Meltdown und Spectre: Auch IBMs Power-Prozessoren sind anfällig

IBM hat bestätigt, dass auch seine Power-CPUs für Rechenzentren von den Sicherheitslecks Meltdown und Spectre betroffen sind. Der Hersteller hat bereits Firmware-Updates für die Plattformen Power7+ und Power8 bereitgestellt. Fixes für Power9 sind für den 15. Januar angekündigt.

Zur Eindämmung der Lecks sind aber außerdem Updates für die Betriebssysteme AIX und IBM i erforderlich, die für den 12. Februar geplant sind. Der Zeitplan gibt den Power-Systems-Kunden somit einen Monat Zeit für die Installation der Firmware-Updates, die vor den Betriebssystem-Patches erfolgen müssen.

„Die vollständige Abmilderung dieser Anfälligkeit für Power-Systems-Clients erfordert die Installation von Patches sowohl der System-Firmware als auch der Betriebssysteme“, heißt es dazu im IBM PSIRT Blog. „Der Firmware-Patch sorgt für eine teilweise Abmilderung dieser Anfälligkeiten und ist eine Voraussetzung, damit der OS-Patch wirksam sein kann.“

Auch bei Intel-Prozessoren reichen Patches des Betriebssystems allein nicht aus, wie sie Microsoft bereits angeboten hat. Microsoft wies ebenfalls darauf hin, dass neue Firmware für Prozessoren dringend notwendig ist. Intel versprach, den größten Teil seiner betroffenen Prozessoren mit Sicherheitsaktualisierungen zu versorgen. Dabei sprach der Chiphersteller von Firmware-Patches – und vermied es, von Microcode-Updates für die Prozessoren zu sprechen, um die es eigentlich geht.

IBM äußerte sich ebenfalls vorsichtig hinsichtlich der Gefährdung seiner Prozessoren durch die Sicherheitslecks. Das Unternehmen wollte sie zunächst nicht einmal voll bestätigen, obwohl Red Hat schon in einem Advisory am 3. Januar von einem Exploit für IBM System Z sowie Power8 und Power9 berichtete. In der Folge kündigte IBM die Veröffentlichung von Patches für seine „potentiell betroffenen“ Power-Prozessoren an und merkte an, dass seine Storage-Appliances nicht betroffen sind. IBM will außerdem seine Kunden über Patches für Power-CPUs vor Power7+ informieren, soweit diese noch unterstützt werden.

Die Firmware-Updates von IBM sollten auch bedeuten, dass Kunden sich rundum schützen können, die Linux-Distributionen auf Power Systems einsetzen. Red Hat, Suse sowie Canonical haben in der letzten Woche ihre Updates freigegeben, nachdem die beiden Sicherheitslecks enthüllt wurden.

Meltdown und Spectre wurden vergangene Woche von Google-Forschern und anderen Sicherheitsexperten gemeldet. Über ein Chip-Feature, das „speculative execution“ genannt wird, lassen sich über eine Malware sensible Informationen wie Passwörter oder Verschlüsselungen auslesen. Auch die Chips von Herstellern wie ARM und teilweise auch AMD sind für diese Lecks anfällig. Auch Apple-Geräte sind laut Hersteller verwundbar.

[mit Material von Liam Tung, ZDNet.com]