, aller­dings auch schwe­rer zu schlie­ßen. Sicher­heits­up­dates wer­den sich des­halb wohl eher auf die nöti­ge Schad­soft­ware konzentrieren.