Meltdown & Spectre

Seit Anfang 2018 gibt es – nicht nur in Expertenkreisen – Aufregung rund um den von Wissenschaftern des IAIK mitentdeckten „Intel-Bug“.

Worum geht es?

Es handelt sich um eine neuartige Lücke, die nahezu alle modernen Mikroprozessoren betrifft, und deren Auswirkungen noch nicht vollständig erforscht sind. Daher ist zu befürchten, daß noch weitere Entdeckungen in diesem Themenkreis folgen werden!

Auf heise.de wird (zumindest für Techniker verständlich) erklärt, worum es im Prinzip bei den beiden Meltdown & Spectre genannten Problemen eigentlich geht. Informationen verschiedenster Hersteller sind dort ebenfalls verlinkt, auch das ACOnet-CERT hat eine Referenzliste erstellt.
Eine etwas weniger technische Erklärung gibt es in einem Artikel der Futurezone und von den Entdeckern gibt es ein Youtube-Video.

Sehr vereinfacht gesagt:

Es geht darum, daß Programme Zugriff auf Daten bekommen können, auf die sie eigentlich keinen Zugriff haben sollten.
Besondere Vorsicht ist somit bei Multi-User-Systemen, virtuellen Umgebungen (Cloud!) etc. geboten, wo Programme von verschiedenen Anwendern auf derselben Hardware ausgeführt werden.
Unter Umständen können auch Script-Sprachen für Angriffe mißbraucht werden, daher sind z. B. auch Web-Browser mögliche Einfallstore.

Auch wenn aktuell noch keine Angriffe bekannt sind, ist damit zu rechnen, daß bald Malware entwickelt werden wird, die diese Schwachstellen auszunutzen versucht.

Bitte beachten Sie auch, daß viele Programme auch die Grafikprozessoren der Rechnern nutzen, die ebenfalls verwundbar sein können - d.h. es sind eventuell auch die Grafiktreiber upzudaten sobald die Hersteller Updates anbieten!

Generell gilt, daß Sie sicherheitsrelevante Updates sowohl in all Ihren verwendeten Anwendungen (Browser, E-Mail-Client, PDF-Reader, …) als auch in Ihrem Betriebssystem immer so schnell wie möglich (wenn geht automatisch) einspielen sollten!

Von Apple gibt es seit 8. Jänner Updates, für Windows gibt es ein Tool, mit dem man überprüfen kann, ob Windows-Rechner verwundbar sind, auch für Linux gibt es bereits ein Script, mit dem man überprüfen kann, ob man (noch) verwundbar ist.