Spectre: Apple veröffentlicht Updates für iOS und macOS

Apple hat Updates für iOS und macOS veröffentlicht, die die kürzlich entdeckte Sicherheitslücke in Intel-Prozessoren stopft. Zuvor hatte der Hersteller bereits Patches für die Meltdown genannte CPU-Lücke ausgeliefert.

Für iPhone und iPad schließt die Spectre-Lücke die iOS-Version 11.2.2. Beim Desktop-Betriebssystem ändert sich die Versionsnummer nicht. Apple nennt das Update „macOS 10.13.2 Ergänzendes Update„. In der Update-Beschreibung spricht Apple von „Sicherheitsverbesserungen für Safari und WebKit, um die Auswirkungen von Spectre (CVE-2017-5753 und CVE-2017-5715) zu mildern“. Damit ist klar, dass es einen 100-prozentigen Schutz davor noch nicht gibt. Ähnlich hatte sich auch Microsoft geäußert. Laut Sicherheitsspezialisten ist ein vollständiger Schutz nur mit einem Microcode-Update für den verwendeten Prozessor möglich.

Da Apple vollständig auf Intel-Prozessoren setzt, ist es von den beiden Schwachstellen stärker betroffen als Hersteller, die auch AMD-basierte Lösungen anbieten. AMD-Prozessoren sind von den beiden Schwachstellen weniger stark betroffen.

Wie Intel-Chef Brian Krzanich sollen Microcode-Updates für 90 Prozent aller Intel-Prozessoren bis Ende dieser Woche zur Verfügung stehen. Bis Ende Januar will Intel für sämtliche Prozessoren entsprechende Patches bereitstellen.

Üblicherweise werden Microcode-Updates ohne weitere Ankündigung über neue BIOS-Versionen für das Motherboard verteilt. Da nur die wenigsten Anwender ihr BIOS oder UEFI regelmäßig selbst aktualisieren, kommen die Updates aber längst nicht auf allen PCs an. Daher gibt es auch andere Mechanismen. Microsoft hat bereits angekündigt, dass seine Surface-Geräte den neuen Microcode über Windows Update erhalten sollen.

Unklar ist derzeit noch, wie sich die Aktualisierungen auf die Performance der CPUs auswirken werden. Da insbesondere für Spectre eine genaue Laufzeitmessung von Code durch Schadsoftware nötig ist, könnte Intel die sehr exakten internen Timer schwächen. Das würde sich aber auch auf andere, vor allem technisch/wissenschaftliche Software auswirken. Daher sind die bisherigen Messungen, vor allem unter Linux, ohne Microcode-Update auch nur Anhaltspunkte. Von AMD, das ebenfalls zumindest von Spectre betroffen ist, gibt es noch keine entsprechende Ankündigung.

Dass die Situation rund um die Updates bisher noch nicht eindeutig ist, kann man den beteiligten Unternehmen nur indirekt vorwerfen. Die Fehler sind schon seit Juni 2017 bekannt, seitdem arbeiten die Firmen an Reparaturen. Dafür war für die zweite Kalenderwoche 2018 eine gemeinsame Aktion geplant. Die Notfall-Updates für Windows und andere Software mussten aber vorgezogen werden, weil die Existenz der Sicherheitslücken durch die öffentliche Arbeit am Linux-Kernel bekannt wurde.