Schwachstelle in der CPU

Apple M1: Sicherheitslücke PACman lässt sich nicht beheben

Der M1-Chip von Apple hat eine Sicherheitslücke, die sich nicht per Update beheben lässt. PACman erlaubt laut Forscher*Innen des MIT dabei auch Attacken gegen den Kernel des Betriebssystems.

News
Logo des Apple M1
Seit dem M1 baut Apple seine Prozessoren im eigenen Haus.
© Apple

Mit PACman wurde eine neue Sicherheitslücke in Apples M1-Prozessorreihe gefunden. Entdeckt wurde die Schwachstelle von Forscher*Innen des Massachusetts Institute of Technology (MIT). Da das Problem dabei auf Hardware-Ebene existiert, lässt es sich nicht einfach per Update beheben. Des weiteren könnten von der Sicherheitslücke auch andere Chips auf Arm-Basis etwa von Qualcomm oder Samsung betroffen sein.

Die Schwachstelle findet sich dabei im Pointer Authentification Code (PAC) des Prozessors. Dabei handelt es sich um einen Sicherheitsmechanismus der CPU, bei der eine kryptografische Signatur in den ersten Bits eines Pointers untergebracht wird. So können Apps auf böswillige Änderungen überprüft und unberechtigtes Lesen von Inhalten verhindert werden.

Allerdings können die möglichen Werte des PAC schnell genug überprüft werden, um den korrekten Authentifizierungscode herauszufinden. Theoretisch sind so tiefgehende Angriffe etwa auf den Kernel des Betriebssystems möglich - allerdings nur, wenn weitere Sicherheitsmechanismen des M1 umgangen werden konnten und der PAC nur noch die letzte Verteidigungslinie darstellt.

Apple selbst stuft die Schwachstelle gegenüber "Techcrunch" als geringes Risiko ein. Man danke "den Forscher*Innen für ihre Arbeit, weil der Proof of Concept unser Verständnis für solche Techniken weiter bringt." Ob die Sicherheitslücke auch in Apples neu angekündigtem M2-Prozessor vorhanden ist, konnten die Forschenden des MIT zum jetzigen Zeitpunkt noch nicht herausfinden.

M2 Prozessor

Mehr Leistung & Effizienz

M2: Apple zeigt nächste Prozessorgeneration

Im Zuge der WWDC 2022 zeigte Apple die neuen M2-Prozessoren. Die Chips bringen mehr Leistung bei weniger Stromverbrauch und sind ab Juli erhältlich.

13.6.2022 von Alana Friedrichs

Weiter zur Startseite  

Mehr zum Thema

Passwort-Manager Test 2021

Online-Sicherheit

Apple, Google und Microsoft fördern Login ohne Passwort

Große Unternehmen wie Apple, Google und Microsoft wollen zukünftig den Login ohne Passwort fördern. Als Alternative soll der erweiterte FIDO-Standard…

Router auf einem Schreibtisch. Im Hintergrund nutzt ein Mann Smartpohone und Laptop

IT-Sicherheitskennzeichen

BSI kennzeichnet ab sofort sichere Router

Ob der neue Router aktuelle Sicherheitsanforderungen erfüllt, wird bald besser ersichtlich. Das BSI vergibt ab sofort ein entsprechendes Kennzeichen.

M2 Prozessor

Mehr Leistung & Effizienz

M2: Apple zeigt nächste Prozessorgeneration

Im Zuge der WWDC 2022 zeigte Apple die neuen M2-Prozessoren. Die Chips bringen mehr Leistung bei weniger Stromverbrauch und sind ab Juli erhältlich.

Virus entfernen

Achtung vor Trojaner

CCleaner kostenlos: Fake-Download entpuppt sich als Malware

Aktuell ist ein Trojaner im Umlauf, der über eine gefälschte CCleaner-Lizenz verbreitet wird. Die Malware stiehlt Passwörter und Kreditkarten…

Browser-Test 2020: Der neue Edge vs. Chrome & Firefox

Chrome, Edge und Firefox

Browser-Schwachstelle: Passwörter im Klartext gespeichert

Eine Sicherheitslücke in Google Chrome erlaubt das Auslesen von Passwörtern im Klartext. Aber auch Edge und Firefox sollen betroffen sein.