Abo
  • Services:

Was Privatanwender und Admins tun sollten

Golem.de: Was sollten unsere Leser unternehmen? Sie sind Privatanwender, aber viele sind natürlich auch in Unternehmen tätig.

Stellenmarkt
  1. Bertrandt Services GmbH, Paderborn
  2. dSPACE GmbH, Paderborn

Gruß: Das ist in Unternehmen natürlich besonders kritisch. Viele Systeme sind in Umgebungen oft lange nicht mit Updates versorgt - und dann auch weiterhin anfällig.

Hier könnte der Meltdown-Angriff dafür sorgen, dass ein Mitarbeiter, der eigentlich nicht die notwendigen Berechtigungen hat, Daten auslesen kann, die er nicht auslesen können sollte. Das gilt natürlich vor allem für Systeme wie Thin-Clients, wo mehrere Geräte auf einem Firmenserver arbeiten.

Privatanwender sind derzeit nicht gefährdet - wenn sie die Softwareupdates installieren

Gruß: Für Privatanwender besteht im Moment erstmal keine Gefahr, wenn die Updates installiert sind. Bei Spectre wird es noch etwas dauern, bis das in eine Exploitform übergeht. Bei Meltdown haben wir das schon nach wenigen Tagen gesehen. Leute haben uns gezeigt, was sie mit Meltdown alles machen können. Damit konnte der gesamte Prozessspeicher ausgelesen werden, einige haben sogar Taskmanager nachgebaut, die gar keine Privilegien brauchen und alle Informationen auflisten und sogar den Speicherbereich eines ganz bestimmten Prozesses auslesen können. Da wird es nicht lange dauern, bis nutzbare Exploits im Umlauf sind. Die Meltdown-Updates sind also besonders wichtig.

Golem.de: Microsoft hat bekanntgegeben, dass vor allem ältere Systeme durch die Meltdown-Patches größere Performanceeinbußen haben werden, was vermutlich mit der Kompatibilität von Prozessoren mit den Process Context IDs zusammenhängt. Hat Ihr Team da genauere Informationen?

Gruß: Unsere Beobachtung dazu ist, dass es bei Intel-Prozessoren ab der Skylake-Generation durch die Verwendung der Process Context IDs nur zu geringen Leistungseinbußen kommt. Auf älteren Systemen ohne Unterstützung für die PCIDs sind die Verluste da in der Tat deutlich größer. Aber es sollte auf keinen Fall auf das Einspielen der Updates verzichtet werden, das wäre fahrlässig. Jede kleine App auf dem System kann dann meine Passwörter auslesen, und das ist sicherlich keine Lösung.

Golem.de: Wie sieht es bei Systemen bei Cloud-Providern aus?

Gruß: Hier gibt es zwei Ebenen: einmal die Anbieter selbst und dann natürlich die Kunden.

Erst einmal muss sich der Cloud-Provider gegen die Kunden absichern und den eigenen Hypervisor updaten, so dass kein Zugriff auf den Hostspeicher mehr möglich ist. Damit sind auch alle anderen virtuellen Maschinen auf dem Server gegen Cross-VM-Angriffe geschützt. In vielen Fällen ist es nicht einmal erforderlich, ein Update zu installieren. Bei vielen virtuellen Maschinen war es schon in den vergangenen Jahren so, dass der Hostspeicher nicht in den einzelnen virtuellen Maschinen gemappt wurde.

Bei paravirtualisierten Maschinen ist das oft anders, etwa bei Xen. Da war es schon so, dass der Speicher zwar gemappt war, aber nicht für den Gast erreichbar, ähnlich wie bei einem Betriebssystem-Kernel.

Golem.de Und die Kunden selbst?

Gruß: Wenn wir aber auf das von Nutzern selbst installierte Betriebssystem auf Cloud-Rechnern schauen, gibt es eine andere Situation. Wenn die Updates dort nicht installiert werden, aber Fremdsoftware ausgeführt wird, dann kann diese natürlich die Geheimnisse aus meiner VM alle auslesen. Da schützt mich der Cloud-Betreiber mit seinen Maßnahmen nicht dagegen.

Golem.de: Es gibt erste Mikrocode-Updates, aber diese verursachen aktuell noch viele Probleme. Inwieweit helfen die? Oder müssen wir drei bis vier Jahre warten, bis CPUs erscheinen, die grundsätzlich nicht mehr angreifbar sind?

Gruß: Da sind wir wieder bei dem Performance-Problem. Gerade wenn wir Branch-Prediction ausschalten, dann können wir die aktuelle Geschwindigkeit nicht mehr halten. Niemand gibt Geld aus für ein neues System, das langsamer ist als ein älteres, das man bereits hat. Es müssen also Lösungen gefunden werden, die Performance wieder so weit zu steigern, dass am Ende kein Leistungsverlust rauskommt. Es muss am Ende Systeme geben, die marginal schneller sind oder andere Vorteile bieten. Das könnte auch ein verringerter Stromverbrauch sein.

 Erst Befehle ausführen, dann Fehlermeldungen prüfen'Bei Spectre habe ich geringes Vertrauen in die Softwarelösungen' 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. 15,00€ (Preis wird erst an der Kasse angezeigt!)
  2. beim Kauf teilnehmender Produkte
  3. 14,99€

tomas_13 25. Jan 2018

Das ist der Nachteil: Du hast einen Patch installiert, den du eigentlich nicht brauchst...

tomas_13 25. Jan 2018

Du glaubst nur, es besser verstanden zu haben. Solange du nicht die richtige Erklärung...

tomas_13 25. Jan 2018

Wenn Spectre nicht prozessübergreifend ist, sind dann Chrome und FF nicht relativ sicher...

intergeek 22. Jan 2018

Sagen wir mal so, so verständlich wie das ein Techniker einem Nichttechniker wohl...

SkyNet2030 22. Jan 2018

Alles schön und gut, aber die Frage nach dem warum ist meiner Meinung nach nicht gut...


Folgen Sie uns
       


Golem.de spielt die Battlefield 5 Closed Alpha

Zwölf Stunden haben wir in der Closed Alpha des kommenden Shooters im Zweiten Weltkrieg Battlefield 5 verbracht - Zeit für eine erste Analyse der Änderungen.

Golem.de spielt die Battlefield 5 Closed Alpha Video aufrufen
Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt US-Regierung gibt der Nasa nicht mehr Geld für Mondflug

VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  2. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge
  3. VR-Brillen Google experimentiert mit Lichtfeldfotografie

    •  /