Viele Geräte betroffen!
In Computerchips ist eine neue Sicherheitslücke entdeckt worden, durch die Angreifer an vertrauliche Daten kommen könnten. Die Schwachstelle liegt in einem Verfahren, bei dem Chips möglicherweise später benötigte Informationen schon im voraus abrufen, um Verzögerungen zu vermeiden.
Ein Google-Sicherheitsexperte demonstrierte, dass dabei Unberechtigte zum Beispiel an Passwörter, Krypto-Schlüssel oder Informationen aus Programmen gelangen könnten.
Das als «speculative execution» bekannte Chip-Verfahren wird seit Jahren von diversen Anbietern eingesetzt. Damit dürfte eine Masse von Computer-Geräten zumindest theoretisch bedroht sein. Der Branchenriese Intel erklärte, es werde gemeinsam mit anderen Firmen an einer Lösung gearbeitet, und bezweifelte zugleich, dass die Schwachstelle bereits ausgenutzt worden sei.
Der kleinere Intel-Konkurrent AMD, der von Google ebenfalls genannt wurde, bestritt, dass seine Prozessoren betroffen seien. Der Chipdesigner Arm, dessen Prozessor-Architektur in Smartphones dominiert, bestätigte, dass einige Produkte anfällig dafür seien.
Die Sicherheitslücke war bereits vor einiger Zeit entdeckt worden. Die die Tech-Industrie arbeitete daran, die Schwachstelle mit Software-Updates zu stopfen, bevor sie publik wurde. Die Veröffentlichung war für den 9. Januar geplant. Die Unternehmen zogen sie auf Mittwoch vor, nachdem Berichte über eine Sicherheitslücke in Intel-Chips die Runde machten. Der Aktienkurs von Intel sackte ab, der Konzern sah sich gezwungen, «irreführenden Berichten» zu widersprechen und betonte, es handle sich um ein allgemeines Problem.
Die Software-Maßnahmen gegen die Sicherheitslücken dürften zwar die Leistung der Prozessoren beeinträchtigen, räumte Intel ein. In den meisten Fällen werde der Leistungsabfall aber bei maximal zwei Prozent liegen. In ersten Berichten war noch von bis zu 30 Prozent die Rede.
Besonders brenzlig werden könnte das Problem zumindest theoretisch in Server-Chips, auf denen sich die Wege vieler Daten kreuzen. Google betonte in der Erklärung zum Fund der Schwachstelle, seine Cloud-Dienste seien abgesichert.