Push-Nachrichten von MacTechNews.de

Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple: iPhone, iPad & Mac von Prozessorlücken betroffen - Apple Watch nicht

Apple hat in der Nacht ein Stellungnahme zu den entdeckten Sicherheitslücken in modernen Prozessoren veröffentlicht, über die Angreifer unter anderem durch Skripte auf Webseiten sensible Daten wie Kennwörter ermitteln können. Aus dem Support-Dokument geht hervor, dass nicht nur die in Macs verbauten Intel-Prozessoren betroffen sind, sondern auch die A-Prozessoren in iPhone, iPad und Apple TV. Einzig der System-Chip der Apple Watch weist Apple zufolge keine Prozessorlücken auf.

"Meltdown"-Lücken weitestgehend geschlossen
Das grundsätzliche Sicherheitsproblem bei Prozessoren mit spekulativer Code-Ausführung ist Medienberichten zufolge bereits seit Sommer 2017 bekannt. So lässt sich auch erklären, dass Apple in dem Support-Dokument nun erklärt, die kritischeren "Meltdown"-Lücken in den Prozessoren durch einen Workaround weitestgehend behoben zu haben. Apple zufolge enthalten iOS 11.2, macOS 10.13.2 High Sierra und tvOS 11.2 bereits die nötigen Anpassungen. Mit nachfolgenden Updates sollen noch weitere Verbesserungen folgen. Ob im Fall von macOS auch ältere Systemversionen wie macOS Sierra und macOS El Capitan einen Update erhalten haben bzw. erhalten werden, geht aus der Stellungnahme von Apple nicht hervor.

"Spectre"-Lücken mit baldigem Safari-Update zu beheben
Bei der grundsätzlich nicht zu lösenden aber weniger gefährlichen Sicherheitslücken des "Spectre"-Angriffs will Apple durch Verbesserungen an Safari die Gefahr für Nutzer abmildern. Die Wahrscheinlichkeit, dass ein Angreifer die Sicherheitslücke ausnutzen kann, ist laut Sicherheitsforschern aufgrund der vielen Vorbedingungen gering. Apple konzentriert sich daher in diesem Fall auf die stärkere Isolierung von Skripten in Webseiten. Apps bleiben davon hingegen unberührt.

Keine signifikanten Geschwindigkeitseinbußen
Die im Vorfeld aufkommenden Befürchtungen, dass die Workarounds für die Sicherheitslücken Geschwindigkeitseinbußen von bis zu 30 Prozent nach sich ziehen können, erfüllen sich Apple zufolge nicht. Prozessor-Benchmarks wie Geekbench 4 und Browser-Benchmarks wie Speedometer zeigen demnach keine Geschwindigkeitseinbußen. Einzig beim Browser-Benchmark JetStream gibt es einen messbaren Leistungsverlust von ungefähr 2,5 Prozent, der aber in der Praxis wohl nur selten zu bemerken sein wird.

Daten zum Mac mini M4: Aufpreise, Spezifikation...

Neues iPad mini

Test FiiO FH19

Gescheitert: iPhones von Robotern statt Arbeite...

10 Jahre neues macOS-Design

Apple TV+ angeblich vor Strategiewechsel: Low-c...

Vor 10 Jahren: Das iPhone 6 und "Bendgate"

iPhone 16: Alle Details zum neuen Kamerasystem ...

Kommentare

Dirk!05.01.18 09:19

MTN

Einzig der System-Chip der Apple Watch weist Apple zufolge keine Prozessorlücken auf.

Passt doch mal auf, was Ihr schreibt. Er weißt keine der momentan diskuitierten Lücken auf.

-12

OpDraht05.01.18 09:26

Liest sich oberflächlich gut. 4 Tage die Anwender im Zweifel lassen ist aber schon etwas lang. Auch die versprochene zusätzliche Safari-Absicherung erinnert an die bereits gestern von Google & Co. veröffentlichten (im Sinne von bereits geliefert: ).

-10

Freudensprung05.01.18 09:30

Im Gegensatz zu Microsoft und Linux wurde OSX bereits gefixt, also Apple kann wenn Apple will ja doch Gas geben. Spricht für Apple!

Lieber paar Tage warten und ein Statement mit Hand und Fuß raus geben anstatt schwammiges Geblubber.

+11

steve.it05.01.18 09:31

Die Anwender sind doch immer noch im Zweifel.
Was ist mit 10.12 und 10.11 inkl. Safari?

Für Firefox und Chrome gibt es bereits Updates oder Maßnahmenempfehlungen. Da ist Apple mit Safari aber "schnell".

Dirk!05.01.18 09:31

Sorry, für die Vertipper in meinem Beitrag oben. Ist ja immer „nett“ wenn man Sorgfalt anmahnt und dann selber schludrig tippt

steve.it05.01.18 09:32

Freudensprung

Im Gegensatz zu Microsoft und Linux wurde OSX bereits gefixt, also Apple kann wenn Apple will ja doch Gas geben. Spricht für Apple!

Ach ja?
Schön, dass Apple mit 10.12.2 bereits etwas getan hat. Allerdings:
- Was ist mit macOS 10.12?
- Was ist mit macOS 10.11?
- Was ist mit Safari?

Und "vollständigen" Schutz gibt es erst mit macOS 10.13.3

Ach ja...

sierkb

heise (03.01.2018): Zero-Day-Exploit IOHIDeous: Apple stellt Patch für macOS in Aussicht
Noch im Januar will Apple eine gravierende Schwachstelle stopfen, die es Malware ermöglichen kann, einen Mac zu übernehmen. Nutzer sollten Software nur aus vertrauenswürdigen Quellen wie dem Mac App Store beziehen, rät der Hersteller.

heise (01.01.2018): IOHIDeous: Zero-Day-Exploit für macOS veröffentlicht (Update)
Eine seit wohl 15 Jahren bestehende Schwachstelle kann es einem Angreifer ermöglichen, die Kontrolle über den Mac zu übernehmen. Der nun veröffentlichte Kernel-Exploit funktioniert in macOS bis hin zu 10.13 High Sierra.

GitHub: IOHIDeous (Siguza, 01. Dec 2017, published 31. Dec 2017)

TFMail100005.01.18 09:44

Freudensprung

"weitestgehend geschlossen" hat für mein Verständnis weder Hand noch Fuß.
Und weiter im Text "die kritischeren "Meltdown"-Lücken in den Prozessoren durch einen Workaround weitestgehend behoben zu haben" bedeutet dich auch nur, das man versucht, die Lücken zu umgehen, da man sie nicht verhindern kann, oder?

Also zwischen Klartext und schwammigen Geblubbert gibt es viel Platz, den auch Apple oft gern und reichlich nutzt.

May the force be with you

aMacUser05.01.18 09:49

TFMail1000

Freudensprung

Natürlich ist es die Natur eines Workarounds, einen Fehler nur zu umgehen. Das impliziert schließlich die Bezeichnung "Workaround" (für die Leser, die Englisch verstehen).
Aber in vielen Fällen ist es in der Softwareentwicklung leider nicht anders möglich, als Workarounds zu verwenden. Aber nichts desto trotz kann man auch mit einem Workaround einen Fehler vollständig "fixen". Und "fixen" heißt halt auch nur, dass der Fehler nicht mehr auftritt.

steve.it05.01.18 09:50

Patches für Windows schon verfügbar
Win7:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB405 6897
Win8.1:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB405 6898

Win10(wird auch schon über windows update verteilt):
https://www.catalog.update.microsoft.com/Search.aspx?q=KB405 6892

Win7 und 8 erhalten den Patch über Windows Update wohl erst am nächsten Dienstag.

jensche05.01.18 09:52

Freudensprung

Wobei ich glaube der Bug gibts seit 1986.
Also 31 Jahre für den Bugfix ist schon etwas lang...

-1

iGod05.01.18 10:04

macOS 10.12 und 10.11 sind veraltet, dafür gibt es keine Patches mehr. Wer vollen Schutz möchte, muss updaten. Wenn wir so anfangen müsste Apple die OS X der letzten 10 Jahre fixen, wenn der Fehler wirklich schon so lange existiert.

-11

barabas05.01.18 10:08

jensche

Freudensprung

Wobei ich glaube der Bug gibts seit 1986.
Also 31 Jahre für den Bugfix ist schon etwas lang...

Nur das Apple selbst erst seit 2006 Intel Prozessoren einsetzt, vormals PPC von "BigBlue" und noch weiter in der Vergangenheit die 68K Prozessoren von Motorola. Ob nun auch diese von den Bugs betroffen waren ?

schaudi05.01.18 10:13

iGod

Der Fehler existiert wohl seit dem 1995er Pentium oder so. Echt eine Frechheit, dass es noch kein Patch für Windows 95 gibt gelle?!

TFMail1000

Was soll man denn bitte bei einem grundlegenden Hardware Architektur System Fehler eines Drittherstellers, Software mäßig anderes machen als ihn Weitestgehend zu umgehen? Gerade bei Spectre soll es wohl gar nicht möglich sein ihn 100% zu beseitigen bzw zu umgehen.

Hier persönlichen Slogan eingeben.

matt.ludwig05.01.18 10:14

steve.it

Jetzt kommst du auch noch mit Fakten ...

+11

verstaerker05.01.18 10:20

iGod

so ein Quatsch ... security-updates sollten für ältere OS schon bereitgestellt werden ...

10.11 ist ja auch grad mal 2,3 Jahre alt

Hannes Gnad05.01.18 10:27

Es kam in der Vergangenheit schon mehrfach vor, daß Apple für ältere macOS-Versionen einige Sicherheitslücken, für deren Behebung man größere Umbauarbeiten im Unterbau vornehmen mußte, nicht mehr für ältere, aber noch "unterstützte" Versionen rückportiert hat. Mal schauen, wie es diesmal läuft, aber ich wäre nicht überrascht, wenn nur die aktuellsten Version wirklich gefixt würden.

TFMail100005.01.18 10:35

aMacUser

...Das impliziert schließlich die Bezeichnung "Workaround" (für die Leser, die Englisch verstehen)...

soweit reicht selbst mein Englisch;
nur der Begriff "weitestgehend" hat doch nicht wirklich was mit "Hand und Fuß" zu tun... Mir gehen die Apple Hater und die Apple Lobpreiser in letzter Zeit furchtbar auf den Senkel, da man von beiden Seiten keine klaren Informationen mehr abschöpfen kann, eher verunsichert wird.
Eine klare Information fehlt nicht nur von den Verantwortlichen, auch die User Gemeinde verfällt zu oft in kritikloser Jubelei bzw. in ein zerreissen jedweder guten Ansätze...

Windows, Linux und Co haben auch bereits Patches zur verfügung gestellt, da gibt es (für mich) keinen Grund, Apple für eine "weitestgehende" Lösung zu loben!

P.S.: Ich zähle mich als Fan der Apple Welt, dennoch muss ich nicht alles aus Cupertino Lobpreisen, zumal es in letzter Zeit wohl ganz massiv an der gewohnten Qualität fehlt.

May the force be with you

steve.it05.01.18 10:39

Hannes Gnad

Also werden "unterstützte" Vorversionen so ein bisschen unterstützt oder wie es dem Milliardenkonzern halt gerade in den Kram passt. Dazu noch die "super" Kommunikation (wenig bis gar nichts sagen und dann häufig nicht richtig bzw. schwammig).

Der Laden ist so "PRO"...

@TFMail1000:
Die sogenannten "Hater" bringen nur sehr häufig Fakten, die den Fans nicht passen.
Ich bin übrigens kein Hater, nur eben sehr kritisch. Ansonsten hätte ich nicht seit X-Jahren Macs. Mir ging dieses Getue von Apple allerdings schon immer auf die Nerven. Und ich bin zunehmen genervt... kam halt einiges zusammen an verschiedenen Fronten (z.B. man schaue sich mal das Mac-Lineup an... ).

demanufatured05.01.18 10:42

verstaerker

iGod

so ein Quatsch ... security-updates sollten für ältere OS schon bereitgestellt werden ...
10.11 ist ja auch grad mal 2,3 Jahre alt

Man sollte gar nicht viel auf die Absonderungen dieses Freizeitclowns mit Gottkomplex geben und das Gesülze einfach ignorieren. Gibt halt in jedem Forum einen Kasper, der provozieren will. Never feed the troll.

Ich gehe fest davon aus, dass es Security Fixes für so eine kritische Lücke zumindest für 10.12 und 10.11. geben wird. Microsoft hat vor einiger Zeit für eine besonders kritische Lücke sogar für XP nochmal ein Update herausgegeben.

steve.it05.01.18 10:45

demanufatured

Ich gehe fest davon aus, dass es Security Fixes für so eine kritische Lücke zumindest für 10.12 und 10.11. geben wird. Microsoft hat vor einiger Zeit für eine besonders kritische Lücke sogar für XP nochmal ein Update herausgegeben.

Das ist aber MS und nicht Apple...

Glauben und hoffen... was ist das für eine Basis?
Es sollte sich Apple ganz klar dazu äußern (anstatt die Anwender im dunkeln zu lassen).

Gerade diese Geschichte ist so derart kritisch (und man kann nicht in Log-Dateien etc. sehen, ob man gerade geownt wird oder wurde)!

Aus dem macrumors-Forum:
"This "crying" is 100% legit. And again, "Apple's statement does not make it clear if these vulnerabilities have been addressed in older versions of iOS and Mac" .. how typical for today's Apple - they don't give a crap to make really clear statement even if it's totally clear that people are waiting for it."

demanufatured05.01.18 10:51

Die Lücke ist so stark in den Medien, dass die sich die schlechte PR nicht geben werden nur die aktuellesten Systeme zu schützen.

Gibt noch genug funktionierende Macs und iOS Produkte, die produktiv genutzt werden, aber nicht auf das aktuellste System updaten können. Die wären alle sicherheitstechnisch unbenutzbar bei der Lücke.

Wenn aber doch, dann weiß man zumindest, woran man bei Apple ist und kann einen klaren Schnitt machen.

PS:
Dazu kommt noch, dass Apple gerade sowieso Kacke am Schuh hat und dem Vorwurf ausgesetzt ist, durch versteckte Kniffe (wie verlangsamen der iPhones bei alten Akkus) den Kunden zum Kauf neuer Geräte zu drängen. Wie käme es wohl an, wenn jetzt alle, die auf kein aktuelles OS updaten könnten, aufgrund von Sicherheitsbedenken ein neues Gerät kaufen müssten?

Machen wir uns nichts vor, Apple presst den Kunden seit einigen Jahren aus wie eine Zitrone, um die Wachstumserwartungen an der Börse gerecht zu werden. Sie haben gegenwärtig den Erfolg und die Leute kaufen trotz diverser kundenfeindlicher Entscheidungen in den letzten Jahren.

Aber ich glaube nicht, dass Apple sich irgendeinen Vorteil versprechen könnte, nur die neuesten Systeme upzudaten bei dem gleichzeitigen Risiko, nochmal auf eine PR-Mine zu treten.

barabas05.01.18 11:02

demanufatured

So ist es, selbst in unserer Firma steht noch die eine oder andere "Käsereibe" unter den Schreibtischen. Jene alte MacPro Generation ist aber in den letzten Jahren nach und nach von den aktuellen OS ausgeschlossen worden, dennoch wurden zumindest für die beiden Vorgängerversionen des aktuellen OS noch zwischenzeitlich "Security Updates" bereit gestellt,- es bleibt zu hoffen das zumindest jene Versionen also noch einen Patch erhalten.

demanufatured05.01.18 11:11

steve.it

https://support.apple.com/en-gb/HT208331

Security updates für El Capitan und Sierra bestätigt.
Quod erat demonstrandum.

Eventus05.01.18 11:14

demanufatured

steve.it

https://support.apple.com/en-gb/HT208331

Security updates für El Capitan und Sierra bestätigt.
Quod erat demonstrandum.

Und könnt ihr «sehr kritischen Nicht-Hater» jetzt bitte kurz reflektieren, ob eure Kritik objektiv sinnvoll war oder eher unnötige Aufregung?

Live long and prosper! 🖖

-4

steve.it05.01.18 11:16

Eventus

demanufatured

steve.it

https://support.apple.com/en-gb/HT208331

Security updates für El Capitan und Sierra bestätigt.
Quod erat demonstrandum.

Und könnt ihr «sehr kritischen Nicht-Hater» jetzt bitte kurz reflektieren, ob eure Kritik objektiv sinnvoll war oder eher unnötige Aufregung?

CVE-2017-5753, CVE-2017-5715 so wie CVE-2017-5754 finden sich dort wo?

====
Und diese andere 0-Day Geschichte, die mit der Geschichte hier nichts zu tun hat und über die hier geschwiegen wird, wird dann bald auch bei den älteren Versionen gleich mitgepatcht?

"Conclusion
Woah.

One tiny, ugly bug. Fifteen years. Full system compromise."

demanufatured05.01.18 11:23

Eventus

demanufatured

steve.it

https://support.apple.com/en-gb/HT208331

Security updates für El Capitan und Sierra bestätigt.
Quod erat demonstrandum.

Und könnt ihr «sehr kritischen Nicht-Hater» jetzt bitte kurz reflektieren, ob eure Kritik objektiv sinnvoll war oder eher unnötige Aufregung?

Du Eventus, der du meiner Ansicht nach einer der objektivsten Mitforisten hier im Forum bist und dich keinerlei Verdächtigungen schuldig machst, durch eine rosarote Apple Brille zu schauen, kannst mir stattdessen z.B. erklären, ob es kundenfreundlich ist, beim neuesten iPhone X für den Bruch der Glasrückseite 611 € Reparaturkosten zu berechnen. JerryRigEverything und andere Youtuber haben bereits gezeigt, dass ein Fall aus Hüfthöhe bereits ausreichen kann. Elaboriere dies bitte, bin gespannt.

sierkb05.01.18 11:24

Freudensprung

Im Gegensatz zu Microsoft und Linux wurde OSX bereits gefixt

Really? Bzgl. des Linux-Kernels:

Pro-Linux

Als im November Linux-Patches erschienen, die separate Seitentabellen für Kernel- und Prozessadressen vorsahen, gab es bereits erste Spekulationen, dass dahinter etwas Größeres stecken könnte. Der damals Anfang November vorgestellte Patch »KAISER« wurde schnell weiterentwickelt und wird unter dem Namen KPTI bereits in Linux 4.15 erscheinen, obwohl er erst außerordentlich spät integriert wurde. Der Patch wurde außerdem bereits auf 4.14 zurückportiert . Ein Artikel von The Register am 2. Januar löste dann die vermutlich erst für später geplante Publikation der Sicherheitslücken aus, die eine enorme Tragweite haben.
[…]

Quelle: Pro-Linux (04.01.2018): Software::Security: Prozessorfehler mit katastrophalen Ausmaßen
Googles »Project Zero« hat zusammen mit mehreren Sicherheitsforschern drei Sicherheitslücken in der Hardware festgestellt, die alle modernen Prozessoren mehr oder weniger stark betreffen. Sie ermöglichen das unbemerkte Auslesen beliebigen Speichers des Rechners und können somit Passwörter und andere sensible Daten verraten. Die Behebung der Fehler wird kostspielig oder mit erheblichen Geschwindigkeitseinbußen verbunden sein.

also Apple kann wenn Apple will ja doch Gas geben. Spricht für Apple!

Really? Oder hast Du nur den subjektiven Eindruck, dem wäre so? Und wenn auch Apple da grad' (einmal mehr) mit dem Rücken an der Wand steht und (relativ) zügig reagiert, nicht weil sie wollen, sondern weil sie angesichts der Brisanz und schwere des Falles und allgemeiner Aufmerksamkeit müssen und sie auch da, bei Lichte betrachtet, eher zu den langsamereren gehören statt zu den Schnellsten, obwohl ihre erste Not-Hilfe-Reaktion in Form eines ersten unvollständigen Teil-Patches für ihre Verhältnisse dann doch relativ zügig vonstatten gegangen ist?

Lieber paar Tage warten und ein Statement mit Hand und Fuß raus geben anstatt schwammiges Geblubber.

Niemand gibt da derzeit schwammiges Geblubber von sich. Und Statements von Hand und Fuß geben derzeit alle Hersteller von sich, auch da kann Apple gar nicht anders, muss sich dazu äußern (und zuviel verraten sie beileibe nicht, bleiben in ihren Ausührungen allgemein – geben nur soviel bekannt, wie eh schon bekannt ist und ansonsten beruhigen sie), nachdem alle anderen Hersteller es bereits vor ihnen getan haben, da können sie nicht hintenanstehen – erst recht, nachdem bekannt ist, dass Apple von dem Ganzen schon eine Weile weiß und entsprechend unterrichtet und vorbereitet ist.

sierkb05.01.18 11:42

heise (04.01.2018): Prozessor-Bug: Browser-Hersteller reagieren auf Meltdown und Spectre Update
In Chrome lässt sich eine Option aktivieren, die das Risiko der Prozessor-Sicherheitslücke verringern soll. Mozilla hat ebenfalls Maßnahmen angekündigt, die die Auswirkungen der Lücke abmildern sollen.

Update 5.1.: Firefox, Edge, Internet Explorer
Über Nacht haben die Mozilla-Entwickler Firefox 57.0.4 mit den Sicherheitsupdates herausgebracht. Microsoft hat ebenfalls bereits einen Patch für seine Browser Edge und sogar den Internet Explorer veröffentlicht. Er soll automatisch per Windows-Update installiert werden.

Was ist mit Apples Safari unter macOS und iOS? Bekommt der auch was – wenn ja, wann?

bmonno05.01.18 11:45

steve.it

Eventus

demanufatured

steve.it

https://support.apple.com/en-gb/HT208331

Security updates für El Capitan und Sierra bestätigt.
Quod erat demonstrandum.

Und könnt ihr «sehr kritischen Nicht-Hater» jetzt bitte kurz reflektieren, ob eure Kritik objektiv sinnvoll war oder eher unnötige Aufregung?

CVE-2017-5753, CVE-2017-5715 so wie CVE-2017-5754 finden sich dort wo?

Mir hat das alte -F geholfen, auf der genannten Seite CVE-2017-5754 (Meltdown) zu finden. Es wurde für El Capitan, Sierra, High-Sierra behandelt, ob wirklich abschliessend, ist sicher derzeit offen.

Für die anderen von dir erwähnten CVE-2017-5753/Spectre, CVE-2017-5715/Spectre steht oben im Artikel, dass sie noch nicht behandelt sind, aber auch in allen Systemen wieder gleich.

sierkb: danke für die sachlichen Beiträge. Sind hier selten geworden.

Sahneschnitte05.01.18 11:52

Als die Geschichte in den letzten Tage an Dynamik gewann, fiel mir spontan dieser Spruch zu ein: "Der Computer hilft uns, Probleme zu lösen, die wir ohne ihn gar nicht hätten."
Warum habe ich mich, zwar erst spät aber dann doch voll und ganz, 1999 nur auf diesen „Quatsch“ eingelassen?

Weitere News-Kommentare anzeigen

Apple: iPhone, iPad & Mac von Prozessorlücken betroffen - Apple Watch nicht

Kommentare

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.