Categories: MobileMobile OS

Spectre: Apple veröffentlicht Updates für iOS und macOS

Apple hat Updates für iOS und macOS veröffentlicht, die die kürzlich entdeckte Sicherheitslücke in Intel-Prozessoren stopft. Zuvor hatte der Hersteller bereits Patches für die Meltdown genannte CPU-Lücke ausgeliefert.

Für iPhone und iPad schließt die Spectre-Lücke die iOS-Version 11.2.2. Beim Desktop-Betriebssystem ändert sich die Versionsnummer nicht. Apple nennt das Update „macOS 10.13.2 Ergänzendes Update„. In der Update-Beschreibung spricht Apple von „Sicherheitsverbesserungen für Safari und WebKit, um die Auswirkungen von Spectre (CVE-2017-5753 und CVE-2017-5715) zu mildern“. Damit ist klar, dass es einen 100-prozentigen Schutz davor noch nicht gibt. Ähnlich hatte sich auch Microsoft geäußert. Laut Sicherheitsspezialisten ist ein vollständiger Schutz nur mit einem Microcode-Update für den verwendeten Prozessor möglich.

Da Apple vollständig auf Intel-Prozessoren setzt, ist es von den beiden Schwachstellen stärker betroffen als Hersteller, die auch AMD-basierte Lösungen anbieten. AMD-Prozessoren sind von den beiden Schwachstellen weniger stark betroffen.

Wie Intel-Chef Brian Krzanich sollen Microcode-Updates für 90 Prozent aller Intel-Prozessoren bis Ende dieser Woche zur Verfügung stehen. Bis Ende Januar will Intel für sämtliche Prozessoren entsprechende Patches bereitstellen.

Üblicherweise werden Microcode-Updates ohne weitere Ankündigung über neue BIOS-Versionen für das Motherboard verteilt. Da nur die wenigsten Anwender ihr BIOS oder UEFI regelmäßig selbst aktualisieren, kommen die Updates aber längst nicht auf allen PCs an. Daher gibt es auch andere Mechanismen. Microsoft hat bereits angekündigt, dass seine Surface-Geräte den neuen Microcode über Windows Update erhalten sollen.

Unklar ist derzeit noch, wie sich die Aktualisierungen auf die Performance der CPUs auswirken werden. Da insbesondere für Spectre eine genaue Laufzeitmessung von Code durch Schadsoftware nötig ist, könnte Intel die sehr exakten internen Timer schwächen. Das würde sich aber auch auf andere, vor allem technisch/wissenschaftliche Software auswirken. Daher sind die bisherigen Messungen, vor allem unter Linux, ohne Microcode-Update auch nur Anhaltspunkte. Von AMD, das ebenfalls zumindest von Spectre betroffen ist, gibt es noch keine entsprechende Ankündigung.

Dass die Situation rund um die Updates bisher noch nicht eindeutig ist, kann man den beteiligten Unternehmen nur indirekt vorwerfen. Die Fehler sind schon seit Juni 2017 bekannt, seitdem arbeiten die Firmen an Reparaturen. Dafür war für die zweite Kalenderwoche 2018 eine gemeinsame Aktion geplant. Die Notfall-Updates für Windows und andere Software mussten aber vorgezogen werden, weil die Existenz der Sicherheitslücken durch die öffentliche Arbeit am Linux-Kernel bekannt wurde.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago