Intel-Sicherheitsleck ZombieLoad: Warum das Abschalten von Hyperthreading oft nicht nötig ist

Die jüngst bekanntgewordene Intel-Sicherheitsschwachstelle „ZombieLoad“ sorgt seit Tagen bei vielen Mac-Nutzern für Sorgen. Zwar reagierte Apple mit den jüngsten Sicherheitsupdates für macOS Mojave, High Sierra und Sierra auf die Designfehler der Intel-Prozessoren, über die Angreifer Daten direkt vom Prozessor abgreifen können, doch eine große Schwachstelle bleibt trotz der Patches in jedem Fall offen.

Wer die ZombieLoad-bedingten Sicherheitslücken vollständig schließen möchte, muss das Hyperthreading der Intel-Prozessoren via Terminal deaktivieren – inklusive rund 40 Prozent Leistungseinbußen (laut Apple). Das Abschalten von Hyperthreading ist in vielen Anwendungsfällen des Macs jedoch gar nicht nötig.


Empfohlen für Investigativjournalisten und andere gefährdete Berufsgruppen
Sofern Nutzer den jeweiligen Mac nicht für extrem geheimhaltungsbedürftige Aufgaben verwenden (etwa investigative Journalisten im Iran) und dadurch zum Ziel von aufwendigen Hacking-Maßnahmen werden, kann Hyperthreading durchaus aktiviert bleiben. Falls alle erdenklichen Sicherheitsmaßnahmen auf Softwareebene durchgeführt werden, ist es praktisch nur noch per physischem Zugriff auf den Rechner möglich, an Nutzerdaten zu gelangen.

Apple kümmerte sich in den jüngsten Updates insbesondere darum, den hauseigenen Browser Safari möglichst gut vor ZombieLoad-orientierten Attacken zu schützen – um etwa zu verhindern, dass eine präparierte Website per Javascript die Sicherheitslücke ausnutzen kann. So ist einer der Hauptgefahren für Standardanwender vorgebeugt.

Wer noch mehr auf Nummer sicher gehen möchte, kann in den Systemeinstellungen unter „Sicherheit“ zudem festlegen, dass macOS nur noch Anwendungen aus dem Mac App Store – und damit von Apple auf potenzielle Gefahren geprüfte Apps – zulässt. Sofern das jeweilige macOS-Betriebssystem auf dem neuesten Stand ist, die benutzten Browser ebenso gegen ZombieLoad geschützt sind und heruntergeladene Apps aus vertrauenswürdiger Quelle stammen, besteht entsprechend eine gute Schutzbasis vor den Designfehlern der Intel-Prozessoren.

Bislang keine bekannten Exploits in freier Wildbahn
Ein namentlich nicht genannter Apple-Mitarbeiter bezeichnet das jüngste Mojave-Update als „robusten Schutz vor MDS-Schwachstellen“. Für Nutzer, die sich durch ihren Job oder eine andere Tätigkeit in einer Hochrisiko-Situation befinden und befürchten, von gezielten Hacker-Angriffen betroffen zu sein, stehe das Deaktivieren von Hyperthreading zur Verfügung. Zur Zeit gebe es aber keine entsprechenden Exploits in freier Wildbahn – „und wir erwarten auch keine“, so der Apple-Insider.

Kommentare

cab
cab16.05.19 14:03
Das Problem sind ja eher die Macs, die nicht mehr von Apple unterstützt werden und auf denen der Fehler trotzdem auftritt.
Diese formschöne Signatur gibt es jetzt zum günstigen Einstiegspreis von nur 849,95€ !
+3
AppleUser2013
AppleUser201316.05.19 14:07
Um diesen Exploit zu nutzen braucht es aber dementsprechende Malware, oder habe ich da was falsch verstanden (Heise und co)
+1
Mendel Kucharzeck
Mendel Kucharzeck16.05.19 14:10
cab
Einen Mac vor Sierra aktiv im Internet zu nutzen ist aus vielen Sicherheitsaspekten keine sonderlich gute Idee. macOS Sierra läuft auf allen Macs ab 2009/2010 – sprich 9 Jahre alten Geräten.
+3
Appletiser
Appletiser16.05.19 14:49
Wieso jetzt gerade Iran?
+2
iPat16.05.19 15:01
Mendel Kucharzeck
cab
Einen Mac vor Sierra aktiv im Internet zu nutzen ist aus vielen Sicherheitsaspekten keine sonderlich gute Idee. macOS Sierra läuft auf allen Macs ab 2009/2010 – sprich 9 Jahre alten Geräten.

Stimmt so nicht ganz.
Mein alter Mac Mini Late 2009 (der letzte in der ursprünglichen Form) läuft nur maximal bis El Capitan. Tut aber mit SSD und 8 GB RAM noch locker seinen Dienst...und soll dies bei meiner Mutter bitte auch noch ein paar Jährchen...Das Ding ist noch lange kein Elektronikschrott.

Die ersten Unibody Alu MacBooks (vor den weißen Polycarbonat Unibody Macbooks)...von 2008(?) glaube ich... sind auch noch einige in der Bekanntschaft mit El Capitan, SSD und 8 GB RAM im Einsatz.
Mein Sohn hat ein 2008er 15" MBpro mit EC...
Der einzige Rechner in meinem Hause, der High Sierra kann ist ein 2011er 27" iMac. Und den will ich eigentlich noch ne Weile behalten (i7, 32 GB RAM, 1TB SSD)...

Ich denke aber da sind noch genügend ältere Macs im Umlauf, die eigentlich noch für alltägliche Sachen ausreichen und gut funktionieren...die aber nicht auf HighSierra zu updaten sind (außer mit Tricks...Stichwort dosdude1)...und das ist schade, die jetzt quasi verschrotten zu müssen, weils ein Sicherheitsupdate nicht gibt....und sooooo alt ist El Capitan auch noch nicht...
Bis vor paar Wochen hatte ich noch Mavericks auf meinem iMac...wegen "never Change a running System"...
+3
cab
cab16.05.19 15:04
iPat
Ich denke aber da sind noch genügend ältere Macs im Umlauf, die eigentlich noch für alltägliche Sachen ausreichen...die aber nicht auf HighSierra zu updaten sind (außer mit Tricks...Stichwort dosdude1)...und das ist schade, die jetzt quasi verschrotten zu müssen, weils ein Sicherheitsupdate nicht gibt....und sooooo alt ist El Capitan auch noch nicht...

Genau so geht es mir auch. Das Ding läuft noch, tut alles was ich will. Außer eben, dass Apple keine Sicherheitsupdates mehr dafür bereit stellt.
Diese formschöne Signatur gibt es jetzt zum günstigen Einstiegspreis von nur 849,95€ !
+2
steinb_i16.05.19 15:33
Warum lassen wir uns das eigentlich gefallen? Nach all den Lücken haben unsere Rechner nur noch einen Bruchteil der verkauften Leistung.
Deutsche Firmen werden in den USA auf Milliarden Schadenersatz und Rücknahme ihrer defekten Produkte verklagt. Wir kaufen stattdessen gleich mal zum Dank einen neuen Rechner weil der alte zu langsam wurde.
+3
AppleUser2013
AppleUser201316.05.19 15:41
Gabs eigentlich JEMALS in der Geschichte einen Rückruf von "defekten" Prozessoren???

Oh doch gabs tatsächlich, aber nicht wegen der PPC Cpu sondern wegen der inadequaten Lüftung...
Red ring of death... (X360)

Aber ansonsten gab es wohl keinen Rückruf für CPUs, die ihre Leistung verlieren, wegen den Microcode Updates...
+1
beanchen16.05.19 15:47
iPat
Stimmt so nicht ganz.
Mein alter Mac Mini Late 2009 ...
Das Ding ist noch lange kein Elektronikschrott.
Das ist eine Sache der Definition. Um mal wieder einen Autovergleich zu bemühen, alte Schüsseln, die 30 Liter verbrauchen und weder Kat noch Partikelfilter haben fahren auch noch. Ob das noch zeitgemäß ist, ist eigentlich keine Frage.
-4
My2Cent16.05.19 16:02
AppleUser2013
Gabs eigentlich JEMALS in der Geschichte einen Rückruf von "defekten" Prozessoren???

Wäre heutzutage wo die CPUs oft eigelötet sind kaum machbar.
0
My2Cent16.05.19 16:06
Appletiser
Wieso jetzt gerade Iran?

Weil das die Bösen sind.
Außerdem gab es im Iran doch mal diese Schadsoftware namens Stuxnet ...
0
Deichkind16.05.19 17:01
AppleUser2013
Gabs eigentlich JEMALS in der Geschichte einen Rückruf von "defekten" Prozessoren???
Ja. Intel machte mal ein Angebot zum Umtausch von Pentium-Prozessoren, die unter Umständen falsch rechneten.
+3
Mendel Kucharzeck
Mendel Kucharzeck16.05.19 17:17
iPat
Ich sag doch nicht dass die komplett unnütz sind – ich sage, dass es unter reinen Sicherheitsaspekten problematisch ist, da die Software halt alt ist und bekannte Sicherheitslücken aufweist.
0
iPat16.05.19 17:20
beanchen
iPat
Stimmt so nicht ganz.
Mein alter Mac Mini Late 2009 ...
Das Ding ist noch lange kein Elektronikschrott.
Das ist eine Sache der Definition. Um mal wieder einen Autovergleich zu bemühen, alte Schüsseln, die 30 Liter verbrauchen und weder Kat noch Partikelfilter haben fahren auch noch. Ob das noch zeitgemäß ist, ist eigentlich keine Frage.

Deine genannten Eckdaten sind aber mehr als an den Haaren herbeigezogen, und wie so oft bei Autovergleichen großer Quatsch.
Alltags(!)fahrzeuge mit 30 Liter Verbrauch gabs vielleicht mal vor 40-50 Jahren. Kat etc. gibt's auch schon seit Jahrzehnten in Großserie verbaut.

Als Autobeispiel, wenn du es so willst, will ich mein erstes eigenes Auto, ein Golf 3 mit 90 PS von 1992 nehmen. Der verbrauchte konstante 8,5-9 Liter Normal (egal wie der Gasfuß stand) und war gut ausgestattet. Damals ein gutes mittleres Model.
Theoretisch würde der auch heute noch eine gute Figur machen. Nicht mehr so komfortabel wie ein aktueller Golf vielleicht aber wen gut gepflegt und gewartet (wie mein Mac mini, der technisch mit SSD und max. RAM auf aktuelles Niveau gebracht wurde) heute durchaus noch nutzbar.
Das Einzige, was man nicht einfach "aufrüsten" kann ist beim Auto der Motor und beim Computer der Prozessor.
Aber bei Beiden gilt, im Zweifel läuft immernoch und ist KEIN zwingender Grund zur Verschrottung. Und im Falle Golf auch keine unzeitgemäße alte Schüssel nach deiner Definition.
Genauso wie der "alte" Mac mini...der kann mit einem relativ modernen und aktuellem Betriebssystem noch alle für ihn vorgesehenen Arbeiten mit Bravour ausüben. Er wird jetzt nur künstlich "eingebremst"...

Unzeitgemäß im Automobilbereich (um bei deinem Beispiel zu bleiben) sind eher die aktuellen Schüsseln. Wenn du schon mit deinen fiktiven 30 Litern auf dem Verbrauch rumhackst...hast du schon mal den Verbrauch aktueller Fahrzeuge gesehen?
Der 3 Jahre alte Audi A3 meiner Eltern braucht bei moderater Fahrweise 7,5-8 Liter Super...bissl sportlich Gas geben sinds schnell 9-10+ Liter realer Verbrauch...wo ist da der Fortschritt zu den angeblich alten Schüsseln von vor 30-40 Jahren???
Komfortgewinn lassen wir mal außen vor, keine Frage. Aber wenns nur um die technischen Parameter geht, die du angeführt hast, kann ich dir leider nicht Recht geben...
Da könnte man auch aktuelle Rechner als unzeitgemäß definieren, die durch ihre Unreparierbarkeit/Wartbarkeit wahrscheinlich einen viel kürzeren Lebenszyklus haben.

In Sachen Ökobilanz würde ich dreist vermuten, das mein alter Golf keinen schlechteren Fußabdruck hat als die aktuellen Fahrzeuge dieser Kategorie. Und der alte Mac mini durch seine Möglichkeit lebensverlängernder Maßnahmen (Aufrüstbarkeit) hat sicher auch eine bessere Bilanz als ein aktueller Mac der gleichen Klasse...

Ich benutze zwar auch gern mal Autovergleiche aber klappt halt nicht immer...
+2
iPat16.05.19 17:28
Mendel Kucharzeck
iPat
Ich sag doch nicht dass die komplett unnütz sind – ich sage, dass es unter reinen Sicherheitsaspekten problematisch ist, da die Software halt alt ist und bekannte Sicherheitslücken aufweist.

Ist mir schon klar. Aber das ist halt schade. Das Gerät wird damit künstlich ohne Not aufs Altenteil verbannt.

Es gibt halt eben doch ein paar Macs die da leider auf El Capitan hängen blieben. Verstand ich damals sowieso nicht, warum nicht alle Sierra/HS bekommen haben.

Gabs da einen technischen Grund? Das weiße Unibody Plastik Macbook unterschied sich doch kaum von dem Vormodell Unibody Alu MacBook oder den letzten Ur-MacMinis...technisch hatten doch alle die letzte C2D-Prozessor-Generation drin und sogar die gleiche Grafik...
Und das Weiße Unibody MacBook kann ja High Sierra....
+2
don.redhorse16.05.19 17:51
second live for Macs: install Linux.

Selbst ein altes weisses MacBook mit Core2Duo läuft noch recht brauchbar unter Debian 9. Und das ist schon seit Jahren ohne Support, da Intel es nicht für nötig befunden hat 64 Bit Treiber für deren Drecks Grafik zu schreiben. Damit war dann mit dem Schwenk auf 64 Bit only im System mit dem kleinen Ding Feierabend. Aber mit Linux macht er was er soll, gut, hat nur 4 GB RAM, davon nur gute 3 GB nutzbar (Intel ist so lächerlich), aber es tut.
+1
cab
cab16.05.19 19:32
don.redhorse
second live for Macs: install Linux.

Danke, eher nicht. Ich habe schon diverse Experimente mit Linux hinter mir, dabei habe ich auch mal einen noch funktionierenden G5 geschrottet. Linux hat dauernd die Lüfter so hochdrehen lassen, dass irgendwann ein Hardwareschaden entstanden ist. Und ich bin überzeugt, der würde sonst heute noch laufen.
Diese formschöne Signatur gibt es jetzt zum günstigen Einstiegspreis von nur 849,95€ !
+3
Florentine
Florentine16.05.19 19:34
beanchen
iPat
Stimmt so nicht ganz.
Mein alter Mac Mini Late 2009 ...
Das Ding ist noch lange kein Elektronikschrott.
Das ist eine Sache der Definition. Um mal wieder einen Autovergleich zu bemühen, alte Schüsseln, die 30 Liter verbrauchen und weder Kat noch Partikelfilter haben fahren auch noch. Ob das noch zeitgemäß ist, ist eigentlich keine Frage.
Wow, da will wohl jemand den "iGod" beerben. Selten so einen Stuss gelesen. Nicht alles was hinkt ist ein vergleich, liebes beanchen.
0
wallenium16.05.19 19:40
Dosdude1 googeln.. (weiß nciht ob verlinken erlaubt ist)
Dort gibt’s den Mojave patcher, und schon läuft Mojave auf meinem MacBook 5,1. und das auch nicht mal schlecht
+1
iPat16.05.19 19:56
wallenium
Dosdude1 googeln.. (weiß nciht ob verlinken erlaubt ist)
Dort gibt’s den Mojave patcher, und schon läuft Mojave auf meinem MacBook 5,1. und das auch nicht mal schlecht

Ja, hatte ich ja auch oben schon erwähnt als Option.
Das ist aber auch eher ne Sache für "uns" Nerds und nicht für die Allgemeinheit.

Ich probier Mojave mal testweise auf dem MBpro 5,1 meines Kindes bei Gelegenheit. Mein iMac late 2011 bleibt leider wegen der Grafikkarte (Radeon HD5xxx) bei HighSierra stecken aber das geht schon...

Hast du die iSight-Problematik bei deinem MBpro 5,1 wenn du Mojave mit dem Patcher installiert hast? Das hält mich noch ab auf dem alten MB pro Mojave zu installieren bzw. tendiere dann eher zu HighSierra. Mein Kind braucht die iSight, da sollte nix schief gehen
+1
don.redhorse16.05.19 21:34
cab welcher Hardwareschaden soll durch Lüfter hochdrehen entstanden sein? PPC Linux ist auch nicht mit X86 Linux zu vergleichen. Erstens ist es min. 15 Jahre her, zweitens ist die Verbreitung und die Community ne ganz andere.
+1
MacTaipan16.05.19 21:50
Nach allem, was ich über Hyperthreading weiß, halte ich 40% für arg übertrieben. Wohl eher 20%, wenn überhaupt. Trotzdem ärgerlich.
+1
piik
piik17.05.19 00:47
Das mit dem
Apple
rund 40 Prozent Leistungseinbußen
bei Deaktivierung von Hyperthreading halte ich für maßlos übertrieben.10-20% vielleicht.

MacTaipan war schneller
Hardware ist seltener schlecht drauf - Software macht schon häufiger Mucken...
-1
MäcFlei
MäcFlei17.05.19 03:36
My2Cent
Appletiser
Wieso jetzt gerade Iran?
Weil das die Bösen sind.
Wäre nicht verkehrt, wenn der TE mal erklärt, was er da gemeint hat ...
0
ratti17.05.19 08:00
Unsinnsartikel.

Journalisten sind gefährdet wegen Iran (ich kenne da ganz andere Länder, die ganz offiziell schnorcheln!), aber mein Online-Banking ist sicher... Frage: Welches der beiden Ziele ist interessanter?

App-Store: Ebenfalls sicher ist meine seit Jahren nicht aktualisierte Software aus dem Store, gefährlich hingegen die gut supportete Freie Software, die letzte Woche aktualisiert wurde?

MacGALA hat wieder zugeschlagen.
-1
beanchen13.06.19 11:54
iPat
Deine genannten Eckdaten sind aber mehr als an den Haaren herbeigezogen ...
Stimmt, mir ging es auch allein um die fehlenden Sicherheitsupdates, also mussten Autos zum Vergleich ran, die sich auch durch Nachrüstung nicht mehr auf einen allgemein verträglichen Stand bringen lassen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen