Sicherheitslücke „ZombieLoad“ betrifft jeden Mac seit 2011 (Update: 10:55 Uhr)

Quasi alle Intel-Prozessoren sind von einer neuen Schwachstelle betroffen, die Sicherheitsforscher „ZombieLoad“ getauft haben. Durch das effektive Ausnutzen gleich mehrerer Designfehler können Angreifer darüber theoretisch Daten direkt vom Prozessor abgreifen, meldet TechCrunch. Eine praktische Ausnutzung der Lücke ist bisher nicht bekannt, zudem kursieren bereits eine Reihe Patches, die das Loch stopfen.


Vier Exploits öffnen die Türen zum Prozessorkern
ZombieLoad stellt einen Seitenkanalsangriff auf Intel-Chips dar, um Daten aus dem Puffer des Prozessors zu stehlen. Vier Designfehler machen diese Variante möglich. Der Name bezieht sich auf eine Datenladung, die der Prozessor nicht verstehen oder richtig verarbeiten kann. Daraufhin muss dieser den Mikrocode des Prozessors um Hilfe bitten, um einen Absturz zu verhindern. In diesen Prozess dürfen dank der Sicherheitslücke auch Programme eingreifen, die eigentlich nur ihre eigenen Daten sehen können. Mit ZombieLoad lassen sich alle Daten aus dem Prozessorkern laden. Intel kommentierte, dass Patches für den Mikrocode dabei helfen, die Prozessor-Puffer zu löschen und den Lesezugriff zu erschweren.

Exploit-Nutzer könnten auf Online-Konten zugreifen
In einem Proof-of-Concept-Video zeigen die Entdecker der Lücke, wie sie dank ZombieLoad sehen konnten, welche Webseiten eine Person in Echtzeit ansteuert. Die Experten erklärten, dieser Weg ermögliche Angreifern auch, Passwörter und Tokens abzugreifen, um sich bei Online-Konten des Opfers anzumelden. Es sei jedoch kein Fall bekannt, bei dem die Lücken in dieser Form ausgenutzt wurden. Auf der anderen Seite geben die Forscher zu, dass ein solcher Angriff nicht unbedingt eine Spur hinterlasse. Die Lücke sei einfacher auszunutzen als Spectre, aber schwieriger als Meltdown. Insgesamt gebe es jedoch sehr viel einfachere Wege, einen Computer zu hacken.

Ein Video zeigt die Anwendung der ZombieLoad-Methode, um in Echtzeit die angesteuerten Web-Seiten zu erfahren.

ZombieLoad macht jeden Mac seit 2011 angreifbar
Die Sicherheitslücke betrifft zwar praktisch alle Intel-Prozessoren der letzten acht Jahre, allerdings sind schon zahlreiche Patches auf dem Markt. Das liegt daran, dass die Sicherheitsexperten den spekulativen Angriffsweg bereits vor einem Monat an Intel gemeldet haben. Der Konzern gab die Mikrocode-Patches dementsprechend früh weiter. Apple hat zwar in macOS 10.14.5 Mojave eine Lösung eingebaut, sie ist jedoch aus Performance-Gründen nicht so weitreichend, wie gedacht. Apple verhindert damit nur das Ausführen des Exploits über JavaScript beziehungsweise das Ansurfen von Schadseiten im Internet. Entsprechende Sicherheitsupdates für Sierra und High Sierra stehen ebenfalls bereit.

Google hat gepatched, Firefox in Arbeit
Schwieriger ist der Fall bei Google: Es gibt zwar einen Patch für Android, aber die Hersteller von Intel-Only-Geräten müssen für ihre Produkte selbst maßgeschneiderte Updates bereitstellen. Die Datenzentren seien bereits versorgt, so der Suchmaschinenkonzern, sodass die Cloud-Nutzer sich keine Sorgen machen brauchen. Am 21. Mai bringt Mozilla die neue Firefox-Version 67 heraus. Sie erhalte auch die von Apple empfohlene Methode, um die Lücke zu schließen, sagte ein Mozilla-Sprecher. Firefox Beta und Firefox Nightly enthalten die Änderungen bereits. Auch Microsoft und Amazon haben Patches für ihre Cloud-Systeme herausgegeben. Zudem erhält Windows ein spezielles Update.

Patches drosseln Performance um bis zu 40 Prozent
Laut Intel schmälern die Mikrocode-Patches die Leistung der betroffenen Prozessoren. Ein Sprecher sagte, bei Endgeräten habe die höchste Performance-Einbuße etwa drei Prozent betragen; in Rechenzentren sogar neun Prozent. In den meisten Szenarien sei der leichte Leistungsschwund unmerklich. Dem widerspricht der Mac-Hersteller in seinen Ausführungen: Ein vollständiges Füllen der Lücke koste 40 Prozent der Leistung, da man Hyperthreading komplett abschalten müsse. Apple bietet dazu einen Workaround inklusive Terminal-Befehlszeilen.

Wir haben um 10.55 Uhr hinzugefügt, dass sich über die Apple-Sicherheitsupdates alleine die Lücke nicht schließen lässt und die Performanceeinbußen bei vollständigem Verhindern per Terminal bis zu 40 Prozent betragen können.

Kommentare

Dirk!15.05.19 09:49
Interessant wäre die Angabe, welche Macs seit 2011 die Patches nicht mehr bekommen, weil keine gepatchten Systeme mehr darauf laufen.
+5
Gammarus_Pulex
Gammarus_Pulex15.05.19 09:56
Genau... das letzte Update hab ich gestern installiert (10.14.5).
Wäre schön zu wissen, ob das Thema damit erstmal vom Tisch ist oder weiterhin bestehen bleibt...
Mac Pro 2013 (6core)
+2
Dante Anita15.05.19 09:56
Bin ich froh, dass mein iMac von 2007 ist 🙈
+6
cab
cab15.05.19 09:58
Ältere Macs werden demnach nicht mehr gepatcht und sind deswegen ein zunehmendes Sicherheitsrisiko. Na danke.

Muss mich wohl doch langsam mit einem neuen, sauteuren, schnittstellenlosen Klebstoffmac anfreunden.
Diese formschöne Signatur gibt es jetzt zum NOCH günstigeren Einstiegspreis von nur 799 € ! Sie sparen satte 50€ !
0
UWS15.05.19 09:59
Dirk!
Interessant wäre die Angabe, welche Macs seit 2011 die Patches nicht mehr bekommen
...da reicht einmal Dr. Google. Zumindest Sierra läuft auf allen Macs seit 2009 bzw 2010. Ist die Angabe mit 2011 richtig, können also alle "post 2011er" Macs zumindest mit einem Patch versorgt werden.
+4
rene204
rene20415.05.19 10:12
cab
Ältere Macs werden demnach nicht mehr gepatcht und sind deswegen ein zunehmendes Sicherheitsrisiko. Na danke.

Muss mich wohl doch langsam mit einem neuen, sauteuren, schnittstellenlosen Klebstoffmac anfreunden.
Simmt nicht, siehe UWS... und
Du kannst Deinem Klebstoffreiem, Schnittstellenreichen Mac die Treue halten
Gelassenheit und Gesundheit.. ist das wichtigste...
0
Apple@Freiburg15.05.19 10:13
cab

Siehe Post von UWS, es werden alle Macs ab 2009 mit einem Update versorg. Damit sind alle Macs die es betreffen könnte abgedeckt. 😉
+1
Schmitti8115.05.19 10:24
Im Support Artikel steht die Liste der Macs, die keinen Patch von Intel bekommen:

https://support.apple.com/en-us/HT210107
+3
Raziel115.05.19 10:32
Interessant das hier von Patches gesprochen wird. In den Medien hab ich heute morgen noch gelesen das das Problem recht massiv ist, derzeit noch kein Fix existiert und eine richtige Lösung zur Folge hätte, das die Leistung vor allem bei Cloud-Diensten um 30-50% sinken würde, weil dadurch zb Hyperthreading deaktiviert werden müsste.
0
UWS15.05.19 10:32
Schmitti81
Im Support Artikel steht die Liste der Macs
Guter Hinweis! Wenn man sich den Artikel mal ansieht, dann scheint aber die Info "jeden Mac seit 2011" falsch zu sein. Da sind ja auch (oder nur) Macs aus 2009 und 2010 drin.
0
marcel15115.05.19 10:56
Dante Anita
Bin ich froh, dass mein iMac von 2007 ist 🙈

Naja, falls du einen iMac der 5. Generation hast ist das letzte OS was du (offiziell) installieren kannst El Capitan, und das wird seit es Mojave gibt nicht mehr aktualisiert. Was ist nun besser?

PS: Ich bin mit meinem MBP 2011 Ende 2020 auch dran.
0
tranquillity
tranquillity15.05.19 11:21
Hab hier noch nen G5-iMac stehen, möchte den jemand haben?
+2
Apple@Freiburg15.05.19 11:25
tranquillity

Ne, weil Apple ja so dreist ist und keine Updates mehr für den liefert...😎
0
NikNik15.05.19 11:39
tranquillity
Hab hier noch nen G5-iMac stehen, möchte den jemand haben?

Der G5 (oder besser gesagt der PPC970) hat auch einige ungepatchte Sicherheitslücken im Dunstkreis von Meltdown / Spectre.
+1
Gammarus_Pulex
Gammarus_Pulex15.05.19 11:42
Heißt das, das mit dem 10.14.5 Update diese Lücke bei allen Macs seit 2011 (inklusive meiner trashcan) geschlossen wurde?

Gibt es Tools für Mac, die die Sicherheit eines Systems überprüfen können?
Für Windows offenbar schon.
0
Walter Plinge
Walter Plinge15.05.19 11:53
[...]Workaround inklusive Termine-Befehlszeilen.

Ihr meint doch sicher "Terminal-Befehlzeilen". War kurz verwirrt.
0
sierkb15.05.19 12:55
heise (14.05.2019, Update): ZombieLoad: Neue Sicherheitslücken in Intel-Prozessoren
Bei vielen bisherigen Core-i- und Xeon-Prozessoren kann Malware Daten laufender Prozesse belauschen, wenn sie auf demselben Kern läuft.

Golem (14.05.2019): ZombieLoad in Intel-Prozessoren
Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.

Graz University of Technology: CPU.fail
Graz University of Technology: ZombieLoad Attack
Graz University of Technology: ZombieLoad: Cross-Privilege-Boundary Data Sampling (PDF)

Cyberus Technology (14.05.2019): ZombieLoad: Cross Privilege-Boundary Data Leakage

Intel: Intel® Product Security Center Advisories

Intel: Side Channel Mitigation by Product CPU Model
The table below provides details on how the protections are integrated into Intel® products

Planet Mozilla/TenFourFox Development (14.05.2019): ZombieLoad doesn't affect Power Macs /
+1
tranquillity
tranquillity15.05.19 14:24
NikNik
tranquillity
Hab hier noch nen G5-iMac stehen, möchte den jemand haben?

Der G5 (oder besser gesagt der PPC970) hat auch einige ungepatchte Sicherheitslücken im Dunstkreis von Meltdown / Spectre.

Schade ... Aber zum Arbeiten ist er mittlerweile eh zu langsam. Trotz Tenfourfox.
0
Paddy2590
Paddy259015.05.19 15:43
Mhm, habe für einen sicheren Mac mit der angegebenen Leistung bezahlt. Beides zusammen ist wohl nicht möglich Schadensersatzansprüche gegen Apple?
+2
rene204
rene20415.05.19 15:49
Paddy2590
Mhm, habe für einen sicheren Mac mit der angegebenen Leistung bezahlt. Beides zusammen ist wohl nicht möglich Schadensersatzansprüche gegen Apple?
wohl eher gegen Intel...
Und mit Patch bist Du doch auf der sicheren Seite....
Gelassenheit und Gesundheit.. ist das wichtigste...
0
johnnytravels
johnnytravels15.05.19 15:55
rene204
Paddy2590
Mhm, habe für einen sicheren Mac mit der angegebenen Leistung bezahlt. Beides zusammen ist wohl nicht möglich Schadensersatzansprüche gegen Apple?
wohl eher gegen Intel...
Und mit Patch bist Du doch auf der sicheren Seite....

Aber dann natürlich nicht mehr mit beim Kauf zugesicherter Leistung.
Bin gespannt, wie sich das entwickelt.
‚Tim Cook ist kein Produkt-Mensch.‘ — Steve Jobs
0
HumpelDumpel
HumpelDumpel15.05.19 17:06
40% Leistungsminderung bei Vollschutz

Na prima...
0
cab
cab15.05.19 19:16
Apple@Freiburg
cabSiehe Post von UWS, es werden alle Macs ab 2009 mit einem Update versorg. Damit sind alle Macs die es betreffen könnte abgedeckt. 😉

Danke, das macht Hoffnung.

Muss man den Patch eigentlich von Intel selbst einspielen?
Diese formschöne Signatur gibt es jetzt zum NOCH günstigeren Einstiegspreis von nur 799 € ! Sie sparen satte 50€ !
0
sierkb15.05.19 19:25
heise (15.04.2019): ZombieLoad & Co.: Apple ergreift Gegenmaßnahmen
Der volle Schutz gegen die Schwachstellen erfordert eine manuelle Aktivierung auf Macs, erklärt Apple – dies sorge für erhebliche Leistungseinbußen.

Apple Support Document HT210107 (14.05.2019): Additional mitigations for speculative execution vulnerabilities in Intel CPUs

Apple Support Document HT210108 (14.05.2019): How to enable full mitigation for Microarchitectural Data Sampling (MDS) vulnerabilities
This option is available for macOS Mojave, High Sierra, and Sierra after installing security updates.
+1
tranquillity
tranquillity15.05.19 20:53
Vielleicht auch gute PR um dann auf der WWDC den Switch von Intel weg zu motivieren 🙄
+1
Johnny6515.05.19 21:51
Schmitti81
Im Support Artikel steht die Liste der Macs, die keinen Patch von Intel bekommen:

https://support.apple.com/en-us/HT210107

Liebe alle, die auch noch auf einem Käsereiben-Mac-Pro arbeiten: Wie versteht Ihr die letzte Zeile der verlinkten Liste? ("Mac Pro Late 2010")

Mal abgesehen davon, dass es m.E. "Mid 2010" heißen müsste: Mit identischer Hardware (je nach gewählter Konfiguration) gibt's den ja auch als "Mid 2012". In meinem Fall steckt ein 6-core Xeon W3680 @ 3.33 GHz drin.

Hat dieser Prozessor nun einen Patch erhalten (da er in einem "2012er-Modell" steckt) oder nicht (weil er aus 2010 oder früher stammt)?
0
Mojo6616.05.19 00:49
Mein iMac hat eine i5, der hat kein Hyperthreading, also gibt's auch keine Performance Einbuße.
0
UWS16.05.19 09:53
Johnny65
Wie versteht Ihr die letzte Zeile der verlinkten Liste? ("Mac Pro Late 2010")
Ich denke mittlerweile lichtet sich der Nebel in der Sache etwas. Ich hab's so verstanden (mit dem Versuch einer möglichst einfachen Erklärung): Es sind letztlich zwei Maßnahmen. Zum einen möchte man verhindern, dass von außen (z.B. durch reines Ansurfen böser Webseiten) Schaden entsteht. Dazu sind die Sicherheitsupdates (u.a. für Safari) da. Das grundlegende Problem wird aber nur durch eine Art "Totaloperation" gemindert. Dazu muss man per Terminal eingreifen – dann aber ggf. mit entsprechenden Leistungseinbußen leben.

Per Terminal wird dazu Code von Intel injiziert, der aber steht für die im Dokument angegebenen Rechner eben (derzeit?) nicht zur Verfügung.

In der Praxis heißt das: Ohne CPU-Patch bleibt der Rechner grundsätzlich verwundbar. Von außen ist das (hoffentlich) zwar dann nicht mehr möglich aber durch lokal installierte Apps (mit böser Absicht) eben schon.
+1
Tekl
Tekl16.05.19 10:54
johnnytravels
Aber dann natürlich nicht mehr mit beim Kauf zugesicherter Leistung.
Bin gespannt, wie sich das entwickelt.

Wessen Leistung wurde denn zugesichert? Alleine ein macOS-Upgrade verändert bereits Endleistung. Oder installiere mal Linux/Windows oder OS X 10.6 in einer VM.
(hier könnte eine hippe, attributreiche Selbstdarstellung stehen)
0
obri16.05.19 14:48
Einen Mac Pro "Late 2010" gibt's tatsächlich nicht. Andererseits ist die CPU aber laut Intel betroffen, und es wird sogar an einer Microcode-Korrektur gearbeitet. Diese Korrektur gibt's dann aber nicht von Apple. Selber machen? Vielleicht baut Microsoft die aber ein, und dann wäre der Rechner zumindest unter Windows 10 geschützt.
-1
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.