In Teil 1 hatte ich einige Informationen zur Meltdown- und Spectre-Sicherheitslücke gegeben. In diesem Blog-Beitrag geht es um die Frage, welche Patches für Betriebssysteme draußen sind bzw. bald anstehen und was man wissen sollte.
Anzeige
Welche Betriebssystem-Updates gibt es
Bei Betriebssystemen haben einige Hersteller bereits reagiert und Updates ausgeliefert bzw. stellen diese binnen der kommenden Tage zur Verfügung.
Amazon AWS
Der Anbieter hat für seine Amazon Web Services (AWS) wohl ein Update freigegeben und eingespielt. Die geht aus dem Security Bulletin AWS-2018-013 hervor, welches Amazon veröffentlicht. Allerdings scheint dieses Update bei AWS-Kunden zu Leistungseinbußen zu führen (siehe den Beitrag Amazon: Intel Meltdown patch will slow down your AWS EC2 server von The Register).
Android / Google
Laut Google sind alle Android-Geräte gefixt, die das Sicherheitsupdate vom Januar 2018 (siehe Android Sicherheits-Updates Januar 2018) installiert haben. Allerdings sollte man da zwei Dinge anmerken. Pixel-Benutzer haben Ärger mit laggenden Geräten (siehe Android: Google Pixel laggt nach Januar 2018-Update) und dürften das Update eher nicht installieren wollen.
Zum Zweiten muss man die Android-Geräte-Benutzer, die dieses Update bekommen haben, wohl eher wie die 'Stecknadel im Heuhaufen' suchen. Denn die Masse der Android-Geräte erhält keine Updates oder sehr, sehr spät. Was es sonst noch im Google-Kosmos bezüglich G-Suite (Cloud & Co.) zu wissen gilt, haben die Googelianer im Security-Blog in diesem Dokument festgehalten.
Anzeige
Apple iOS, macOS etc.
Bei Apple sind sowohl alle Mac-Systeme und iOS-Geräte betroffen. Aber es gibt keine bekannten Exploits, die sich auf die Kunden auswirken. Apple empfiehlt, Software nur von vertrauenswürdigen Quellen wie dem App Store herunterzuladen. Apple hat bereits Mitigationen in iOS 11.2, macOS 10.13.2 und tvOS 11.2 veröffentlicht, um die Abwehr von Meltdown zu unterstützen. Apple Watch ist nicht betroffen. Apple plant in den nächsten Tagen Updates für den in Safari-Browser zum Schutz gegen Spectre-Angriffe auszurollen. Apple entwickelt und testet weiterhin weitere Maßnahmen gegen diese Probleme und wird diese in den kommenden Updates von iOS, macOS, tvOS und watchOS veröffentlichen. Ein paar Details finden sich in nachfolgend verlinkten Dokumenten.
Apple: Mac and iPhone both affected by big chip vulnerability
Apple Support-Dokument ( iOS 11.2, macOS 10.13.2, tvOS 11.2)
Meltdown und Spectre: Alle Macs und iOS-Geräte betroffen (heise.de)
Microsoft Azure
Nach meinen Kenntnissen wollte Microsoft am 10. Januar 2018 ein Update für Azure VMs ausrollen und hat ein Restart der VMs für diesen Zeitpunkt angekündigt (siehe meinen Blog-Beitrag Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme). Allerdings scheint etwas gepatcht worden zu sein. Kunden von Microsoft Azure berichten über Probleme mit ihren virtuellen Maschinen, die sich Probleme haben, , wieder online zu gehen, nachdem sie mit dem Meltdown-Prozessor-Patch aktualisiert wurden. The Register hat einige Informationen im Artikel Azure VMs borked following Meltdown patch, er, meltdown veröffentlicht.
Linux
Thomas Gleixner, ein Linux-Kernel-Entwickler, hat im Dezember in der Linux-Kernel-Mailingliste über neue KAISER-Isolationspatches berichtet. Es wird vermutet, dass sie eingeführt wurden, um die Meltdown und Spectre Bugs in Linux zu beheben.
Die meisten Linux-Distributionen dürften Kernel-Patches ausgerollt haben bzw. die Tage ausrollen. Bei Amazon finden sich im Security Bulletin AWS-2018-013 Verweise auf Redhat und SuSE. Neowin.net berichtet hier, dass Canonical einen Patch für Ubuntu zum 9. Januar 2018 plant.
Microsoft Windows
Microsoft hat für Windows bereits vor Tagen eine Reihe an Updates freigeschaltet. Hier verweise ich auf meine Artikel nachfolgenden Artikel, in denen die Updates aufgeführt werden:
Meltdown und Spectre: Was Windows-Nutzer wissen müssen
Windows 10: Kritische Updates vom 3.1.2018
Kritische Sicherheitsupdates für Windows 7/8.1/Server (3.1.2018)
Weitere Updates (Internet Explorer, GDI) 3.1.2018
Bei AskWoody finden sich noch einige Artikel hier, hier und hier zum Thema. Eine Übersicht hat auch Lawrence Abrams bei Bleeping Computer veröffentlicht.
Welche Virenscanner sind kompatibel?
In Windows kommt hinzu, dass die Sicherheitspatches nur ausgerollt werden, wenn die Virenscanner zum neuen Kernel kompatibel sind. Andernfalls kommt es zu Boot-Problemen und BlueScreens. Blog-Leser Bolko hat per Kommentar (danke dafür) auf die von Google gepflegte Kompatibilitätsliste hingewiesen.
Bei den Kollegen von administrator.de bin ich gerade auf den Beitrag Trend Micro Update vom 04.01.2018 Probleme gestoßen, der Probleme thematisiert. Blog-Leser Axel hat mich per Mail kontaktiert und schreibt:
Da Symantec über Nacht die Einstellungen in der Registry mit den neuen „Signaturen" verteilt hat und die neuen MS Patche vorliegen, sind wir in der Lage diese zu installieren.
Allerdings haben wir bei W10 Rechnern (nach dem Patch im Betreff, sowohl mit dem Delta, als auch dem kompletten Patch) das Problem, das Symantec nicht mehr funktioniert… (siehe auch).
Bei W7 habe ich das bislang noch nicht bemerkt, aber wir haben ja auch gerade erst mit dem Testen begonnen… haben sie schon etwas Ähnliches gehört?
Falls jemand von Euch etwas bekannt ist, könnt ihr ja einen Kommentar hinterlassen.
Gefahr im Browser
Mit der Spectre-Lücke können Angriffe zum Auslesen von Speicherbereichen anderer Prozesse auch mit simple JavaScript-Code erfolgen. Die Hersteller deaktivieren daher bestimmte Funktionen im Browser (siehe auch meine Hinweise im Beitrag Meltdown und Spectre: Was Windows-Nutzer wissen müssen).
Google Chrome und Derivate, sowie Opera absichern
Bei neowin.net findet sich der Hinweis, dass Google den Browser bis Ende des Monats Januar 2018 mit einem Fix versehen will. In der Zwischenzeit kann man im Google Chrome (und dessen Derivaten wie Slimjet) die Strict site isolation aktivieren (danke an deoroller für den Hinweis).
Hierzu gibt man in der Adresszeile des Browsers den Begriff chrome://flags/#enable-site-per-process ein. Anschließend klickt man bei der Option Strict site isolation auf Aktivieren und lässt den Browser starten.
Blog-Leser deoroller weist in diesem Kommentar unter Bezug auf diesen heise.de-Beitrag darauf hin, dass ein ähnliches Feature beim Opera-Browser verwendet werden kann.
Edge und Internet Explorer
Microsoft hat für den Edge-Browser mit Windows 8.1/Windows 10 entsprechende Updates freigegeben. Für den Internet Explorer steht ein kumulatives Update KB4056568 bereit (siehe Beitrag Weitere Updates (Internet Explorer, GDI, Server) 3.1.2018).
Firefox und Opera
Die Mozilla-Entwickler haben den Firefox 57.0.4 mit einem Fix für die Spectre-Sicherheitslücke freigegeben (siehe den Blog-Beitrag Firefox 57.0.4 mit Spectre-Patch verfügbar).
Auf dieser Webseite lässt sich ein Test im Browser ausführen, der Speicherbereiche ausliest. Allerdings habe ich bisher (mangels Zeit) herausfinden können, wie sinnvoll dieser Test ist.
Artikelreihe:
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2
Ähnliche Artikel
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Windows 10: Patch fixt den Intel-Bug
Kritische Updates für Windows und Browser (3.1.2018)
Windows 10: Kritische Updates vom 3.1.2018
Kritische Sicherheitsupdates für Windows 7/8.1/Server (3./4.1.2018)
Weitere Updates (Internet Explorer, GDI) 3.1.2018
Windows10: Update KB4056892 killt AMD-Systeme (Error 0x800f0845)
Windows 7: Update KB4056894 macht Probleme (0x000000C4)
Windows Updates (KB4056892, KB4056894 etc.) für AMD temporär zurückgezogen
Meltdown und Spectre: Was Windows-Nutzer wissen müssen
Meltdown/Spectre: Leistungseinbußen durch Patches
Bringen Meltdown/Spectre die Tech-Industrie ans wanken?
Updates auf iOS 11.2.2 und macOS 10.13.2 für Spectre-Lücke
Anzeige
Zu der Seite im letzten Absatz ( https://repl.it/repls/DeliriousGreenOxpecker ):
Das dortige C-Programm stammt aus den letzten beiden Seiten des spectre.pdf von Project Zero.
Es kann aber sein, dass repl.it das Programm auf deren Servern ausführt und nicht im lokalen Browser. Dann ist es unnütz.
Deshalb muss man das Programm selber compilieren und starten und evtl den Threshold-Wert 80 auf 300 erhöhen ( #define CACHE_HIT_THRESHOLD(80) )
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6
Je nach Compiler muss man auch die Klammern weglassen.
Mit dem Programm kann man nachweisen, dass die CPU für Spectre anfällig ist.
Falls im Output die einzelnen Buchstaben des Secret ("The Magic Words are Squeamish Ossifrage.") angezeigt werden, dann wurde Spectre erfolgreich ausgenutzt, die CPU ist dann nicht geschützt.
Danke für die Ergänzung. Ich hatte im Chrome mit Strict site isolation experimentiert und den obigen Text immer erhalten – daher wurde ich unsicher.
Wie sieht es denn mit dem Firefox ESR 52.x aus? Gerade in Firmenumgebungen wird ja gerne zur ESR Version gegriffen.
"SharedArrayBuffer" ist bei der ESR Variante vom Firefox zwar ohnehin schon deaktiviert, aber wie sieht es mit "performance.now()" aus?
Hallo,
die Minderung in performance.now() wird in der kommenden Firefox ESR 52.6 Version, die am 23. Januar freigegeben wird, enthalten sein.
MfG
wie soll man da den oder einen Überblick er- bzw. behalten?
Tu dies, mach das, dann evtl. das, wenn dies, dann das, etc. pp.
Absurdistanien, hochgradig…
Für den Überblick, einer der umfangreichsten: https://www.borncity.com/blog/ ;-)
plus:
1. JavaScript deaktivieren
2. Reine Txt Mails in und out, kein html, Finger weg von Anhängen (Vorabsichtung mit z.B. MailCheck, unbekanntes gleich am Server löschen!)
3. Keine Apps installieren
Von Angriffen und Schäden habe ich noch nichts gelesen, also abwarten was an patches, updates etc. noch alles kommt.
Ausprobieren nur mit ordentlichem Image vorher!
leichte Ironie ist wohl nicht so dein Ding…
maelt hat da schon nicht ganz unrecht, recht unübersichtlich und in Teilen absurd det janze.
abwarten wird in der Tat das beste sein und das einzige, was einem bleibt.
Die ganzen Berichte um die Prozessor-Sicherheitslücken erzeugen bei mir schon seit Tagen ein bestimmtes Bild im Kopf.
Wir befinden uns auf einem großen Schiff – die Amerika First. Die Kapitäne Google, Intel und Microsoft versuchen seit Jahren das Schiff über Wasser zu halten. Leider werden den Kapitänen immer wieder neue Lecks gemeldet.
Deshalb müssen die User (nachfolgend Passagiere genannt) ständig Wasser schöpfen, damit das Schiff nicht unter geht. Bis vor kurzem war vielen Passagieren nicht bewusst, dass es auf der Amerika First Lecks gibt. Mutigen Männern wie Edward Snowden verdanken wir dieses Wissen. Wie immer schlug auch diese Nachricht ein paar Wellen, aber nach einiger Zeit wurde die See wieder ruhiger und die Passagiere wähnten sich in Sicherheit.
Nun wurden wieder viele neue Lecks gefunden und die Kapitäne informieren die Passagiere über die Bordmedien, dass noch mehr Wasser geschöpft werden muss.
Inzwischen fragen sich immer mehr Passagiere warum man nur mit der Amerika First im Internet surfen kann. Warum hat diese Reederei keine Konkurrenz? Wenn es andere Schiffe ohne Lecks gäbe, dann müsste sich die Amerika First doch der Konkurrenz stellen und ebenfalls alle Lecks schließen.
Vielleicht sollten die Passagiere einfach damit aufhören Wasser zu schöpfen und in die Rettungsboote steigen, damit die Amerika First untergeht und endlich neue Schiffe ohne Lecks gebaut werden.
Und wer iOS 11.2 wegen der WLAN/Bluetooth und der Akku Sache nicht einspielt schaut bei Apple wegen des Updates in die Röhre, seh ich das richtig?
Hallo zusammen,
Wer kommt Wie an meine Daten des angeblichen CPU Problems ?
Nicht eine einzige Berichterstattung geht auf dieses angebliche Problem genau ein. Das Wort "Angriff" habe ich diese Woche gefühlt 10000 Mal gelesen, aber das "Wie" nirgends. Es werden einem immer nur Begriffe um die Ohren gehauen, mehr nicht. Ein mögliche Möglichkeit wäre JavaScript-Code, schön und wie?
Ich Privat habe bis jetzt folgende Maßnahmen ergriffen; Firefox auf 57.0.4 gebracht und SlimJet 64Bit 17.0.3 "Enable-Site-Per-Process" aktiviert. Mit dem Internet Explorer 11 arbeite ich nicht Produktiv, fällt also weg. Bankgeschäfte und Einkäufe die über das Internet laufen habe ich bis auf weiteres Ausgesetzt.
Heute Morgen war zu lesen, dass der angebliche Super-Gau doch gar nicht so Super ist. Das Angeblich alle Prozessoren getauscht werden müssten; diese Aussage ist wohl vom Tisch. Genau so wie die Angeblich 30% Leistungsverlust. Aktuell ist man bei 1% bis 2%.
Gruß
Rainer
Rainer: Für die diversen Details müsstest Du dir schlicht die Dokumente zu Spectre und Meltdown zu Gemüte führen. Zudem hatte ich in einem Blog-Beitrag ein Testprogramm veröffentlicht, welches Speicherbereiche ausliest.
Zu 'Das Angeblich alle Prozessoren getauscht werden müssten; diese Aussage ist wohl vom Tisch. Genau so wie die Angeblich 30% Leistungsverlust. Aktuell ist man bei 1% bis 2%.'
Da empfehle ich schlicht sich zurückzulehnen und mal genau zu schauen. Prozessoren austausch – gegen was? Es wird Jahre dauern, bis die Designs so abgewandelt wurden, dass Spectre und Meltdown nicht mehr greifen.
Zum Punkt 'Leistungsverlust': Auch da gibt es die Aussage, dass dies vom Lastfall abhängt. Datenbankoperationen sind etwas anderes als ein bisschen Word-Textverarbeitung.
Ich habe gerade noch einen Artikel online gestellt, der ein paar Gedanken zum Thema zusammen fasst. Muss nicht so kommen, könnte aber zutreffen. Aktuell ist das Thema einfach noch zu frisch, um die praktische Relevanz für die kommenden zwei, drei Wochen, Monate oder Jahre abzuschätzen.
Letztendlich muss jeder für sich bewerten, was für ihn releavant ist.