Ihre Auswahl  
    Home  Impressum  Kontakt  

Prozessor-Schwachstellen Meltdown und Spectre 

 

Ein Team von Forschern hat Anfang des Jahres gravierende Schwachstellen in der Hardware-Architektur von fast allen modernen Prozessoren festgestellt. Betroffen sind die Hersteller Intel, AMD, ARM, IBM, MIPS, Oracle, Fujitsu aber auch Hersteller von Smartphone-Chips wie Apple, Mediatek, Qualcomm und Samsung. Aufgrund der sehr hohen Verbreitung dieser Kernbausteine sind Millionen von Geräten betroffen.

Dazu gehören Client- und Serversysteme, virtualisierte Umgebungen, Hypervisor, Netzwerkkomponenten, Cloud-Dienste, PCs, Laptops aber auch Smartphones und Tablets. Experten sprechen von einem „Security-Super-GAU“. Potentielle Angreifer können durch das Ausnutzen dieser Sicherheitslücken alle Daten auslesen, die das jeweilige Gerät im Speicher verwaltet. Dazu gehören unter anderem Passwörter, kryptografische Schlüssel, E-Mails und andere sensible Daten.

Die gute Nachricht: Die „Meltdown“ und „Spectre“ genannten Angriffsvektoren können mit Software-Updates entschärft werden.

Um unsere Kunden aktiv vor Gefahren zu schützen und Anfragen kanalisiert zu beantworten, haben wir als SanData IT-Gruppe eine Taskforce gebildet. Sie besteht aus Experten verschiedener Geschäftseinheiten und dient als zentrale Anlaufstelle für alle Themen rund um die Schwachstellen und damit verbundenen Fragestellungen. Wir unterstützen Sie gerne beim Aktualisieren Ihrer Infrastruktur und stehen jederzeit für Fragen zur Verfügung. Um individuelle Informationen zu erhalten, können Sie gerne das nebenstehende Kontaktformular ausfüllen oder sich per Mail an wenden. Ein Experte aus unserer Taskforce steht Ihnen für Fragen gerne zur Verfügung.

Letzte Aktualisierung: Freitag, 16. Februar 2018

 
Fragen zu Meltdown und Spectre? Wir helfen Ihnen gerne!
 *
Ihr Name
 *
Ihre Firma
 
Telefon
 *
E-Mail
 
Betreff
 *
Mitteilung
 *
Ich habe die  Hinweise zum Datenschutz gelesen und akzeptiert.
Spam-Schutz*
Um Spam zu vermeiden, geben Sie bitte zur Kontrolle das Wort aus
dem Bild unten links in das Textfeld unten rechts ein:
 
Bestätigung

*) Dieses Feld muss ausgefüllt werden

Intel hat  die ersten aktualisierten Microcode-Updates für Partner bereitgestellt. Diese sind jedoch bisher nur für Skylake (Core i3/i5/i7-6000) vorgesehen und es wird wohl noch einige Tagen dauern, bis die Partner  (HPE, Dell, VMware ...) die Updates verarbeitet haben und BIOS-Aktualisierungen für Endkunden zur Verfügung stellen. Quelle

Betriebssystem- und Anwendungsupdates sind von dieser Meldung nicht betroffen und sollten schnellstmöglich angewandt werden!


Neuigkeiten zum Thema
kurz zusammengefasst -

Neuigkeiten zum Thema kurz zusammengefasst 

15.02.2018: Drei Froscher aus den USA beschreiben eine Software, welche automatisch Angriffscode für die Meltdown- und Spectre-Angriffe auf verschiedene Chip-Architekturen zuschneidet. Diese Entwicklung könnte spezifische Angriffe auf gewisse Prozessormodelle massiv beschleunigen. Quelle 1 Quelle 2

15.02.2018: VMware veröffentlicht für sein Produkt vCenter Server (vCSA) den Patch 6.5U1f. Neben Meltdown und Spectre Variante 1 adressiert das Update eine Vielzahl weiterer Sicherheitslücken. Quelle 1 Quelle 2

12.02.2018: Als Reaktion auf die Schwachstellen Meltdown und Spectre erweitert Intel sein "Bug Bounty Program". Das nun öffentlich zugängliche Programm belohnt Personen mit bis zu 250,000 $, wenn Sie eine kritische Seitenkanalattacke in Intel-Prozessoren finden, welche per Software ausnutzbar ist. Quelle 1 Quelle 2

11.02.2018: HP Inc. veröffentlicht einige BIOS-Updates für auf Skylake-basierende Produkte. Erst wenn Intel weitere Microcode-Updates veröffentlicht, können weitere Geräte aktualisiert werden. Quelle

09.02.2018: Intel bestätigt, dass auch Prozesssoren der Generation "Penryn" (Core-2-Prozessoren)   anfällig sind für die Schwachstellen Meltdown und Spectre. Die betroffenen Produkte wurden im Update-Terminplan von Intel aufgenommen - allerdings ohne konkreten Termin. Entgegen erster  Stellungnahmen will Intel  damit auch vor 2013 produzierte Prozessoren mit Updates versorgen. Quelle 1 Quelle 2

09.02.2018: Die neuen Linux-Kernel-Serien 4.15.2 und 4.14.18 führen einen Schutz gegen Spectre Var. 1 ein. Weiterhin wurden die Schutzmaßnahmen gegen die Schwachstellen Spectre Var. 1 und Meltdown verbessert. Vollständig sind die Gegenmaßenahmen damit aber nach wie vor nicht. Quelle 1 Quelle 2

08.02.2018: Intel hat eigenen Angaben zufolge die ersten aktualiserten Microcode-Updates für Partner (HPE, Dell, VMware ...) bereitgestellt. Diese sind jedoch bisher nur für Skylake (6. Generation der i3-, i5-, i7-Serie) vorgesehen. Es wird wohl noch einige Tagen dauern, bis die Partner die Updates verarbeitet haben und BIOS-Aktualisierungen für Endkunden zur Verfügung stellen. Quelle 1 Quelle 2

05.02.2018: AMD hat bekanntgegeben, dass neben den aktuellen Prozessoren der Ryzen- und Bulldozer-Serie auch ältere CPUs der Serien K10 und K8 (bis zurück ins Jahr 2003) von den beiden Spectre-Schwachstellen betroffen sind.  Die Autoren des Nachrichtenportals "Tech ARP" haben eine Liste aller von Meltdown & Spectre betroffenen Prozessoren aufgestellt. Dort werden alle 2146 von Spectre und 1525 von Meltdown betroffenen CPUs mit ihrer Modellnummer gelistet. Quelle 1 Quelle 2 Quelle 3

02.02.2018: Intel veröffentlicht einige Microcode-Updates für verschiedene Mini-PCs. Weiterhin gibt sich Intel bis zum 15. Februar 2018 Zeit, weitere Updates für mehr Prozessoren zu veröffentlichen. Doch Intel steht nicht alleine da: Auch AMD nennt bisher keinen Zeitpunkt zu dem weitere Microcode-Updates veröffentlicht werden sollen. Quelle 1 Quelle 2

31.01.2018: AMD stellt eine Prozessoren-Generation in Aussicht, die hardwareseitig vor Spectre- und Meltdownähnliche Lücken sicher sein soll. Die Prozessoren mit Zen-2-Architektur sollen 2019 erscheinen. Quelle 1 Quelle 2

29.01.2018: Der Linux-Kernel Version 4.15 mit Änderungen gegen das Ausnutzen der Schwachstellen Meltdown und Spectre wurde freigegeben. Linus Torvalds betont jedoch, dass „wir mit Spectre/Meltdown noch nicht fertig sind“. Quelle 1 Quelle 2

29.01.2018: Microsoft hat, als Reaktion auf Intels Meldung vom 22.01., ein optionales Update für Windows 10, 8.1, 7 sowie Windows Server veröffentlicht. Das Update deaktiviert Teile des Anfang Januar verteilten Updates  gegen die Schwachstelle Spectre 2. Der Schutz gegen Meltdown und erste Anwendungsupdates (z.B. Internetbrowser Edge) gegen Spectre 1 bleiben davon unberührt. Hintergrund ist, dass die bisherigen Updates gegen Spectre 2 zu unkontrollierten Neustarts und Datenverlust führen können. Quelle 1 Quelle 2

26.01.2018: Intel-CEO Brian Krzanich kündigt eine Prozessoren-Generationen an, die nicht anfällig ist für die Schwachstellen Meltdown und Spectre. Er erklärt, dass „einige der besten Köpfe“ bei Intel an diesem Projekt arbeiten und unanfällige Prozessoren noch „im Laufe des Jahres“ veröffentlicht werden sollen. Quelle 1 Quelle 2

24.01.2018: Intel heuert die krisenvertraute PR-Beratung Sard Verbinnen & Co an, um als Krisenmanager die aktuelle Situation zu betreuen. Außerdem verschiebt Intel die planmäßig anstehenden Produktneuvorstellungen. Neue, ungepatchte CPUs zu veröffentlichen würde wohl nur noch Öl ins Feuer gießen. Quelle 1 Quelle 2

23.01.2018: Apple versorgt auch ältere MacOS-Versionen wie macOS Sierra 10.12.6 und Mac OS X El Capitan 10.11.6 mit Patches gegen Meltdown. Für das aktuelle macOS High Sierra brachte Apple schon Anfang Detember 2017 ein entsprechendes Update heraus. Quelle 1 Quelle 2

23.01.2018: Die ersten Hersteller (Dell EMC, HP, HPE ...) sowie Softwarelieferanten (VMware, Veeam ...) reagieren auf Intels Meldung vom 22.01. Sie weisen in aktualisierten Meldungen darauf hin, dass vorerst keine aktuell verfügbaren Microcode-Updates eingespielt werden sollten. Weiterhin sollten bereits eingespielte BIOS-Updates wieder rückgängig gemacht werden. Quelle 1 Quelle 2 Quelle 3 Quelle 4 Quelle 5

22.01.2018: Intel rät allen Nutzern das Aktualisieren Ihrer Systeme mit aktuell erhältlichen Microcode-Updates ab. Laut Intel wurden zwar mittlerweile die Gründe für die ungeplanten Neustarts von gewissen Intel Prozessoren gefunden (vgl. Meldung vom 17.01.), doch erst nach weiteren Tests will man die überarbeiteten Microcode-Updates für die Endanwender freigeben. Bis dahin rät Intel davon ab, Microcode-Updates einzuspielen. Achtung: Betriebssystem- und Anwendungsupdates sind von dieser Meldung nicht betroffen und sollten schnellstmöglich angewandt werden. Quelle 1 Quelle 2

21.01.2018: In einer wutentbrannten Mail an sein Team nennt Linux Torvalds, Inititator sowie treibende Kraft bei der Entwicklung des Linux-Kernels, die bisherigen Microcode-Updates von Intel "complete and utter garbage" (dt.: "absoluten Müll"). Quelle 1 Quelle 2

20.01.2018: Im aktuellen c’t uplink Podcast diskutieren einige IT-Experten über die Hardware-Schwachstellen Meltdown und Spectre. Dabei wird untere anderem die genaue Funktionsweise der Schwachstellen, Updatemöglichkeiten sowie Performancebeeinträchtigungen erläutert. Link zum Video

18.01.2018: Intel hat seine bereits veröffentlichten Benchmarks im Hinblick auf den Leistungsabfall durch Meltdown/Spectre-Update erweitert. Diesmal hat Intel keine Client-Systeme, sondern Server im Rechenzentrum näher betrachtet. Je nach Nutzungsszenario schwanken die Leistungseinbußen im Rechenzentrum zwischen zwei Prozent (Arbeitsspeicher und CPU intensive Anwendungen) und 25 Prozent (Storage). Quelle

17.01.2018: Intel bestätigt Berichte von Anwendern, denen zufolge Geräte mit BIOS-Update gegen Spectre Variante 2 unbeabsichtigt neu starten. Betroffen sind Prozessoren folgender Serien: Sandy Bridge (Core i-2000), Ivy Bridge (Core i-3000), Haswell (Core i-4000), Broadwell (Core i-5000), Skylake (Core i-6000) und Kaby Lake(Core i-7000). Trotz der Probleme rät Intel allen Hersteller nach dem Grundsatz „Sicherheit geht vor Stabilität“ dazu, die bereits entwickelten Updates weiterhin auszuliefern. Parallel dazu sollen sich die Partner am Beta-Test des neuen Codes beteiligen. Quelle

17.01.2018: Microsoft hat seinen C/C++ Compiler aktualisiert und um eine Option erweitert, wodurch dieser Befehle in den erzeugten Code einbaut, sodass die übersetzte Anwendung vor Angriffen nach Spectre Variante 1 geschützt ist. Quelle

16.01.2018: Oracle betätigt, dass einige ihrer SPARCv9 Prozessoren von Spectre betroffen sind. Fujitsu berichtet von betroffenen SPARC64 XII und SPARC64 X+ Prozessoren. Quelle 1 Quelle 2

16.01.2018: Google berichtet von „unbemerkten“ Cloud-Patches, welche es bereits September/Oktober 2017 in seiner Infrastruktur eingespielt haben soll. Google berichtet dabei von keinerlei spürbaren Geschwindigkeitseinbußen ("no perceptible impact"). Weiterhin hat Google eine Möglichkeit namens „Retpoline“ gefunden, um die spekulative Ausführung von Befehlen sicher und mit minimalen Performance-Verlusten zu ermöglichen. Damit widerspricht Google der früheren Vermutung der Google-Ingenieure, man müsse auf bestehender Hardware ganz auf spekulative Ausführung verzichten, um vor Spectre-2 sicher zu sein. Quelle 1 Quelle 2 Quelle 3

15.01.2018: HPE, VMware und andere Hersteller ziehen bereits veröffentlichte Patches und BIOS-Update vorerst zurück. Grund dafür: Kompatibilitätsprobleme mit den ursprünglich veröffentlichten Aktualisierungen. Quelle 1 Quelle 2

12.01.2018: Das Bundesamt für Sicherheit (BSI) warnt von E-Mails mit gefälschtem BSI-Absender. Betrüger nutzen die Medienpräsenz um die Prozessor-Schwachstellen Meltdown und Spectre, um die Nutzer auf eine gefälschte Webseite zu locken. Ein Download des angeblichen Updates führt zur Schadsoftware-Infektion des Rechners oder Smartphones. Quelle

11.01.2018: AMD räumt ein, dass seine Prozessoren nun doch von Spectre Variante 2 betroffen sind. Quelle

08.01.2018: Apple veröffentlicht iOS 11.2.2 als Reaktion auf die Schwachstellen Spectre und Meltdown. Das Softwareupdate ist verfügbar für iPhone 5s und neuer (kein iPhone 5 und 5c), iPad Air und neuer sowie iPod Touch 6te Generation. Quelle

04.01.2018: Die ersten Browser-Hersteller reagieren auf die Schwachstellen Meltdown und Spectre , um das Ausnutzen der Lücken via JavaScript zu verhindern. Update 25.01.2018: Mit Chrome Version 64 stärkt Google den Schutz gegen den Spectre-Angriff weiter. Quelle 1 Quelle 2 Quelle 3

03.01.2018: Forscher der Technischen Universität Graz und des Google Project Zero veröffentlichen Informationen zu den Schwachstellen Meltdown & Spectre. Quelle 1 Quelle 2

01.06.2017: Forscher des Google Project Zero entdecken die „Meltdown“ und „Spectre“ genannten Angriffsszenarien und geben Details zunächst geheim an Intel, AMD und ARM weiter. Quelle

Was sind die technischen Hintergründe von Meltdown und Spectre? 

Die entdeckten Sicherheitslücken erlauben es Angreifern, Speicherbereiche des betroffenen Geräts auszulesen. So können sensible Informationen wie zum Beispiel Passwörter, kryptografische Schlüssel oder E-Mails mittels des Spectre-Angriffs aus den eigentlich nicht zugänglichen Speicherbereichen fremder Programme und mittels des Meltdown-Angriffs aus dem eigentlich geschützten Speicherbereich des Betriebssystems ausgelesen werden.

Sicherheits-Experten schätzen die Angriffsvektoren als eine der größten Computer-Sicherheitslücken aller Zeiten ein. Das Brisante dabei: Die Schwachstellen liegen im Design der Prozessor-Hardware selbst und müssen von Prozessorherstellern, Betriebssystem-Entwicklern und Software-Programmierern zusammen bekämpft werden.

Die darunterliegende Ursache für diesen Angriffsvektor liegt dabei im leistungsoptimierten Design moderner Prozessoren. Die beiden Verfahren "Out of order execution" und "Speculative Execution" erhöhen die Prozessorleistung, sind nun jedoch auch für die bekanntgewordenen Sicherheitslücken verantwortlich. Dabei ermöglicht die „spekulative Ausführung" von Prozessor-Befehlen eine beschleunigte Reaktion auf gewisse Benutzereingaben, indem voraussichtlich zeitnah benötige Berechnungen bereits im Voraus ausgeführt werden. Mit der Speicherung solcher spekulativen Ergebnisse stehen diese bereits zur Verfügung, wenn das betreffende Programm die Berechnung anfragt. Dabei werden die vorberechneten Ergebnisse gelesen, passende werden ausgeführt und nicht benötige werden direkt verworfen. Somit wird in Phasen geringer Auslastung die vorhandene Leistungsfähigkeit des Prozessors vorausschauend genutzt und der Prozessor bei einer höheren Auslastung geschont. Eine genaue technische Erläuterung des Sachverhaltes findet sich in der Rubrik „Quellen und weiterführende Informationen“.

Welche Risiken entstehen durch die Schwachstellen und wie können diese geschlossen werden? 

Ein potentieller Angreifer kann sensible Informationen wie Passwörter oder kryptografische Schlüssel aus dem Speicher (über den Cache) eines betroffenen Systems abgreifen. Voraussetzung hierfür ist, dass er einen entsprechenden Schadcode auf dem System ausführt. Dazu braucht der Angreifer Zugriff auf das System z. B. per Remote Desktop Protokoll auf Windows-Systemen oder SSH auf Linux-Systemen. Aber auch die Verbreitung als „klassische“ Schadsoftware über bekannte Wege als Download, E-Mail-Anhang oder bösartige Webseite (JavaScript) ist möglich.

Das Angriffsszenario Meltdown (Rogue Data Cache Load) bedient sich einer lokal ausnutzbaren Schwachstelle. Dadurch kann eine Schadsoftware Zugriff auf den eigentlich nicht zugänglichen Kernel-Speicher erhalten. Heikel dabei: Der Angreifer braucht nicht zwingen Administratorrechte, bereits normale Standardbenutzerrechte reichen aus. Die Sicherheitslücke betrifft nur Intel CPUs (vgl. Tabelle 1) und kann vergleichsweise einfach durch die Modifizierung des jeweiligen Betriebssystems verhindert werden.

Beim zweiten Angriffsszenario namens „Spectre“ handelt es sich eher rum eine neue Klasse von Attacken als um einen bestimmen Angriffsvektor. Dennoch wird formal zwischen Spectre Variante 1 (Bounds Check Bypass) und Spectre Variante 2 (Branch Target Injection) unterschieden. Beide Angriffe basieren auf der spekulativen Ausführung von Prozessor-Befehlen und können dazu genutzt werden, Informationen von anderen Prozessen auszulesen. Spectre Variante 1 kann beispielsweise mittels Schadsoftware aus der Ferne (z. B. per JavaScript im Webbrowser) ausgenutzt, ebenso einfach aber auch durch Updates des Internetbrowsers verhindert werden. Schutz vor Angriffen mithilfe von Spectre Variante 2 verlangen hingegen eine aufwendige Kombination aus CPU-Microcode-Updates und Betriebssystem-Updates. Spectre birgt insgesamt ein geringeres Risiko als Meltdown, ist jedoch auch schwieriger zu bekämpfen.

Welche Systeme sind von Meltdown und Spectre betroffen? 

Spectre und Meltdown sind grundlegende Schwachstellen in der Hardware-Architektur von Prozessoren. Dadurch sind alle darüber liegenden Schichten wie etwa die Hypervisor-Schicht, das Betriebssystem und die darauf befindlichen Anwendungsprogramme betroffen. Dies erklärt auch warum alle Ebenen, von der Hardware an beginnend über den optionalen Hypervisor bis hin zum Betriebssystem und betroffenen Anwendungen, aktualisiert werden müssen. Die nebenstehende Grafik verdeutlicht dies.

Aufgrund der Prozessor-Hardware als Basis sind auf der Betriebssystemebene alle Systeme betroffen. Dazu gehören also etwa Windows (Server), Linux, macOS, iOS, Android und FreeBSD aber auch Hypervisor-Betriebssysteme wie VMware ESXi oder Citrix XEN Server. Auf der Anwendungsebene sind alle Programme betroffen, die potenziell das Ausführen von Schadcode ermöglichen. Ein in der Vergangenheit oft genutztes Vehikel dafür sind beispielsweise Webbrowser wie Internet Explorer, Mozilla Firefox oder Google Chrome. Aber auch beispielsweise Treibersoftware von Nvidia-Grafikkarten sollte schnellstmöglich aktualisiert werden.

Neben klassischen Clients oder Servern sind auch alle anderen Geräte wie Netzwerkkomponenten (Router, Switch, Firewall etc.) sowie Smartphones und Tablets betroffen. Auch hier müssen die Schwachstellen Spectre und Meltdown mithilfe von Softwareupdates entschärft werden.

Auf der Hardwareebene sind in unterschiedlichem Schweregrad grundsätzlich alle Prozessoren mit Out-of-order Funktionen betroffen. Dazu gehören die Hersteller Intel, AMD, ARM, Qualcomm sowie IBM (POWER) . Auch Prozessoren mit SPARC-Architektur der Hersteller Oracle (SPARCv9) und Fujitsu (SPARC64 XII und SPARC64 X+) sind anfällig für die Sicherheitslücke Spectre. Weiterhin sind auch Hersteller von Smartphone-Chips wie Apple, Mediatek, Qualcomm und Samsung betroffen. Die folgende Tabelle gibt darüber gesammelt Aufschluss:

Google-Name

Kurzbezeichung

CVE-Nummer

Betroffene Hersteller

     

Intel

AMD

ARM

IBM2

Oracle

Fujitsu

Qualcomm, Apple, MIPS, Mediatek, Samsung

Spectre, Variante 1

Bounds Check Bypass

CVE-2017-5753

1

3

Spectre, Variante 2

Branch Target Injection

CVE-2017-5715

1

3

Meltdown

Rogue Data Cache Load

CVE-2017-5754

nur
A75

3

1 betroffen sind Cortex-A8, -A9, -A15, -A17, -A57, -A72, -A73, -A75, -A57, -R7, -R8
2 betroffen sind wohl POWER7+, POWER8, POWER9 sowie die Z-Prozessoren für Mainfraimes. Weiterhin ist auch der POWER6 (mit In-Order-Pipeline) von Spectre betroffen.
3 teilweise nicht offiziell bestätigt seitens der Hersteller

Tabelle 1: Übersicht betroffener Prozessoren durch die Sicherheitslücken Meltdown und Spectre
Modifiziert nach: Heise FAQ zu Meltdown und Spectre

Kann ich meine Geräte auf Verwundbarkeit überprüfen? 

Aufgrund der hohen Verbreitung der betroffenen Prozessoren (vgl. Abschnitt „Welche Systeme sind von Meltdown und Spectre betroffen?“) ist mit sehr hoher Wahrscheinlichkeit mindestens eines Ihrer Geräte von den Sicherheitslücken Meltdown und Spectre betroffen.

Auf der Herstellerwebseite des jeweiligen Gerätes finden Sie Informationen über dessen Verwundbarkeit. Autoren des Nachrichtenportals Tech ARP haben sich die Mühe gemacht, alle betroffenen Prozessoren kategorisiert aufzulisten. Die erwähnten listen finden Sie hier:

Ergänzend listen wir im Folgenden Möglichkeiten auf, ihr individuelles Gerät selbst auf die Schwachstellen hin zu überprüfen:

Windows:
Ob ihr Windows-Client von den Schwachstellen betroffen ist, lässt sich am einfachsten mit Hilfe der Software „InSpectre“ der Firma „Gibson Research Corporation“ herausfinden. Diese finden Sie unter folgendem Link:  https://www.grc.com/inspectre.htm

Für Windows-Server hat Microsoft ein PowerShell-Skript veröffentlicht. Eine Anleitung dazu finden Sie im Microsoft KB4072698-Artikel unter: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

Linux:
Ob ihr Linux-Gerät von den Schwachstellen betroffen ist, lässt sich mithilfe eines Shell Skripts aus der Community überprüfen. Die aktuellste Version des Skripts finden Sie unter  https://github.com/speed47/spectre-meltdown-checker

Welche Maßnahmen sind erforderlich? 

Da sich der Ursprung der Schwachstellen in der Prozessor-Architektur (Hardware) befindet, müssen die Sicherheitslücken mithilfe von Software-Updates entschärft werden. Eine vollständige Schließung aller genannten Schwachstellen ist endgültig nur mit einer überarbeiten Microprozessor-Architektur möglich. Da dies jedoch erst mit der nächsten Hardware-Generation realisierbar sein wird, kann das Risiko zum aktuellen Zeitpunkt nur durch Software-Updates minimiert werden.

Die nachstehende Tabelle gibt darüber Aufschluss, wie die jeweilige Sicherheitslücke geschlossen bzw. bestmöglich gesichert werden kann. Bitte beachten Sie: Aktuell gibt es nur Updates für 64-bit Betriebssysteme. Gerne unterstützen wir Sie beim Untersuchen und Aktualisieren Ihrer Infrastruktur. Wenden Sie sich dazu gerne über das obenstehende Kontakformular oder per Mail an . Ein Experte aus unserer Taskforce steht Ihnen für Fragen gerne zur Verfügung.

Google-Name

Kurzbezeichung

CVE-Nummer

Notwendige Aktionen

      Betriebssystemupdates
(z.B. Windows, Linux ...)
Microcodeupdates (z.B. BIOS, Firmware ...) Anwendungsupdates
(z.B. Browser, Interpreter ...)

Spectre, Variante 1

Bounds Check Bypass

CVE-2017-5753

Spectre, Variante 2

Branch Target Injection

CVE-2017-5715

Meltdown

Rogue Data Cache Load

CVE-2017-5754

Was sollte mit Systemen getan werden, für die keine Updates zur Verfügung stehen? 

Praktisch alle Hersteller arbeiten zurzeit unter Hochdruck an Updates für ihr jeweilige Hard- und Software. Aufgrund der schieren Menge an Systemen wird es jedoch auch Hard- und Software geben, die vorerst keine Aktualisierungen erhalten wird. Beispielsweise hat Intel angekündigt, bis Ende Januar 2018 alle Prozessoren der vergangenen fünf Jahre (seit 2013) mit Sicherheitsupdates zu versorgen. Was jedoch mit älteren Prozessoren geschieht, ist derzeit unklar. Bei Apple wurden Mobilgeräte ab dem iPhone 5S bereits mit iOS-Updates versorgt. Was mit älteren Geräte, wie dem iPhone 5 oder 5c passieren wird, ist jedoch ebenfalls unklar.

Daher empfehlen wir Systeme, auf die keine Sicherheitsupdates eingespielt werden können, mithilfe von Netzwerksegmentierung, Firewalls, Intrusion Prevention Systemen (IPS) oder anderen Sicherheitsmechanismen abzusichern und von kritischen Systemen zu isolieren. Auch sollten die betroffenen Systeme unter den Gesichtspunkten der Systemhärtung kritisch überprüft und ggf. angepasst werden. Dabei sollten beispielsweise unnötige Zugriffe von außen, etwa durch Fernwartungssoftware, strengstens reglementiert werden. Gerne helfen wir Ihnen die entsprechenden Maßnahmen individuell für Ihre Infrastruktur umzusetzen.

Offizielle Informationen von Herstellern aus unserem Produkt-Portfolio 

Apple

About speculative execution vulnerabilities in ARM-based and Intel CPUs

Brocade

Brocade Security Advisory

Check Point

Check Point Response to Meltdown and Spectre

Cisco

CPU Side-Channel Information Disclosure Vulnerabilities

Citrix

Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Dell EMC

Meltdown and Spectre Vulnerabilities

Fortinet

CPU hardware vulnerable to Meltdown and Spectre attacks

HP Inc.

HPSBHF03573 - Side-Channel Analysis Method

HPE

Side Channel Analysis Method allows information disclosure in Microprocessors

HPE Aruba

Aruba Product Security Advisory

IBM

Potential CPU Security Issue

Intel

Security Exploits and Intel Products

Lancom

Spectre und Meltdown: LANCOM Geräte sind nicht betroffen

Microsoft

Guidance to mitigate speculative execution side-channel vulnerabilities

Microsoft

Windows Server guidance to protect against speculative execution side-channel vulnerabilities

NetApp

Processor Speculated Execution Vulnerabilities in NetApp Products

Palo Alto Networks

PAN-SA-2018-0001 - Security Advisories

Sophos

Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre)

Trend Micro

Important Information for Trend Micro Solutions and Microsoft January 2018 Security Updates (Meltdown and Spectre)

Ubiquiti

Meltdown and Spectre exploits

Veeam

Meltdown and Spectre vulnerabilities

VMware

VMSA-2018-0002 and VMSA-2018-0004

XEN

Advisory XSA-254


Eine umfangreiche Liste aller öffentlichen Herstellerreaktionen finden Sie unter https://spectreattack.com/ und https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html

Quellen und weiterführende Informationen:  

https://developer.arm.com/support/security-update

http://crn.com/slide-shows/security/300097766/7-things-to-know-about-spectre-and-meltdown-patch-related-performance-hits.htm

https://www.synalis.de/blog/meltdown_spectre_interview/

http://theregister.co.uk/2018/01/16/oracle_quarterly_patches_jan_2018/

https://www.heise.de/ix/heft/Gespensterjagd-3948309.html

https://heise.de/newsticker/meldung/Meltdown-und-Spectre-im-Ueberblick-Grundlagen-Auswirkungen-und-Praxistipps-3944915.html

https://blog.barkly.com/meltdown-spectre-patches-list-windows-update-help

https://blog.xenproject.org/2018/01/04/xen-project-spectremeltdown-faq/

https://bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Meltdown_Spectre_Sicherheitsluecke_10012018.html

https://epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update

https://golem.de/news/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er-1801-132224.html

https://golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125.html

https://heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html

https://heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html?seite=all

https://heise.de/newsticker/meldung/FAQ-zu-Meltdown-und-Spectre-Was-ist-passiert-bin-ich-betroffen-wie-kann-ich-mich-schuetzen-3938146.html

https://heise.de/newsticker/meldung/Microsoft-ueber-Meltdown-Spectre-Details-zu-Patches-und-Leistungseinbussen-3937462.html

https://heise.de/newsticker/meldung/Patch-gegen-Spectre-Aktualisierte-Nvidia-Grafiktreiber-fuer-GeForce-und-Quadro-Tesla-Treiber-spaeter-3937247.html

https://heise.de/security/meldung/Spectre-Luecken-auch-MIPS-P5600-und-IBM-POWER6-betroffen-Intel-erklaert-IBC-3952933.html

https://heise.de/video/artikel/heiseshow-Meltdown-und-Spectre-Was-steckt-dahinter-und-wie-schlimm-ist-es-3939578.html

https://www.heise-events.de/spectre

https://meltdownattack.com/ bzw. https://spectreattack.com/

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Blog-Benchmark-Table.pdf

https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html

https://sp.ts.fujitsu.com/dmsp/Publications/public/Intel-Side-Channel-Analysis-Method-Security-Review-CVE2017-5715-vulnerability-Fujitsu-products.pdf

https://www.techarp.com/articles/meltdown-spectre-cpu-flaws/

https://theregister.co.uk/2018/01/06/qualcomm_processor_security_vulnerabilities/

Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung zu.  mehr Infos...