Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Schwere Prozessor-Sicherheitslücke: TU Graz-Forscher zentral an Entdeckung beteiligt

04.01.2018

Mit „Meltdown“ und „Spectre“ veröffentlichte ein internationales, zehnköpfiges Forschendenteam – darunter Moritz Lipp, Michael Schwarz und Daniel Gruss von der TU Graz – zwei neue, schwere Sicherheitslücken in Computer-Prozessoren. Betroffen sind davon nicht nur private Computer, sondern auch die meisten Server-Strukturen und Cloud-Dienste. Die Grazer Forscher zeigen einen Lösungsweg auf.

Rund um den Jahreswechsel wurde in der IT-Welt über neue, schwere Sicherheitslücken spekuliert, die alle derzeit gängigen Mikroprozessoren haben sollen. Nun ist es offiziell: Mit „Meltdown“ und „Sepctre“ wurden zwei neue Angriffsmethoden gefunden, bei denen unautorisierte User direkt auf Daten im Herzstück des Computers – dem Kernel – zugreifen können.


Michael Schwarz, Moritz Lipp und Daniel Gruss (v.l.) von der TU Graz spielen eine zentrale Rolle in der aktuellen Aufdeckung verheerender Prozessor-Sicherheitslücken.

© Lunghammer - TU Graz

Entdeckt wurde dieses Problem von einer zehnköpfigen, internationalen Forschendengruppe mit zentraler Beteiligung des Instituts für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz. Bei beiden Angriffen wird die zentrale Arbeitsweise von schnellen Prozessoren ausgenutzt. Betroffen sind davon Prozessoren der Hersteller Intel, AMD und ARM.

Simpler Code mit verheerenden Auswirkungen

„Bei Meltdown handelt es sich um einen sehr simplen Angriff, bei dem nur vier Zeilen Computercode ausreichen, um Zugriff zu erlangen“, erklären Moritz Lipp, Michael Schwarz und Daniel Gruss von der TU Graz. „Spectre ist wesentlich aufwändiger, dafür aber auch wesentlich schwerer abzuwehren. Dabei wird das angegriffene Programm dazu gebracht selbst seine Geheimnisse auszuplaudern.“ Betroffen sind von den Sicherheitslücken aber nicht nur private Computer, sondern vor allem auch die meisten Server-Strukturen und Cloud-Dienste, die derzeit verwendet werden.

Weil Computersysteme immer schneller arbeiten sollen, machen sie ihre Rechenschritte nicht nacheinander, sondern parallel. Parallel zu langwierigen Arbeitsschritten, versucht der Prozessor bereits die nächsten Schritte vorherzusagen und vorzubereiten.

„Aus Performancegründen wird dafür noch nicht überprüft, ob das zugreifende Programm überhaupt die Rechte für einen Zugriff hat“, erklären die Grazer Forschenden. Wird der Arbeitsschritt doch nicht benötigt oder fehlen die Zugriffsrechte, dann verwirft der Prozessor die Vorarbeit wieder. Diese Vorarbeit wird bei den neuen Angriffen nun ausgenutzt, um sensible Daten aus dem Kernel auszulesen – beispielsweise Passwörter, die in gängigen Internet-Browsern gespeichert sind.

Grazer Patch schützt gegen „Meltdown“

Mit KAISER präsentierten die Grazer ein am Institut entwickeltes Patch, das helfen soll, diese Lücke zu schließen. Entwickler der wichtigsten IT-Firmen haben den Grazer Vorschlag angepasst, weiterentwickelt und liefern ihre Lösung nun mit dem aktuellsten Sicherheitsupdate aus. „Dieses Update greift aber die zentrale Arbeitsweise von schnellen Prozessoren an und könnte sich vor allem in seiner Geschwindigkeit bemerkbar machen“, erklären Gruss, Lipp und Schwarz.

„Wir können aber trotz allem nur an alle Nutzenden appellieren, diese Updates auszuführen. Die großen Anbieter von Cloud- und Server-Lösungen werden das in den kommenden Tagen umsetzen.“ Bis das Thema aber auf Seiten der Hardware gelöst werden kann, wird noch einige Arbeit auf die Hersteller zukommen. Insbesondere, weil das Patch zwar gegen den „Meltdown“-Angriff wirksam ist, nicht aber gegen Attacken wie „Spectre“.

Das internationale Team setzt sich aus Forschern der TU Graz, dem unabhängigen Forscher Paul Kocher und Personen der University of Pennsylvania, University of Maryland, Cyperus Technology, Rambus, der University of Adelaide und Data61 zusammen.

Die Forschungsarbeit wurde in zwei unterschiedlichen Arbeiten veröffentlicht: Die Paper zu „Meltdown“ und „Spectre“ sind online direkt zu finden (https://meltdownattack.com/meltdown.pdf und https://spectreattack.com/spectre.pdf) oder über die Informationswebsite zu der schweren Lücke zu erreichen.

Kontakt:
Daniel GRUSS
Dipl.-Ing. Dr.techn. BSc
TU Graz | Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie
Tel.: +43 316 873 5544
Mobil: +43 680 30 46 013
E-Mail: daniel.gruss@iaik.tugraz.at

Weitere Informationen:

https://spectreattack.com/ Informationswebsite zu „Meltdown“ und „Spectre“

Mag. Susanne Eigner | idw - Informationsdienst Wissenschaft

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Fingerabdrücke der Quantenverschränkung
15.02.2018 | Universität Wien

nachricht Quantenbits per Licht übertragen
15.02.2018 | Universität Konstanz

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Erste integrierte Schaltkreise (IC) aus Plastik

Erstmals ist es einem Forscherteam am Max-Planck-Institut (MPI) für Polymerforschung in Mainz gelungen, einen integrierten Schaltkreis (IC) aus einer monomolekularen Schicht eines Halbleiterpolymers herzustellen. Dies erfolgte in einem sogenannten Bottom-Up-Ansatz durch einen selbstanordnenden Aufbau.

In diesem selbstanordnenden Aufbauprozess ordnen sich die Halbleiterpolymere als geordnete monomolekulare Schicht in einem Transistor an. Transistoren sind...

Im Focus: Quantenbits per Licht übertragen

Physiker aus Princeton, Konstanz und Maryland koppeln Quantenbits und Licht

Der Quantencomputer rückt näher: Neue Forschungsergebnisse zeigen das Potenzial von Licht als Medium, um Informationen zwischen sogenannten Quantenbits...

Im Focus: Demonstration of a single molecule piezoelectric effect

Breakthrough provides a new concept of the design of molecular motors, sensors and electricity generators at nanoscale

Researchers from the Institute of Organic Chemistry and Biochemistry of the CAS (IOCB Prague), Institute of Physics of the CAS (IP CAS) and Palacký University...

Im Focus: Das VLT der ESO arbeitet erstmals wie ein 16-Meter-Teleskop

Erstes Licht für das ESPRESSO-Instrument mit allen vier Hauptteleskopen

Das ESPRESSO-Instrument am Very Large Telescope der ESO in Chile hat zum ersten Mal das kombinierte Licht aller vier 8,2-Meter-Hauptteleskope nutzbar gemacht....

Im Focus: Neuer Quantenspeicher behält Information über Stunden

Information in einem Quantensystem abzuspeichern ist schwer, sie geht meist rasch verloren. An der TU Wien erzielte man nun ultralange Speicherzeiten mit winzigen Diamanten.

Mit Quantenteilchen kann man Information speichern und manipulieren – das ist die Basis für viele vielversprechende Technologien, vom hochsensiblen...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Auf der grünen Welle in die Zukunft des Mobilfunks

16.02.2018 | Veranstaltungen

Smart City: Interdisziplinäre Konferenz zu Solarenergie und Architektur

15.02.2018 | Veranstaltungen

Forschung für fruchtbare Böden / BonaRes-Konferenz 2018 versammelt internationale Bodenforscher

15.02.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Erste integrierte Schaltkreise (IC) aus Plastik

17.02.2018 | Energie und Elektrotechnik

Stammbaum der Tagfalter erstmalig umfassend neu aufgestellt

16.02.2018 | Biowissenschaften Chemie

Neue Strategien zur Behandlung chronischer Nierenleiden kommen aus der Tierwelt

16.02.2018 | Biowissenschaften Chemie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics