Vorweg, das Meltdown getaufte Angriffsszenario scheint nur bei Intel CPUs möglich zu sein, Spectre (1 und 2) hingegen betreffen viele Hersteller, z.B. von Intel über AMD, ARM bis Qualcom (damit sind viele Smartphones und andere smarte Devices ebenfalls betroffen). Auch die Devices von Apple, PCs und Smartphones, sind betroffen. Ebenso Smart-TVs, Spielekonsolen, IoT Devices, NAS oder Video-Kameras.
Die jetzt entdeckten Sicherheitslücken bestehen seit ca. 20 Jahren. Die Ursache liegt im Chipdesign, welches so aus Performancegründen seinerzeit gewählt wurde. Eine echte Behebung wäre nur durch Austausch der Hardware möglich. Das was jetzt an Patches und Fixes von den Herstellern herausgebracht wird, versucht lediglich die Sicherheitslücken abzuschirmen und die Ausnutzung zu erschweren.
Alle derzeit gelieferten Patches sind hochgradig Work in progress. Den einschlägigen Quellen ist zu entnehmen, dass die Entdeckung der Lücke bereits im Sommer 2017 erfolgte und seit dem intensiv an Lösungen für das Problem gearbeitet wird. Trotzdem geraten die Hersteller derzeit unter Druck, da die Informationen etwas zu früh öffentlich geworden zu sein scheinen. Es sieht danach aus, dass die Hersteller besser mehr Zeit für die Entwicklung gehabt hätten.
Weitere Informationsquellen finden sich im Internet schnell, aber die Mitteilungen der Hersteller ändern sich fast täglich. Es fehlen auch noch dringend erwartete Auskünfte. Teils widersprechen sich die Mitteilungen. Pauschale Aussagen sind angesichts der komplexen Zusammenhänge nicht angebracht. Die Lage bleibt vorerst konfus.
Übrigens, auch wer heute einen neuen PC kauft, kauft wieder die jetzt bekannt gewordenen Sicherheitslücken. Bis das Problem hardwareseitig gelöst und in der Produktion umgesetzt ist, wird voraussichtlich 1 Jahr und mehr Zeit vergehen. Solange werden wir weiterhin mit Hardware arbeiten müssen, die bekannte Sicherheitslücken hat.
Updates, Patches, Fixes
Die Hersteller haben damit begonnen, einschlägige Updates auszurollen. Diese kommen
in Form von Betriebssystemupdates, BIOS-Updates, Firmwareupdates etc. oder auch
in einer Kombination davon. Für Microsoft-Betriebssysteme und -Software kommen
diese über das klassische Windows Update mit dem nächsten Patchday per
08./09.01.2018 auf die Geräte. Da hier sehr tief im System gepatcht wird, muss
damit gerechnet werden, das systemnahe Software Kompatibilitätsprobleme mit diesen
Updates haben wird. Auch liegen bereits erste Meldungen vor, dass diese Patches
in manchen Systemkonstellationen massive Probleme verursachen.
Hinweis von Microsoft, dass das Update nur unter bestimmten Voraussetzungen installiert wird.
Zuletzt wurde die Information publik, dass zunächst nur 64-Bit-Systeme mit den Patches für diese Sicherheitslücken rechnen dürfen, 32-Bit-Systeme bleiben mangels Information der Hersteller, unbestimmte Zeit ungepatcht.
Browser-Entwickler Google, Mozilla und Microsoft flankieren mit Maßnahmen, die den Browser als Angriffsvektor zur Ausnutzung der Lücken erschweren sollen.
Fazit
In den nächsten Wochen und Monaten werden wir eine Folge weiterer Maßnahmen erleben,
um diese Sicherheitslücken halbwegs zu entschärfen. Als Nutzer und Anwender sollten
Sie jetzt darauf achten, dass die jeweils bereitgestellten Patches zeitnah auf Ihren PCs
und Servern (mit Einschränkungen) installiert werden und auch öfter nach
Firmwareupdates für andere Geräte wie Smart-TVs, NAS, Router etc. schauen
oder dies prüfen lassen.
o0rl3m