Santa Clara. Forscher haben neue Sicherheitslücken in Intel-Prozessoren entdeckt und diese Zombieload getauft. Die Schwachstellen führen dazu, dass Angreifer unter bestimmten Umständen Speicherbereiche im Prozessor (CPU) auslesen können, die eigentlich geschützt sein sollten. Intel stuft die Wahrscheinlichkeit, dass die Sicherheitslücken in der Praxis ausgenutzt werden, aber als gering bis mittel ein – auch weil ein Angriff im Vergleich zur Ausnutzung anderer Schwachstellen äußerst komplex sei.

Von Zombieload betroffen sind viele ältere Core-i-Prozessoren, die von 2011 an hergestellt wurden. Quasi ab Werk geschützt sind nur die aktuellsten Intel-CPUs, etwa Chips aus der Core i-8000U-Reihe für Notebooks oder aus der Core i-9000-Serie für Desktop-Rechner.

Updates machen den Prozessor wieder sicher

Um die Zombieload-Lücke zu schließen, veröffentlicht Intel sogenannte Microcode-Updates (MCU). Die können Nutzer aber nicht direkt installieren. Sie fließen in Updates (Patches) der verschiedenen Hard- und Software-Hersteller ein, mit denen Intel zusammenarbeitet. Für die meisten Anwender wird die Aktualisierung, die ihren Prozessor wieder sicher macht, über Betriebssystem-Updates kommen, deren rasche Installation ohnehin obligatorisch sein sollte. Hier eine Übersicht über die verfügbaren Patches unterschiedlicher Anbieter, die die Website TechCrunch zusammengetragen hat.

Apple veröffentlicht macOS-Korrekturen

Apple stellt für jeden Mac und jedes MacBook, das seit 2011 veröffentlicht wurde, Patches zur Verfügung.

Jedes System, das macOS Mojave 10.14.5 oder spätere Versionen nutze, sei gepatcht. Damit sei gewährleistet, dass es keine Attacken mehr über den Webbrowser Safari oder andere Apps geben könne.

Google patcht Android und wird ein Chrome-Update veröffentlichen

Google bestätigte, dass man Patches veröffentlicht habe, die ZombieLoad entschärften. Die große Mehrheit der Android-Geräte sei nicht betroffen. Reine Intel-Geräte müssten allerdings gepatcht werden, sobald deren Hersteller Updates anböten. Geräte mit Chrome OS wie die Chromebooks seien bereits gegen ZombieLoad geschützt, so Google, und der Schutz werde Version für Version erweitert. Auch die Clouds des Unternehmens seien sicher.

Mozilla plant langfristigen Patch

Mozilla, Hersteller des Browsers Firefox, arbeitet laut TechCrunch an einem Langzeitschutz. „Firefox hat bereits den Schutz implementiert, den Apple für macOS empfiehlt“, sagte ein Sprecher des Unternehmens zu TechCrunch. „Die macOS-Abwehr wird Teil unserer kommenden Firefox-Version 67 sein – und auch zum Extended Support Release update (60.7) gehören, die beide am 21. Mai erscheinen. Firefox Beta und Firefox Nightly enthalten das Update bereits.“ Für Browser unter Windows and Linux seien keine Patches notwendig.

Microsoft veröffentlicht Windows-Updates

Microsoft hat Patches für sein Betriebssystem und seine Cloud veröffentlicht.

Jeff Jones, Direktor bei Microsoft, sagte, man „arbeite eng mit betroffenen Chip-Herstellern zusammen, um weitere Abwehrmechanismen zu entwickeln“. Das gelte auch für Cloud-Services und Sicherheits-Updates, um Windows-Nutzer vor etwaigen Anfälligkeiten ihrer Chip-Hardware zu schützen. Aktualisierungen seien auch über Windows Update verfügbar. Nutzer von Microsoft Azure seien bereits geschützt, teilte Microsoft mit.

Amazon patcht seinen Cloudservice AWS

Ein Sprecher von Amazon bestätigte, dass sein Cloud-Angebot „Amazon Web Services“ bereits ein Update gegen ZombieLoad erhalten habe. Kunden brauchten sich um nichts mehr zu kümmern.

Von RND/dpa/dk