ZombieLoad: Apple veröffentlicht Liste mit unpatchbaren Macs

Ein überarbeitetes Support-Dokument führt ungeschützte Macs gegen die „spekulativen Schwachstellen” auf, die Forscher kürzlich unter dem Namen ZombieLoad offenbart haben. Dass die Rechner mit Baujahren zwischen 2009 und 2010 ungeschützt geblieben sind, spricht Apple Intel zu. Der Chip-Konzern geht noch einen Schritt weiter: Die entsprechenden Prozessoren sollen angreifbar bleiben.


Safari-Patch arbeitet quasi ohne Leistungsverlust
Apple weist in dem Text nochmals auf die Sicherheitsupdates für macOS 10.14 Mojave, 10.13 High Sierra, und 10.12 Sierra hin. Speziell 10.14.5 patche Safari so, dass keine Leistungseinbußen zu spüren seien. Die Aktualisierungen verhinderten die Nutzung der Sicherheitslücke über JavaScript und Safari. Dementsprechend müsste ein Angreifer physischen Zugriff auf den Computer haben, um sie zu nutzen. Der vollständige Fix beinhalte hingegen das Abschalten von Hyperthreading und damit Perfomance-Verluste von bis zu 40 Prozent, schreibt Apple in dem Text. Eine Analyse von US-Medien hat ergeben, dass diese Sicherheitsmaßnahmen Otto-Normal-Nutzer ausreichend schützen. Updates für Chrome und Firefox sind ebenfalls auf dem Weg zu den Anwendern.

Update installiert, nichts ist passiert
Im weiteren Verlauf überrascht Apple mit der Ankündigung, es gebe Macs, die zwar das Sicherheitsupdate ausführen, aber dennoch nicht geschützt werden können. Die Geräte unterstützten die Aktualisierungen aufgrund fehlender Mikrocode-Patches nicht. Diese Patches sei Intel bisher schuldig geblieben.


Geräte ohne Schutz vor ZombieLoad
  • MacBook (13-inch, Late 2009)
  • MacBook (13-inch, Mid 2010)
  • MacBook Air (13-inch, Late 2010)
  • MacBook Air (11-inch, Late 2010)
  • MacBook Pro (17-inch, Mid 2010)
  • MacBook Pro (15-inch, Mid 2010)
  • MacBook Pro (13-inch, Mid 2010)
  • iMac (21.5-inch, Late 2009)
  • iMac (27-inch, Late 2009)
  • iMac (21.5-inch, Mid 2010)
  • iMac (27-inch, Mid 2010)
  • Mac mini (Mid 2010)
  • Mac Pro (Late 2010)

Warum in der Liste der Mac Pro (Mid 2012) fehlt, bleibt Apples Geheimnis. Bei Intel stehen auch dessen Prozessoren (Xeon W3565, W3680, E5645, X5650, X5675) auf der Liste nicht unterstützter Chips.

Lücke bleibt offen – für immer
Und es kommt noch besser: Wer auf die Seiten des Chip-Herstellers geht, stellt fest, Intel plant auch keine Updates für ältere Prozessoren. Eine lange Liste des Herstellers führt sowohl Produkte auf, für die Patches veröffentlicht worden sind und werden, sowie eine weitere Sektion von denen, die keinen Fix für ZombieLoad erhalten. Die Browser-Updates dürften in diesen Fällen ebenfalls ins Leere laufen. Diese Modelle bleiben demnach für immer über solche Attacken angreifbar – und zwar auch per JavaScript aus dem Internet heraus.

Kommentare

Dirk!17.05.19 09:59
Läuft eigentlich noch keine Sammelklage gegen Intel in den USA? Die sind doch sonst immer schnell dabei mit sowas...
+4
Paddy2590
Paddy259017.05.19 10:08
Mit nem aktuellen Mac sollte man Apple auf Schadenersatz in Anspruch nehmen... Bei den unpatchbaren alten Geräten, die auf der Liste steht (wozu mein Mac auch gehört) geht das leider nicht mehr.
-6
Thehassle17.05.19 10:12
Sehe ich das richtig? Es wird HT überall deaktiviert oder habe ich da etwas falsch verstanden? Das wäre inkazeptabel imho.
-7
Deichkind17.05.19 10:24
Thehassle
Es wird nicht automatisch deaktiviert.
+4
ApfelHandy4
ApfelHandy417.05.19 10:24
Paddy2590
Mit nem aktuellen Mac sollte man Apple auf Schadenersatz in Anspruch nehmen... Bei den unpatchbaren alten Geräten, die auf der Liste steht (wozu mein Mac auch gehört) geht das leider nicht mehr.

Als Kunde sollte man Apple auf Schadenersatz verklagen? Wieso das denn? Hat doch Intel verbockt ...
-1
ulfilas17.05.19 10:41
Dirk!
Läuft eigentlich noch keine Sammelklage gegen Intel in den USA? Die sind doch sonst immer schnell dabei mit sowas...

Erst wenn Intel von einem ausländischen Investor übernommen wird....
+12
deus-ex17.05.19 10:53
Ein weiterer Grund eine ARM Umstellung in Betracht zu ziehen.
-3
Deichkind17.05.19 11:01
Ein Widerspruch bleibt aber:
Apple sagt, Intel habe nur Microcode-Updates für Prozessoren ab Fertigungsjahr 2011 geliefert und erweckt den Eindruck, als seien auch ältere Prozessoren vom ZombieLoad-Problem betroffen.

Andere Beobachter meinen, es seien nur jene Prozessoren betroffen, für die Intel Microcode-Updates geliefert hat, also besagte Prozessoren ab Jahrgang 2011.

Und unklar ist mir auch, was sich denn durch das Microcode-Update ändert?

Und Apple beschreibt ein Update für Safari und Javascript in Mojave, nicht aber dergleichen für High Sierra und Sierra. Das Security-Update für Sierra und High Sierra liefert demnach nur Microcode-Updates für Rechner, die theoretisch auch mit macOS Mojave betrieben werden könnten.
0
piik
piik17.05.19 11:01
deus-ex
Ein weiterer Grund eine ARM Umstellung in Betracht zu ziehen.
Aha, und die werden aufgrund von Apple-Magie keine Fehler hsben?
Hardware ist seltener schlecht drauf - Software macht schon häufiger Mucken...
+10
My2Cent17.05.19 11:31
Paddy2590
Mit nem aktuellen Mac sollte man Apple auf Schadenersatz in Anspruch nehmen... Bei den unpatchbaren alten Geräten, die auf der Liste steht (wozu mein Mac auch gehört) geht das leider nicht mehr.

Was heißt leider?
Du würdest also gern Apple verklagen, weil sie vor zehn Jahren noch nicht wussten, dass im Jahr 2019 eine Lücke in den verbauten Intel Prozessoren entdeckt werden würde?
+7
cab
cab17.05.19 12:46
Was heißt das nun für ein MBP Baujahr 09? Nicht betroffen? Oder selber Schuld?
Diese formschöne Signatur gibt es jetzt zum günstigen Einstiegspreis von nur 849,95€ !
0
depeche101mode17.05.19 13:25
Und die vor 2009?
0
nane
nane17.05.19 13:40
Verdammt, meine halbe Familie nutzt weisse 13" MacBooks Mid 2010 mit SSD/teilweise 16GB RAM/High-Sierra. Die sind alle total glücklich und surfen wie die Tiere im Internet damit... aaargh
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
+1
rosss17.05.19 17:03
Intel setzt also out-of-production-cpus ein „Legacy“ voran, und stielt sich somit aus der Verantwortung.

Mal sehen, ob Apple noch Infos zu den Westmere-Xeons nachliefert. Bei Apple sind die 2012er ja noch nicht obsolet. Hm.
0
Bodo_von_Greif17.05.19 17:37
@nane

Stell Dir vor Du hättest von diesem Bug nichts gehört.

Ich wette der Bug wird euch nie erreichen




Cheers,

Bodo

PS: Kannst mich gerne anmailen wenns doch scheppert
[x] nail here for new monitor
-2
steinb_i17.05.19 21:07
ApfelHandy4
Paddy2590
Mit nem aktuellen Mac sollte man Apple auf Schadenersatz in Anspruch nehmen... Bei den unpatchbaren alten Geräten, die auf der Liste steht (wozu mein Mac auch gehört) geht das leider nicht mehr.

Als Kunde sollte man Apple auf Schadenersatz verklagen? Wieso das denn? Hat doch Intel verbockt ...
Na weil Apple dir das verkauft hat. Die können sich dann mit ihrem Zulieferer (Intel) auseinandersetzen. Wenn bei deinem Mac die CPU kaputt ist wendest du dich ja auch nicht an Intel.
+2
ocrho19.05.19 20:22
Die spannende Frage wird sein, wann das Bundesamt für Informationssicherheit (BSI) eine offizielle Warnung herausgibt, ab wann diese betroffenen Geräte nicht mehr benutzt werden dürfen. Ab diesem Moment dürfte man mit diesen Geräten dann kein Online-Banking und kein Online-Einkäufe mehr durchführen, weil wenn es da zu einen Sicherheitsvorfall kommt, kein Regress mehr zur Bank etc. vorgenommen werden kann (weil nachweislich unsichere Umgebung).

Insgesamt scheint Apple aber die Bedrohungslage nicht so kritisch einzuschätzen, weil es wenn wirklich kritisch wäre, dann müssten diesen Geräten der Zugang zu iCloud- und iTunes abgeschaltet werden um den Account zu schützen. Alternativ könnte Apple auch die Lösung beim iPad erste Generation vornehmen, wo keine Kreditkarte mehr angesehen oder eingegeben werden kann (weil unsichere TLS-Version, weil keine iOS-Updates mehr), aber dennoch online eingekauft werden kann, wenn diese Daten von einen sicheren "Rechner" eingeben wurde.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen