Von AVM kommen aktuell auch für viele ältere Fritz!Boxen Firmware-Updates. Diese werden als Stabilitäts- und Sicherheitsupdates beschrieben. Laut Vermutungen in diversen Foren können Angreifer remote vollständigen Zugriff auf die Fritz!Boxen über den Port 443 erlangen. Die Firmware-Updates sollten deshalb dringend und zeitnah installiert werden, da die Sicherheitslücke offenbar aktiv ausgenutzt wird.
Für die Fritz!Boxen 7590, 7590 AX, 7583, 7530, 7510, 7490, 7430 (7.31), 6690 Cable, 6590 Cable, 6600 Cable, 5590 Fiber, 5530 Fiber, 5490 (7.31), 4060, 4040 und die 3490 (7.31) steht das Firmware-Update bereit.
Bei den meisten Fritz!Boxen wird die Standardeinstellunge aktiv sein, mit der solche Firmware-Updates automatisch installiert werden. Dennoch sollte man aktiv prüfen, ob dies geschehen ist und auch einen Blick auf diese Einstellung der Update-Policy werfen, um sie ggf. anzupassen.
Update 02.10.2023: Inzwischen stehen Firmware-Updates auch für die 7312 (6.56) und sogar die 7390 (6.88) bereit. heise.de hat das Sicherheitsleck analysiert und schreibt, dass sich die Sicherheitslücke aus der Ferne ausnutzen lässt - sogar bei abgeschlatetem Fernzugriff. Weitere Informationen seitens AVM sollen zu einem späteren Zeitpunkt noch folgen.
o9er3w ×Vorweg, das Meltdown getaufte Angriffsszenario scheint nur bei Intel CPUs möglich zu sein, Spectre (1 und 2) hingegen betreffen viele Hersteller, z.B. von Intel über AMD, ARM bis Qualcom (damit sind viele Smartphones und andere smarte Devices ebenfalls betroffen). Auch die Devices von Apple, PCs und Smartphones, sind betroffen. Ebenso Smart-TVs, Spielekonsolen, IoT Devices, NAS oder Video-Kameras.
Die jetzt entdeckten Sicherheitslücken bestehen seit ca. 20 Jahren. Die Ursache liegt im Chipdesign, welches so aus Performancegründen seinerzeit gewählt wurde. Eine echte Behebung wäre nur durch Austausch der Hardware möglich. Das was jetzt an Patches und Fixes von den Herstellern herausgebracht wird, versucht lediglich die Sicherheitslücken abzuschirmen und die Ausnutzung zu erschweren.
Alle derzeit gelieferten Patches sind hochgradig Work in progress. Den einschlägigen Quellen ist zu entnehmen, dass die Entdeckung der Lücke bereits im Sommer 2017 erfolgte und seit dem intensiv an Lösungen für das Problem gearbeitet wird. Trotzdem geraten die Hersteller derzeit unter Druck, da die Informationen etwas zu früh öffentlich geworden zu sein scheinen. Es sieht danach aus, dass die Hersteller besser mehr Zeit für die Entwicklung gehabt hätten.
Weitere Informationsquellen finden sich im Internet schnell, aber die Mitteilungen der Hersteller ändern sich fast täglich. Es fehlen auch noch dringend erwartete Auskünfte. Teils widersprechen sich die Mitteilungen. Pauschale Aussagen sind angesichts der komplexen Zusammenhänge nicht angebracht. Die Lage bleibt vorerst konfus.
Übrigens, auch wer heute einen neuen PC kauft, kauft wieder die jetzt bekannt gewordenen Sicherheitslücken. Bis das Problem hardwareseitig gelöst und in der Produktion umgesetzt ist, wird voraussichtlich 1 Jahr und mehr Zeit vergehen. Solange werden wir weiterhin mit Hardware arbeiten müssen, die bekannte Sicherheitslücken hat.
Updates, Patches, Fixes
Die Hersteller haben damit begonnen, einschlägige Updates auszurollen. Diese kommen
in Form von Betriebssystemupdates, BIOS-Updates, Firmwareupdates etc. oder auch
in einer Kombination davon. Für Microsoft-Betriebssysteme und -Software kommen
diese über das klassische Windows Update mit dem nächsten Patchday per
08./09.01.2018 auf die Geräte. Da hier sehr tief im System gepatcht wird, muss
damit gerechnet werden, das systemnahe Software Kompatibilitätsprobleme mit diesen
Updates haben wird. Auch liegen bereits erste Meldungen vor, dass diese Patches
in manchen Systemkonstellationen massive Probleme verursachen.
Hinweis von Microsoft, dass das Update nur unter bestimmten Voraussetzungen installiert wird.
Zuletzt wurde die Information publik, dass zunächst nur 64-Bit-Systeme mit den Patches für diese Sicherheitslücken rechnen dürfen, 32-Bit-Systeme bleiben mangels Information der Hersteller, unbestimmte Zeit ungepatcht.
Browser-Entwickler Google, Mozilla und Microsoft flankieren mit Maßnahmen, die den Browser als Angriffsvektor zur Ausnutzung der Lücken erschweren sollen.
Fazit
In den nächsten Wochen und Monaten werden wir eine Folge weiterer Maßnahmen erleben,
um diese Sicherheitslücken halbwegs zu entschärfen. Als Nutzer und Anwender sollten
Sie jetzt darauf achten, dass die jeweils bereitgestellten Patches zeitnah auf Ihren PCs
und Servern (mit Einschränkungen) installiert werden und auch öfter nach
Firmwareupdates für andere Geräte wie Smart-TVs, NAS, Router etc. schauen
oder dies prüfen lassen.
o0rl3m