MSI Assassins Bundle

Meltdown und Spectre: Updates für Browser und Betriebssysteme

reported by doelf, Freitag der 05.01.2018, 16:12:25 Uhr

Die CPU-Schwachstellen Meltdown (Intel) und Spectre (AMD, ARM und Intel) haben die digitale Welt erschüttert und die ultimative Lösung wird im Austausch der Hardware bestehen, doch abgesicherte Prozessoren müssen erst noch entwickelt werden. Also flicken alle an der Software herum und überschütten den User mit halbgaren Updates. Unter Windows gibt es die ersten Probleme, Apple schreibt Unsinn und Mozilla punktet mit einer pragmatischen Lösung.

Windows patchen reicht nicht - und macht zuweilen Probleme
Microsoft hatte gestern Sicherheits-Update für alle Betriebssysteme, die noch gepflegt werden, veröffentlicht. Diese Updates darf man aber nur installieren, wenn der Virenschutz mitspielt! Einige Antivirenprogramme greifen nämlich auf eine nicht offiziell unterstützte Art und Weise auf den Windows-Kernel-Speicher zu und sorgen nach der Installation des Updates für einen Bluescreen. Windows Update bietet den Patch daher nur Systemen an, deren Antivirensoftware als kompatibel bekannt ist. Ist das nicht der Fall, muss man seinen Virenschutz aktualisieren oder vorübergehend zu Microsofts hauseigenem Defender wechseln. Dieser ist momentan etwas übereifrig und will, während ich dies hier tippe, jede Textdatei mit den Suchbegriffen "Meltdown" und "Spectre" zur Überprüfung an Microsoft weiterleiten.

In einem zweiten Support-Dokument warnt Microsoft, dass das Einspielen der Betriebssystem-Updates alleine nicht ausreicht. Zusätzlich müsse auch der Microcode des Prozessors und/oder die Firmware der Hauptplatine bzw. des Gerätes aktualisiert werden. Zu diesem Zweck arbeite Microsoft mit seinen Partnern zusammen, entsprechende Patches für die hauseigenen Surface-Geräte lassen sich über Windows Update beziehen. Der Hinweis auf Microcode-Updates erstaunt, denn bisher wurde eine solche Lösung als ausgeschlossen erachtet. Zudem wirft er die Frage auf, welche Prozessoren und Geräte noch auf entsprechende Updates hoffen dürfen - schließlich reicht die Liste zurück bis ins Jahr 1995!

Apple hat bisher nur Meltdown im Griff
Apple hat sich bisher nur um die Intel-spezifische Sicherheitslücke Meltdown gekümmert und entsprechende Vorkehrungen in macOS 10.13.2 eingepflegt. Seltsamerweise gibt der Hersteller an, auch iOS 11.2 und tvOS 11.2 abgesichert zu haben, doch in diesen Geräten stecken ARM-Chips, die lediglich von Spectre betroffen sind. Einzig die erste Generation des Apple TV nutzte einen Intel-Chip, doch auf dieser läuft wiederum tvOS 11.2 nicht. Einen Angriff über Spectre hält Apple für sehr schwierig und damit unwahrscheinlich. Als einzige Gegenmaßnahme ist vorerst eine gehärtete Version des Webbrowsers Safari geplant. Über Microcode- oder Firmware-Updates äußert sich Apple indes gar nicht.

Neue Browser überall
Auch die Browser-Entwickler haben bereits reagiert: Da die Angriffe auf die Spekulative Ausführung (Speculative Execution) nur dann funktionieren, wenn der Angreifer eine genaue Zeitmessung durchführen kann, hat man beim Firefox 57.0.4 einfach die Schärfe für die Funktion performance.now() von 5 auf 20 Mikrosekunden angehoben. Zusätzlich wurde der SharedArrayBuffer deaktiviert, da man über diesen eine genauere Zeitmessung verwirklichen könnte. Das ist einfach, aber effektiv!

Ebenfalls gestern veröffentlicht wurden Chrome 63.0.3239.132 und Opera 50.0.2762.45, doch Google nennt keine Details hinsichtlich der Änderungen und bei Opera gibt es keinen Hinweis auf Meltdown oder Spectre. Dafür bietet Opera nun einen Schutz vor unerwünschtem Crypto Mining und einen PDF-Export für Webseiten.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]