Könnte CPU-Gate noch schlimmer werden?

Heute scheinen Microsoft-Patches AMD-PCs zu zerstören. Und Bruce Schneier prophezeit: Morgen wird's noch viel schlimmer.
 
Eine Hardware-Schwachstelle im Design von CPUs macht etwa drei Milliarden Geräte weltweit potenziell angreifbar: Smartphones aller Hersteller, Notebooks, PCs, Server, Cloud-Dienste, Browser…
 
Seit einiger Zeit arbeiten Software- und Hardware-Hersteller wie Cloud-Anbieter im Geheimen an Lösungen und Patches. Diese sollen bald überall verfügbar sein. Die Lücken namens "Meltdown" und "Spectre" sind aber noch keineswegs behoben. Cisco untersucht aktuell, ob und wie seine Switches, Router und Server betroffen seien, so 'CRN'.
 
Auch nicht gefixt sind Lücken bei Qualcomm, auch wenn nicht bekanntgegeben wurde, welche Produkte betroffen sind. 'CNBC' vermutet, es sei wahrscheinlich auch der Qualcomm Snapdragon 845 Chip auf der Liste.
 
Und Nutzer können nicht einfach Updates installieren, da diese mit Anti-Viren-Software in Konflikt geraten können. Diverse Hersteller haben solche, darunter auch Security-Anbieter, die 'CRN' partiell auflistet.
 
Der teilweise nötige dreistufige Prozess - Anti-Virus-Software patchen, OS patchen und dann Firmware des Computers patchen - ist nicht ganz einfach.
 
Und ein erster Fix soll Probleme bereiten, insbesondere könne der Microsoft-Security-Update für Windows KB4056892 AMD-PCs zerstören, meldet 'The Register'.
 
Eine Auflistung der betroffenen Intel-Prozessoren ist verfügbar, sie ist sehr lang. Auch diejenige des Chip-Designers Arm ist online. Ebenso die Liste von Nvidia (anscheinend sind auch GeForce-Grafikchips betroffen). Keine Liste haben wir von AMD gefunden, nur eine zurückhaltende Meldung.
 
Gleichzeitig hat AMD laut 'Bleeping Computer' parallel einen Fix für eine Lücke im AMD Secure Processor veröffentlichen müssen.
 
Inzwischen sind auch drei Klagen in den US-Bundesstaaten Kalifornien, Indiana und Oregon eingereicht worden, die sich zu Sammelklagen ausweiten sollen.
 
"Die einzige Strategie: Geräte wegwerfen"
Allerdings, so betonen Experten, lösen die OS-Patches das eigentliche Problem nicht. Aber nicht realistisch sei der Tipp von US-CERT, betroffene Devices fortzuwerfen und neue zu kaufen.
 
Ist die US-Behörde einfach der Zeit voraus? Ja, sagt Security-Experte Bruce Schneier und beschwört eine düstere Zukunft: "Spectre und Meltdown sind ziemlich katastrophale Schwachstellen, betreffen aber nur die Vertraulichkeit der Daten. Jetzt haben die Lücken - und die Intel ME-Schwachstelle - den Forschern gezeigt, wo sie hinschauen müssen. Es wird Neues kommen - und was sie finden werden, wird schlimmer sein als Spectre oder Meltdown. Es wird Sicherheitslücken geben, die es Angreifern ermöglichen, Daten über Prozesse hinweg zu manipulieren oder zu löschen, was für die Computer, die unsere Autos oder implantierten medizinischen Geräte steuern, potenziell tödlich sein kann. Diese werden genauso unmöglich zu beheben sein, und die einzige Strategie wird sein, unsere Geräte wegzuwerfen und neue zu kaufen."
 
Die Geschichte der Entdeckung von CPU-Gate ist an sich interessant, bereits am 28. Juli hat einer der Forscher, welche Meltdown und Spectre entdeckt haben, einen Blog-Beitrag publiziert, welcher öffentlich null Beachtung gefunden hat, rapportiert 'Bloomberg' neben anderem Wissenswerten über die Forschungstätigkeit seit 2016.
 
Die üblichen Fragen - Sicherheitslücke oder Backdoor? - tauchen natürlich rasch auf, aber zumindest die US-Regierung hält fest, die NSA habe die Lücken weder gekannt noch ausgenutzt. (mag)