ZombieLoad: Chromebooks sind von neuer CPU-Lücke betroffen, Patch kann Geräte ausbremsen (Workaround)
Im vergangenen Jahr ging mit Meltdown and Spectre eine Sicherheitslücke als Schreckgespenst um, die praktische alle modernen Geräte betroffen hat und für viel Panik gesorgt hat. Jetzt wiederholt sich die Geschichte, allerdings diesmal mit einem Zombie, mit weniger betroffenen Geräten und ganz ohne große Panik. Die neue ZombieLoad-Lücke blamiert Intel erneut, betroffene Google-Nutzer sollten aber bereits geschützt sein.
Mit ZombieLoad ist erneut eine schwere Sicherheitslücke in Intel-Prozessoren aufgetaucht, die nicht nur sehr viele CPU-Serien betrifft, sondern auch wieder sensible Daten auslesen könnte. Zwar ist die Angriffsfläche diesmal nicht ganz so groß wie im vergangenen Jahr, aber dennoch sind vor allem Desktop-Geräte davon betroffen. Die großen Betriebssystem-Hersteller haben bereits Patches verteilt und auch Googles Chrome OS ist längst nicht mehr anfällig.
Laut Google gibt es aktuell 77 noch unterstütze Chromebooks, die für die ZombieLoad-Lücke anfällig sein können. Für diese wurde mit dem Rollout von Chrome OS 74 aber bereits ein Patch verteilt, sodass die Lücke nicht mehr ausgenutzt werden kann. Allerdings ist ein Softwarepatch für ein Hardware-Problem natürlich immer mit Nachteilen verbunden – so auch bei Chrome OS. Das befallene Hyperthreading wurde standardmäßig auf allen Chromebooks deaktiviert – was zu Performance-Einbußen führen kann. Laut Google sind diese kaum wahrnehmbar, aber dennoch vorhanden.
If Chrome processes are attacked, these sensitive data could include website contents as well as passwords, credit card numbers, or cookies. The vulnerabilities can also be exploited to read host memory from inside a virtual machine, or for an Android App to read privileged process memory (e.g. keymaster).
So wird das Hyperthreading wieder aktiviert:
- Öffnet über den Chrome OS-Browser chrome://flags
- Sucht dort den Punkt #scheduler-configuration
- Stellt ihn auf performance um das Hyperthreading zu aktivieren
- Stellt ihn auf conservative um das Hyperthreading wieder zu deaktivieren
Auf der Ankündigungsseite des Chromium-Projekts gibt es eine Liste mit allen 77 betroffenen Chromebooks. Wer sein Gerät dort findet, sollte sich also überlegen, ob das Hyperthreading wieder aktiviert werden kann oder nicht.
» Informationen beim Chromium-Projekt
Siehe auch
» Digital Wellbeing bremst die Pixel 3-Smartphones: So lässt sich die Google-App deaktivieren und entfernen
» WhatsApp: Schwere Sicherheitslücke im Messenger entdeckt – Nutzer sollten updaten (APK-Download)
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter