zurück zum Artikel

Meltdown und Spectre im Überblick: Grundlagen, Auswirkungen und Praxistipps

Sicherheitslücken Meltdown und Spectre

Der erste Pulverdampf hat sich verzogen: c't 3/2018 fasst die wichtigsten Informationen zu den schweren Sicherheitslücken aktueller Prozessoren zusammen, liefert Messergebnisse und bringt Praxistipps.

Die Sicherheitslücken Meltdown und Spectre halten die IT-Welt in Atem. Sie stecken in allen aktuellen Prozessoren von Intel, AMD, IBM und auch in vielen Smartphone-Chips von Apple, Mediatek, Qualcomm, Samsung und anderen. Zwar sind noch viele wichtige Fragen offen, so wurden etwa einige BIOS-Updates schon wieder zurückgezogen. Doch ein vorläufiger Überblick ist möglich: Die c't-Ausgabe 3/2018 liefert Messwerte, erklärt die drei Sicherheitslücken im Detail und stellt die wichtigsten Praxistipps für PCs mit Windows, macOS oder Linux sowie für Smartphones mit Android oder iOS zusammen.

CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

Die Messungen aus dem c't-Labor bestätigen im Wesentlichen, was Intel und Microsoft angekündigt haben: Bei Computern mit aktuellen Prozessoren sowie Windows 10 oder macOS High Sierra sinkt die Prozessorleistung kaum. Die meisten Besitzer aktueller Desktop-PCs und Notebooks werden im Alltag nichts bis wenig von den Updates für Betriebssystem, Browser und BIOS bemerken.

Doch vor allem bei Systemen mit Intel-Prozessoren und Highend-SSDs (PCIe NVMe) können die IOPS-Raten bei zufällig verteilten Zugriffen auf kleine Datenblöcke deutlich einbrechen – wenn auch nicht bei allen Zugriffsmustern. Weil diese NVMe-SSDs im Vergleich zu SATA-SSDs allerdings bloß in wenigen Nutzungsfällen von Client-Rechnern überhaupt spürbare Vorteile bringen, wirken sich auch die Performance-Nachteile durch die Spectre-Patches nur bei wenigen Anwendungen aus.

Grundsätzlich sind bei Systemen mit älteren Prozessoren und mit Windows 7 stärkere Rückgänge der Systemleistung zu erwarten. Die I/O-Bremse tritt allerdings vor allem nach den BIOS-Updates für Intel-Prozessoren auf, die für ältere Chips noch gar nicht erhältlich sind.

Ganz anders sieht das bei Servern aus. Dazu erreichen uns Berichte über erhebliche Performance-Einbußen. Es sind außerdem Hinweise aufgetaucht zu Performance-Problemen bei Digital Audio Workstations (DAW) und Datenbanken. Pauschale Aussagen sind dazu wiederum nicht möglich: Google hat seine Cloud-Server angeblich ohne Nachteile abgesichert [7].

Wann neue Prozessoren ohne die aktuellen Fehler erscheinen werden, sagen weder Intel noch AMD. Die Control-flow Enforcement Technology (CET) [8], die Intel als Abhilfe gegen Branch Target Injection (BTI, Spectre Variante 2) ins Spiel bringt, wurde etwa bereits 2016 angekündigt – aber Intel verrät bisher nicht, in welcher CPU-Generation sie starten soll.

Es ist noch nicht einmal klar, ob, wann und für welche älteren Intel-Prozessoren BIOS-Updates erscheinen werden. Auch viele Smartphone-Hersteller äußern sich nicht öffentlich, ebensowenig wie einige Hersteller betroffener Smartphone-Prozessoren. Meltdown und vor allem Spectre werden die IT-Branche noch lange beschäftigen.

Lesen Sie dazu aus c't 3/2018 auf ct.de:

(ciw [10])


URL dieses Artikels:
http://www.heise.de/-3944915

Links in diesem Artikel:
[1] https://www.heise.de/meldung/FAQ-zu-Meltdown-und-Spectre-Was-ist-passiert-bin-ich-betroffen-wie-kann-ich-mich-schuetzen-3938146.html
[2] https://www.heise.de/meldung/Meltdown-Spectre-verstehen-Was-Unternehmen-jetzt-wissen-muessen-3954159.html
[3] https://www.heise.de/meldung/Meltdown-und-Spectre-im-Ueberblick-Grundlagen-Auswirkungen-und-Praxistipps-3944915.html
[4] https://www.heise.de/meldung/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html
[5] https://www.heise.de/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html
[6] https://www.heise.de/thema/Meltdown-und-Spectre
[7] https://www.heise.de/meldung/Meltdown-Spectre-Google-bruestet-sich-mit-unbemerkten-Cloud-Patches-3942644.html
[8] https://www.heise.de/meldung/Intel-verankert-Anti-Exploit-Technik-in-CPU-Hardware-3236707.html
[9] https://www.heise.de/ct/ausgabe/2018-3-Sicherheitsluecken-in-den-meisten-modernen-Prozessoren-3942720.html
[10] mailto:ciw@ct.de