Technik

Google-Forscher resignieren "Spectre"-Lücke ist nicht zu stopfen

Spectre.JPG

Gegen "Spectre" ist kein Update-Kraut gewachsen.

(Foto: Google)

Fast eineinhalb Jahre nachdem die Prozessor-Schwachstelle "Spectre" entdeckt wurde, ziehen Google-Experten resigniert einen Schlussstrich. Ihre Erkenntnis: Kein Update kann die Lücke schließen. Für Otto-Normal-Nutzer ist das aber eigentlich kein Problem.

Am 3. Januar 2018 berichtete Googles "Project Zero" über schwerwiegende Sicherheitslücken, von denen nahezu alle modernen Prozessoren betroffen sind. Die beiden möglichen Angriffsmethoden wurden "Spectre" und Meltdown" getauft. Sie nutzen ein Verfahren aus, bei dem spekulativ möglicherweise benötigte Daten vorab geladen werden, um Prozesse zu beschleunigen. Besonders problematisch ist "Spectre". Diese Methode erlaubt es Angreifern per JavaScript, die Daten von installierten Programmen auszuspähen. Es ist zwar schwieriger diese Sicherheitslücke auszunutzen, aber man wird sie höchstwahrscheinlich auch niemals schließen können. Das bedeutet, fast alle aktuellen Computer bleiben verwundbar.

Es geht einfach nicht

Zu diesem ernüchternden Ergebnis sind laut "Borns IT- und Windows-Blog" Googles Sicherheitsforscher gekommen. Betreiber Günter Born hat bei "Askwoody" eine Stellungname der Experten, in dem sie resigniert feststellen, dass Software-Updates die "Spectre"-Lücke nicht schließen können. Es sei nicht möglich, "eine Software zur Abschwächung aller möglichen Spectre-Angriffsmethoden zu entwickeln", fasst Born zusammen. Unter anderem sei der technische Aufwand zu groß, die Komplexität zu hoch oder die Funktion von Schutzmaßnahmen nicht zu gewährleisten. Und: Einige Varianten von "Spectre" seien schlicht überhaupt nicht zu verteidigen.

Dass das Google-Team richtig liegt, zeigen die vergangenen Bemühungen, "Spectre" mit Updates unschädlich zu machen, die praktisch alle in einem Desaster endeten. Unter anderem musste Chip-Hersteller Intel Ende Januar vor seinen Aktualisierungen warnen, da sie zu häufigen Neustarts und "anderem unvorhersagbarem Verhalten" führen konnten. Schließlich musste Microsoft mit einem eigenen Update eingreifen. Andere Versuche, "Spectre" unschädlich zu machen, bremsten Systeme extrem aus.

Aufwand auch für Angreifer zu groß

Ohne wirksame Updates gibt es keinen Schutz vor "Spectre", bevor nicht Chips mit grundsätzlich neuer Architektur in den Computern arbeiten. Allerdings müssen sich Otto-Normal-Nutzer deswegen wohl keine größeren Sorgen machen. Denn weil die "Spectre"-Schwachstellen so schwierig auszunutzen sind, gibt es bisher keinen in der Praxis bekannten erfolgreichen Angriff. Um Informationen von Rechnern zu klauen, gäbe es einfachere Ansätze, die auch genutzt werden, schreibt Born. Wenn also tatsächlich einmal ein Rechner via "Spectre" geknackt werden sollte, steht er eher in einer Unternehmenszentrale oder Regierungseinrichtung als im Wohnzimmer eines x-beliebigen Nutzers.

Quelle: n-tv.de, kwe

Mehr zum Thema