CPU-Sicherheitslücken: Doch nahezu alle Hersteller betroffen - die Fakten

Gestern berichteten auch wir über den Fund einer neuen Sicherheitslücke, welche laut Berichten zunächst spezifisch für Intel-CPUs zu gelten schien. Nun wird immer mehr deutlich, dass fast alle Hersteller und Modelle betroffen sein könnten. Neben einer ersten Stellungnahme von Intel haben sich auch ARM, Google und AMD zu den Problemen geäußert.

Stellungnahmen

Intel gibt an, dass viele Rechnertypen, CPUs, Hersteller und Betriebssysteme von den Exploits betroffen sind. Eigentlich käme die nun anfällige Technik bei quasi jedem modernen Mikroprozessor zur Anwendung. Daher arbeite man bereits eng mit ARM, AMD und verschiedenen OS-Herstellern zusammen, um die Schwachstellen schnell zu beseitigen.

Cnet veröffentlichte auf Twitter eine Stellungnahme von ARM. Letztere haben darin die möglichen Exploits sowie die Zusammenarbeit mit Intel und AMD bestätigt. Auch Google hat mittlerweile ein Statement herausgebracht, in dem sie interessanterweise davon schreiben, dass die Schwachstellen viele Geräte und Betriebssysteme betreffe, darunter eben auch CPUs von Intel, ARM und AMD.

Letztere hatten zuvor noch eine Stellungnahme veröffentlicht, in der es hieß, dass AMD-CPUs auf Grund ihrer andersartigen Architektur nicht betroffen seien. Mittlerweile hat AMD jedoch eingelenkt und die ursprünglichen Aussagen verändert. Denn nur bei einer Variante (Variante 3) von möglichen Angriffen seien die CPUs durch ihre Architektur geschützt, bei einer anderen Variante (2) läge das Risiko bei „nahe Null“, während das Risiko einer dritten Variante (1) durch Updates behoben wird. Diese sollen die Leistung angeblich nur unmerklich beeinflussen.

Art der Exploits

Googles Project Zero beschreibt insgesamt drei Varianten von Exploits, die sich offiziell nach den ersten Reports auf zwei Begriffe reduzieren lassen, „Spectre“ (Varianten 1 & 2) und „Meltdown“ (Variante 3). Meltdown ist die kurzfristig deutlich gefährlichere Variante, die aber leicht gepatcht werden kann. Spectre betrifft hingegen fast alle modernen Prozessoren, ist aber nur sehr schwer für Angriffe ausnutzbar, aber leider auch deutlich schwieriger zu patchen. Die theoretischen Erklärungen zu den Schwachstellen sind mitunter sehr technisch und können u.a. auf der Seite des Project Zero nachgelesen werden. Google gibt an die betroffenen Unternehmen ab Juni über Spectre informiert zu haben, Meltdown sei im Juli entdeckt worden.

Fix und Leistungseinbußen

Microsoft indes wird noch heute einen Patch für Windows 10 veröffentlichen, Fixes für die Vorgänger Windows 7 und 8 sollen dann am kommenden Dienstag folgen. Auch Microsoft bestätigt, dass die Sicherheitslücken sowohl Intel- als auch AMD- und ARM-CPUs betreffen. Das Update kann vor allem bei „älteren“ CPUs vor der Skylake-Generation zu etwas größeren Leistungsverlusten führen. Nur im absolut schlimmsten Fall können die Einbußen 25 - 30 % betragen, die Verluste sind CPU-, vor allem aber anwendungsspezifisch.

Quelle(n)