Meltdown & Spectre

Seit Anfang 2018 gibt es – nicht nur in Expertenkreisen – Aufregung rund um den von Wissenschaftern des IAIK mitentdeckten „Intel-Bug“.

Worum geht es?

Es handelt sich um eine neuartige Lücke, die nahezu alle modernen Mikroprozessoren betrifft, und deren Auswirkungen noch nicht vollständig erforscht sind. Daher ist zu befürchten, daß noch weitere Entdeckungen in diesem Themenkreis folgen werden!

Auf heise.de wird (zumindest für Techniker verständlich) erklärt, worum es im Prinzip bei den beiden Meltdown & Spectre genannten Problemen eigentlich geht. Informationen verschiedenster Hersteller sind dort ebenfalls verlinkt, auch das ACOnet-CERT hat eine Referenzliste erstellt.
Eine etwas weniger technische Erklärung gibt es in einem Artikel der Futurezone.

Sehr vereinfacht gesagt:

Es geht darum, daß Programme Zugriff auf Daten bekommen können, auf die sie eigentlich keinen Zugriff haben sollten.
Besondere Vorsicht ist somit bei Multi-User-Systemen, virtuellen Umgebungen (Cloud!) etc. geboten, wo Programme von verschiedenen Anwendern auf derselben Hardware ausgeführt werden.
Unter Umständen können auch Script-Sprachen für Angriffe mißbraucht werden, daher sind z.B. auch Web-Browser mögliche Einfallstore.

Auch wenn aktuell noch keine Angriffe bekannt sind, ist damit zu rechnen, daß bald Malware entwickelt werden wird, die diese Schwachstellen auszunutzen versucht.
Bitte beachten Sie, daß Sie neben den Betriebssystemen also auch Ihre Browser updaten sollten, sobald Updates verfügbar sind. Da es derzeit auch nicht bekannt ist, ob diese Lücken eventuell schon länger ausgenutzt wurden, könnte es auch notwendig sein alle Kennwörter, die man im Browser gespeichert hat, zu ändern, selbst wenn sie durch ein Master-Kennwort geschützt sind.
Für die meisten Browser gibt es Add-ons auch zum Thema Scripts: Erweiterungen, mit denen man das unabsichtliche Ausführen von Scripts im Hintergrund unterbinden kann (z. B. NoScript oder uMatrix).
Zu allen Chromium-basierten Browsern (Chrome, Opera, …) gibt es noch zusätzliche Infos von Google.
Bitte beachten Sie auch, daß viele Programme auch die Grafikprozessoren der Rechnern nutzen, die ebenfalls verwundbar sein können - d.h. es sind eventuell auch die Grafiktreiber upzudaten sobald die Hersteller Updates anbieten!

Generell gilt, daß Sie sicherheitsrelevante Updates sowohl in all Ihren verwendeten Anwendungen (Browser, E-Mail-Client, PDF-Reader, …) als auch in Ihrem Betriebssystem immer so schnell wie möglich (wenn geht automatisch) einspielen sollten!

Von Apple gibt es seit 8. Jänner Updates, Microsoft hat ein Tool veröffentlicht, mit dem man überprüfen kann, ob Windows-Rechner verwundbar sind, auch für Linux gibt es bereits ein Script, mit dem man überprüfen kann, ob man (noch) verwundbar ist.