Sicherheitslücken Meltdown und Spectre

[ehemaliges mitglied]

Sollte man jetzt einen Windows-PC, einen Mac, ein Android- oder iOS-Device kaufen?

Gleiche Problematik trifft ja wohl auch auf Router oder NAS-Systeme zu.

Kann man davon ausgehen, dass die Sicherheitslücken per Softwareupdate geschlossen werden können, oder muss man eher davon ausgehen, dass das Problem viel weitreichender ist und nicht per Update behoben werden kann?
Letzteres wäre ja für ältere und aktuelle Geräte sicherheitstechnisch der Supergau. Es ist ja schon fraglich, wie die kleinen Hersteller reagieren werden. Glaube kaum, dass die ihre Geräte, falls möglich, überhaupt updaten. Und in welchem Umfang machen das die großen Player.

Kann man sich als Anwender in irgendeiner Form selbst davor schützen? Was sollte man am Computer auf keinen Fall tun? Wie geht ihr mit der Problematik um?

[ferrismachtblau]

Ich mache nicht mehr und nicht weniger als sonst auch ... das Problem betrifft wohl so gut wie alle Rechner oder Smartphones. Insofern kommt es wohl sehr auf den Hersteller an, wie schnell der reagiert. Apple scheint hier auf jeden Fall schon viel gemacht zu haben, auch bei den älteren Systemen wie El Capitan, Sierra etc.

[Edmundo]

Wenn Du so agierst dann darfst Du gar nichts kaufen, denn auch nach dem Update wird es neue Sicherheitslücken geben.

Die Firmen arbeiten an Sicherheitsupdates. Meltdown ist nach meinem Wissen bei Apple schon geschlossen mit den neuen Betriebssystemversionen, an Spectre wird gerade gearbeitet. Also keine Bange.

[ehemaliges mitglied]

Wer seine Bank- oder andere vertrauliche Daten auf dem Rechner speichert, dem ist nicht zu helfen. Es soll sogar Zeitgenossen geben, die vertrauliche Geschäftskorrespondenz über E-Mail abwickeln oder whatsapp auf dem Diensthandy nutzen. Die Sicherheitslücke betrifft mich also nicht.

[blarch]

Michael

Gratuliere, dass Du davon nicht betroffen bist

[avalanche]

Hab das nur kurz überflogen, ärgerlich aber für mich jetzt nicht Doomsday. Verschlüsselte Dateien sind im Arbeitsspeicher logischerweise unverschlüsselt. Damit einer oder wohl eher eine Organisation sich bemüht, während einer Session in deinen Arbeitsspeicher einzudringen, sind schon sehr gute Skills erforderlich. Aber gut, wenn auch diese Lücke zeitnah geschlossen wird.

[ludicree]

Eigentlich kommt jetzt endlich in Software was schon die ganze Zeit da sein sollte. Zeit wirds.

Denkt euch nix dabei, macht die Updates, kauft keinen Müll ohne Support... im Prinzip wie immer.

[avalanche]

Eigentlich kommt jetzt endlich in Software was schon die ganze Zeit da sein sollte. Zeit wirds.
Denkt euch nix dabei, macht die Updates, kauft keinen Müll ohne Support... im Prinzip wie immer.

Die schlechte Nachricht dabei: Eine Lösung ist auf dem Weg, könnte aber Rechner verlangsamen

[eos]

Nach allem was ich bisher verstanden habe:

Das eigentliche Drama sind nicht die Rechner, die lokal bei privaten Anwendern laufen, denn hier ist die Bedrohungslage keine Andere, als die sonst übliche: Es gilt zu verhindern, dass bösartige Software auf dem Rechner ihr Unwesen treibt. Das ist bei Trojanern mit Keyloggern oder Ransomware genau das Gleiche.
Die Schadsoftware muss lokal auf dem Rechner ausgeführt werden. Gegen Javascript Attacken fixen die Browserhersteller gerade ihre Produkte, ansonsten wird es darauf hinaus laufen, dass individuelle Bedrohungen erkannt und von den Betriebssystemherstellern bzw. Antivirus Software Herstellern entschärft werden. Vielleicht wird es auch Microcode Updates geben oder jemand hat noch eine andere pfiffige Lösung.

Die meisten Medien bekommen gerade nur zugespielt, dass das ein Drama ist, sind aber nicht in der Lage wiederzugeben warum, denn das eigentliche, dicke Problem sitzt ganz woanders, nämlich dort, wo sich mehrere, unabhängige Parteien eine CPU teilen. Das ist in der Cloud bzw. bei den heute typsichen Virtualisierungslösungen der Fall. Dort laufen Docker Container oder Virtuelle Maschinen in einem Host Betriebssystem und nutzen die zur Verfügung gestellten Hardware Ressourcen - vor allem die CPU. Bisher ist man davon ausgegangen, dass so ein Docker Container oder eine Virtuelle Maschine in einem x-beliebigen Data Center ein eigene Haus ist, in dem man tun uns lassen kann, was man will und nicht fürchten muss, dass der Nachbar mit hört. Das ist seit Publikation der Lücke nicht mehr so. Das Mithören ist zwar kompliziert und erfordert Know-How und Zeit, aber wer weiss schon, was der Nachbar den lieben Tag lang treibt? In dem Moment, in dem mehrere Parteien sich eine CPU teilen (und das ist in Rechenzentren heute Gang und Gebe), gibt es jetzt die Möglichkeit, dass eine Partei die andere belauscht. Da geht es bei "Cloud" auch nicht so sehr um die iCloud und Dropbox, sondern eher Cloud Computing, also Webserver, Shopserver, Gameserver, industrielle Applikationen usw.

[eos]

Eigentlich kommt jetzt endlich in Software was schon die ganze Zeit da sein sollte. Zeit wirds.
Denkt euch nix dabei, macht die Updates, kauft keinen Müll ohne Support... im Prinzip wie immer.

Nicht wirklich. Eigentlich ist das eher wie Blei im Benzin und FCKW in Kühlschränken. Hier wird kein Softwarefehler gefixt, sondern man stellt nach 20 Jahren fest, dass ein Feature, das essentiell zur Beschleunigung der Programmabarbeitung ist und das im guten Willen entwickelt wurde (Speculative Execution bzw. Out Of Order Execution), einen gravierenden Nachteil hat.

Aktuell habe ich auch noch keinen Lösungsansatz für die Spectre Lücke(n) gesehen. Alles was man im Prozessordesign ändert, würde zu Performanceverlusten führen. Das Thema ist sehr spannend!

[eos]

[alex.avalanche]

[Muigaulwurf]

Danke, Eos!

[Edmundo]

Apple fixt Spectre in iOS 11 und macOS 10.13

[Hypophyse]

Die Auswirkungen "abmildern". Hach, da hüpft das Texterherz.

[paddy]

Kann evtl. jemand das Ganze für Nicht-Nerds in zwei Sätzen zusammenfassen?

[avalanche]

Kann evtl. jemand das Ganze für Nicht-Nerds in zwei Sätzen zusammenfassen?

Siehe #6

[Hypophyse]

Jedes Programm kann alles, was im Speicher liegt, also auch beliebige Daten anderer Prozesse auslesen.

[avalanche]

Jedes Programm kann alles, was im Speicher liegt, also auch beliebige Daten anderer Prozesse auslesen.

Und dann gibt es halt immer wieder seeehr pööhse Menschen, welche so etwas zu ihrem Vorteil ausnutzen

[Spacewalker]

Jedes Programm kann alles, was im Speicher liegt, also auch beliebige Daten anderer Prozesse auslesen.

Und dann gibt es halt immer wieder seeehr pööhse Menschen, welche so etwas zu ihrem Vorteil ausnutzen

Dafür muss der Bösewicht aber erst einmal den Zugang zu dem Rechner haben. Also nicht in Panik verfallen.