Meltdown und Spectre – Alles Wissenswerte für Mac- und iOS-User

Seit Anfang des Jahres kursieren Meldungen zu Sicherheitslücken in den Apple-Betriebssystemen iOS und macOS. Die beiden Begriffe Meltdown und Spectre werden dabei häufig genannt, da sie für die einzelnen Schwachstellen stehen. Betroffen sind dabei Chips von Intel, AMD und ARM, deren untätige Prozessor-Ressourcen (Speculative Execution) einen Angriffspunkt bieten, der das Auslesen von Daten und Dateien ermöglicht. Apple sind Meltdown und Spectre bereits bekannt; entsprechende Update- und Patch-Lösungen sind aktuell auf dem Weg.

Meltdown und Spectre sind Sicherheitslücken in CPU-Chipsets von Intel, AMD und ARM, die theoretisch den Fremdzugriff auf sensible Daten, Passwörter und Dateien bei Apple Mac (macOS) und iPhone (iOS) ermöglichen. Hier gibt's Infos und Tipps zum Thema.

Meltdown und Spectre sind Sicherheitslücken in CPU-Chipsets von Intel, AMD und ARM, die theoretisch den Fremdzugriff auf sensible Daten, Passwörter und Dateien bei Apple Mac (macOS) und iPhone (iOS) ermöglichen. Hier gibt’s Infos und Tipps zum Thema.

Meltdown und Spectre – was ist das?

Unter Meltdown versteht man eine Sicherheitslücke, von der angenommen wird, dass sie nur Intel-Prozessoren betrifft. Sie soll Sicherheitseinschränkungen „wegschmelzen“ (engl.: „melt down“), welche normalerweise durch die Hardware gegeben sind. Spectre ist eine ähnliche Sicherheitslücke, welche neben Intel auch AMD und ARM Prozessoren betrifft – das Problem ergibt sich hier aus der Art, wie die spekulative Ausführung gehandhabt wird, also die untätigen Prozessor-Ressourcen, die den Programmfluss im Voraus berechnen, um mögliche Aktionen schneller realisieren zu können.

Wie kamen die Sicherheitslücken ans Licht?

Scheinbar wurden Meltdown und Spectre von drei unabhängigen Stellen ans Tageslicht gebracht: dem Google Project Zero, Cyberus Technology und der Technischen Universität zu Graz bzw. einzelnen Forschern der drei stellen. Dabei wurde festgestellt, dass die oben beschriebenen Prozesse der Speculative Execution es ermöglichen, dass auf eigentlich geschützte Inhalte wie Passwörter, Verschlüsselungsdaten, andere sensible Informationen und Apps zugegriffen werden kann. Der Zugriff wurde dabei testweise auch in bzw. zwischen virtuellen und physischen Maschinen gleichermaßen realisiert. Mehr Infos und Details haben Google und dessen Project Zero.

Lesetipp: Mit Backups gegen Ransomware

Erste Patches und Updates am 8. Januar 2018 ausgerollt

Unter anderem das Apple WebKit, welches Web-Anwendungen in Safari ermöglicht, ist von den Sicherheitslücken betroffen. Wenn beispielsweise Java-Skripte (JavaScript) oder WebAssembly Code ausgeführt werden, dann ist dies der Fall. Dann hat ein möglicher Angreifer die Möglichkeit, auf Kernel und Kernel-Informationen zuzugreifen. Details gibt es auf der Webseite WebKit.org, wo auch aufgeführt wird, dass für diese Computer- und Mobil-Systeme bereits Patches mit Abschwächungen der Sicherheitslücke ausgerollt wurden:

  • iOS 11.2.2
  • macOS 10.13.2 (Hier als Supplemental Update zu jenem von Mitte Dezember 2017. Ob es installiert ist, seht ihr, wenn euer Safari die Versionsnummer 13604.4.7.1.6 oder 13604.4.7.10.6 hat)
  • Safari 11.0.2 für El Capitan (macOS 10.11) und Sierra (macOS 10.12)
  • tvOS 11.2

Übersicht: Aktuelle Apple-Sicherheitsupdates

Alle Sicherheitsupdates mit Erscheinungsdatum, Verfügbarkeit und Link zu weiteren Informationen bekommt ihr auch in dem Apple-Support-Dokument HT201222. Nicht nur für Systeme wie iOS, macOS, tvOS und watchOS gibt es hier Informationen, sondern auch im Hinblick auf Programme und Dienste wie Safari, iTunes und iCloud. Das betrifft zudem die einzelnen App-Versionen für Windows und Android.

Auch Windows und Linux sind betroffen

Die Central Processing Units (CPU) von Intel, AMD und ARM sind natürlich nicht nur bei Apple im Mac, iPhone oder iPad verbaut, sondern auch in Computern, Notebooks und ähnlichen Geräten mit Windows und Linux als Betriebssystem. Bereits seit dem 4. Januar 2018 reagiert Microsoft auf die Sicherheitslücken mit Patches für Windows 10, 8.1 und 7. Informationen zur Veröffentlichung des außerplanmäßigen Updates und weitere Details hat unter anderem ZDNET für euch. Einen umfangreichen Artikel für Apple-Nutzer in Form eines Meltdown und Spectre FAQ bietet überdies das englischsprachige Fachmagazin iMore.

Was kann ich als Nutzer machen?

Was kann ich als Nutzer machen und wie kann ich mich an iPhone, iPad, iPod, Mac, iMac MacBook sowie einem PC mit Windows oder Linux vor Meltdown und Spectre schützen? Diese Frage stellen sich jetzt vielleicht einige, die von den CPU-Sicherheitslücken gehört haben. Neben allgemeinen Hinweisen, die für jedes Security-Leck zutreffen, gibt es auch hier spezifische Angaben:

  • Installiert die immer aktuellsten Updates und Patches (am besten automatische Installation aktivieren)
  • Gleicht im Zweifelsfall eure System- und Programmversionen mit den Angaben der Hersteller (Apple, Microsoft, etc.) ab
  • Nicht in Panik geraten – Meltdown und Spectre sind zwar durch die CPU-Natur der Sache omnipräsent, aber nicht unbedingt omnipotent. Wenn ihr auf Nummer Sicher gehen wollt, dann speichert keine sensiblen Daten und Passwörter auf Mac, iPhone und Co.

Wie würdest du diesen Beitrag bewerten?

 
53

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.