Bisher war immer nur von Intel, AMD, Microsoft usw. die Rede. Aber auch Qualcomms Prozessoren und SoCs sind von der CPU-Lücke (Spectre und Meltdown) anfällig. Denn in einigen Prozessoren, wie auch dem kommenden Qualcomm Snapdragon 845 Chip, ist ein Cortex-A75 von ARM enthalten, der betroffen ist. Aber noch wurden keine Smartphones damit ausgeliefert.
Eine Liste der betroffenen CPUs hat Qualcomm noch nicht bereitgestellt. Aber man arbeite an einer Lösung. „Wir arbeiten aktiv daran, die Schwachstellen für unsere betroffenen Produkte zu beseitigen“. „Wir sind dabei, diese Maßnahmen unseren Kunden zur Verfügung zu stellen und empfehlen unseren Kunden, ihre Geräte zu aktualisieren, sobald Patches verfügbar sind.“
So jedenfalls eine Antwort auf eine Mail von cnbc. Damit haben nun alle zu tun und können fleissig daran arbeiten, dass die Lücke geschlossen wird. Die Microsoft-Leute sind sogar noch aus ihrem Weihnachts- / Neujahrsurlaub wieder zurückgeholt worden, damit die Patches für Windows fertiggestellt und überprüft wurden. Noch bevor die Sektkorken zum Neujahr knallten, waren die Sicherheitsupdates dann fertig. (Quelle liefere ich nach)
Es ist schon unglaublich mit welcher Kraft alle Hersteller (und auch zusammen) nun an einer Lösung arbeiten. Man bekommt das Gefühl, dass derzeit der Konkurrenzkampf außer Kraft gesetzt wurde. Gut für uns Anwender.
Bei Spectre wie Meltdown geht es um die Kernel, die die CPU ansteuern. So ich die Informatikerin verstanden habe. In diesem Speicher liegen die zentralen Informationen, die Betriebssysteme wie Windows oder MacOS (auch iOS) benötigen, um zu funktionieren – Steuerprotokolle, Krypto-Schlüssel und Datenorganisation
Zumindest eines ist klar geworden durch Spectre und Meltdown: Die Virenscanner können die Kernels offenbar vor Überraschungen aus fremder Hand nicht
schützen. Windows hatte es wohl mit der letzten KB .892 im Focus. Letztlich aber eben nur eine von Natur (der Hardware geschuldet) aus sehr unzureichende Maßnahme. Microsoft ist in keinster Weise kein Vorwurf zu machen. Fest steht, dass es einige Zeit dauern wird, bis diese Exploits mit für mich als Normal-User sehr ungewöhnlicher Adresse, nämlich, dass die Hardware diesmal von Exploits betroffen sind, gepatched werden können. Selbst die Hersteller traf dieses durchaus ungewöhnliche „Vorkommnis“ wie einen Paukenschlag. Zumal es sein kann, dass diese Lücken schon seit vielen Jahren bekannt sein müssten und deswegen verschiedene User in drei verschiedenen US-Bundesstaaten zur Klage gegen Intel gegriffen haben.
Die Tu Graz hat nun als Option den sogenannten Kaiser Patch geschrieben, der momentan auch als Lösung für Intel möglicherweise eine durchaus veritable Lösung wäre. Wie AMD und all die anderen Chiphersteller reagieren werden, ist aktuell noch unklar. Man wird erst einmal die einzelnen Lösungsvorschläge im Laborbetrieb testen, bevor die Aktion des Ausrollens beginnen wird. Das kann noch sehr lange dauern.
Immer wieder hört man, dass die notwendigen Fixes zu Performance-Problems führen könnten.
Wired schreibt hierzu:
Die Perfomance-Einbußen hängen stark vom Einzelfall ab. Normale PC-Nutzer dürften kaum etwas mitbekommen. „Für das Surfen im Netz, für Banking-Apps und Photoshop ist unser Patch kein Problem, sagt ein Programmierer von Kaiser Patch. Wer aber mit vielen kleinen Dateien und Prozessen hantiert, etwa große Serverzentren, der wird das Update schmerzlich merken – vor allem, wenn nicht die neuesten CPUs zum Einsatz kommen. Die Datenindustrie dürfte Spectre und Meltdown also besonders hart treffen.
Die Angst vor langsamer Verarbeitung und finanziellen Einbußen, sollte nicht die größte Sorge der Unternehmen sein. Wir haben hier einen Meilenstein, der neue Wege zeigt, schreibt WIRED. Im Bereich Software werden andauernd Sicherheitslücken entdeckt, hier geht es um etwas anderes: Wenn Angreifer das tiefste Innere eines Systems, dessen zentrale Hardware, manipulieren und aushorchen können, dann ist die Sicherheit der Software völlig egal. „Dann gelten die alten Annahmen über Sicherheit schlicht nicht mehr“, so ein Programmierer der TU Graz.
Schöner Kommentar, Peter
ich predige seit jahren (eigendlich seit p4)in fachkreisen/tagungen…das sowas möglich IST….wurde immer belächelt…das das staunen in fachkreisen so groß ist, verwundert mich sehr!
aber als programmierer/entwickler für microcontroller…(ebend solcher hardware „software“)…waren indizien schon eigendlich immer da, das mit intel hardware was nicht stimmt. darum bin ich damals als p4 rauskam zu amd gewechselt. in gewisser weise ist ja auch die intel abweichung bei x64 zum amd original der eigendliche grund (intel lizenziert von amd x64 und amd von intel x86)…ich sehe die grundszliche schuld dieses sicherheitsdebakels allein bei intel.
aber grundsäzlich ist sowas immer möglich, wenn ein system direkten hardwarezugriff erlaubt (also bei allen gänigen systemen). denn auch hardware „software“ hat lücken, fehler etc.
@nörgler2017:
Die Schuld kann gar nicht hauptsächlich bei Intel liegen ,da auch die ARM Architektur(qualcomm, nvidia,apple etc.) betroffen ist.
Diese Architektur hat nichts mit x86 und amd64 zu tun.
Das wie letzen Abschnitt schon beschrieben alle Hersteller auch zusammen schnell an einer Lösung arbeiten dürfte eher die Angst vor Sammelklagen und hohen Schadenersatzforderungen gerade in den USA sein.
Der Imageschaden bei den Endkunden ist hier nicht der treibende Kraft, da mehr oder wenige alle CPU-Hersteller und Architekturen betroffen sind.