Ein schwerwiegender Designfehler in Intel-CPUs der letzten zehn Jahre macht Geräte anfällig für Hackerangriffe. Nur ein Betriebssystem-Update kann dies beheben.
Der Meltdown-Fehler betrifft alle Intel-x86-Systeme auf Windows, Linux und macOS. Spectre wirkt sich auf Intel-, AMD-, ARM-Kerne und nun auch Nvidia aus.
Seit der Enthüllung arbeiten Google, Microsoft und Chiphersteller an Fixes für Spectre und Meltdown.
Apple bestätigte: Alle iPhones und iPads sind von beiden betroffen, die Apple Watch von Spectre. Bereits iOS 11.2.2 patcht diese. Nun folgt ein Update für ältere Macs.
iOS 11.2, macOS 10.13.2 und tvOS 11.2 schützen vor Meltdown; iOS 11.2.2 behebt Restlücken. Zusätzlich gibt es Patches für macOS Sierra (10.12.6) und OS X El Capitan (10.11.6) – ergänzende Sicherheitsupdates.
Intel steht vor Sammelklagen in Kalifornien, Oregon und Indiana wegen verspäteter Offenlegung. Kritik hagelt es auch an Leistungseinbußen durch Patches.
"Wir erwarten, dass die Auswirkungen arbeitslastabhängig variieren und mit der Branche minimieren", sagte Intel-CEO Krzanich.
Am härtesten kritisierte Linux-Erfinder Linus Torvalds: Auf der Kernel-Mailingliste nannte er Intels Patches "vollständigen und absoluten Müll" und warf Lügen vor.
Hacker nutzen die Panik: Gefälschte Patches mit Malware wie Smoke Loader werden über unseriöse Sites verteilt.
Malwarebytes entdeckte eine Variante auf sicherheit-informationstechnik.bid – ein Download-Link mit ZIP-Datei (Intel-AMD-SecurityPatch-10-1-v1.exe) infiziert PCs.
Forscher Jerome Segura: Das SSL-Zertifikat verweist auf .bid-Domains. Comodo und CloudFlare blockierten es prompt.
"Kriminelle missbrauchen Ereignisse wie diese für Phishing", warnt Segura.
Siehe auch: Verfahren gegen über 400 Websites mit Sitzungssniffing-Skripten – vollständige Liste.
Meltdown und Spectre: Was sind sie?
Googles Project Zero fand Lücken durch spekulative Ausführung in Intel-, AMD- und ARM-CPUs. Jann Horn zeigte: Hacker lesen geschützten Speicher aus – Passwörter, Schlüssel, Daten. Sogar VMs greifen Host-Speicher an.
Diese betreffen viele CPUs und Systeme. Google patched selbst und kooperierte mit Herstellern.
Laut The Register erlaubt Meltdown Apps und Browser-JavaScript Kernel-Speicherzugriff.
Fixes kosten bis zu 30 % Leistung. Microsoft plant Patch-Tuesday-Updates.
Bild: Flickr