Abo
  • Services:

Was Privatanwender und Admins tun sollten

Golem.de: Was sollten unsere Leser unternehmen? Sie sind Privatanwender, aber viele sind natürlich auch in Unternehmen tätig.

Stellenmarkt
  1. Wirecard Global Sales GmbH, Aschheim
  2. Verband der Mercedes-Benz Vertreter e.V., Berlin

Gruß: Das ist in Unternehmen natürlich besonders kritisch. Viele Systeme sind in Umgebungen oft lange nicht mit Updates versorgt - und dann auch weiterhin anfällig.

Hier könnte der Meltdown-Angriff dafür sorgen, dass ein Mitarbeiter, der eigentlich nicht die notwendigen Berechtigungen hat, Daten auslesen kann, die er nicht auslesen können sollte. Das gilt natürlich vor allem für Systeme wie Thin-Clients, wo mehrere Geräte auf einem Firmenserver arbeiten.

Privatanwender sind derzeit nicht gefährdet - wenn sie die Softwareupdates installieren

Gruß: Für Privatanwender besteht im Moment erstmal keine Gefahr, wenn die Updates installiert sind. Bei Spectre wird es noch etwas dauern, bis das in eine Exploitform übergeht. Bei Meltdown haben wir das schon nach wenigen Tagen gesehen. Leute haben uns gezeigt, was sie mit Meltdown alles machen können. Damit konnte der gesamte Prozessspeicher ausgelesen werden, einige haben sogar Taskmanager nachgebaut, die gar keine Privilegien brauchen und alle Informationen auflisten und sogar den Speicherbereich eines ganz bestimmten Prozesses auslesen können. Da wird es nicht lange dauern, bis nutzbare Exploits im Umlauf sind. Die Meltdown-Updates sind also besonders wichtig.

Golem.de: Microsoft hat bekanntgegeben, dass vor allem ältere Systeme durch die Meltdown-Patches größere Performanceeinbußen haben werden, was vermutlich mit der Kompatibilität von Prozessoren mit den Process Context IDs zusammenhängt. Hat Ihr Team da genauere Informationen?

Gruß: Unsere Beobachtung dazu ist, dass es bei Intel-Prozessoren ab der Skylake-Generation durch die Verwendung der Process Context IDs nur zu geringen Leistungseinbußen kommt. Auf älteren Systemen ohne Unterstützung für die PCIDs sind die Verluste da in der Tat deutlich größer. Aber es sollte auf keinen Fall auf das Einspielen der Updates verzichtet werden, das wäre fahrlässig. Jede kleine App auf dem System kann dann meine Passwörter auslesen, und das ist sicherlich keine Lösung.

Golem.de: Wie sieht es bei Systemen bei Cloud-Providern aus?

Gruß: Hier gibt es zwei Ebenen: einmal die Anbieter selbst und dann natürlich die Kunden.

Erst einmal muss sich der Cloud-Provider gegen die Kunden absichern und den eigenen Hypervisor updaten, so dass kein Zugriff auf den Hostspeicher mehr möglich ist. Damit sind auch alle anderen virtuellen Maschinen auf dem Server gegen Cross-VM-Angriffe geschützt. In vielen Fällen ist es nicht einmal erforderlich, ein Update zu installieren. Bei vielen virtuellen Maschinen war es schon in den vergangenen Jahren so, dass der Hostspeicher nicht in den einzelnen virtuellen Maschinen gemappt wurde.

Bei paravirtualisierten Maschinen ist das oft anders, etwa bei Xen. Da war es schon so, dass der Speicher zwar gemappt war, aber nicht für den Gast erreichbar, ähnlich wie bei einem Betriebssystem-Kernel.

Golem.de Und die Kunden selbst?

Gruß: Wenn wir aber auf das von Nutzern selbst installierte Betriebssystem auf Cloud-Rechnern schauen, gibt es eine andere Situation. Wenn die Updates dort nicht installiert werden, aber Fremdsoftware ausgeführt wird, dann kann diese natürlich die Geheimnisse aus meiner VM alle auslesen. Da schützt mich der Cloud-Betreiber mit seinen Maßnahmen nicht dagegen.

Golem.de: Es gibt erste Mikrocode-Updates, aber diese verursachen aktuell noch viele Probleme. Inwieweit helfen die? Oder müssen wir drei bis vier Jahre warten, bis CPUs erscheinen, die grundsätzlich nicht mehr angreifbar sind?

Gruß: Da sind wir wieder bei dem Performance-Problem. Gerade wenn wir Branch-Prediction ausschalten, dann können wir die aktuelle Geschwindigkeit nicht mehr halten. Niemand gibt Geld aus für ein neues System, das langsamer ist als ein älteres, das man bereits hat. Es müssen also Lösungen gefunden werden, die Performance wieder so weit zu steigern, dass am Ende kein Leistungsverlust rauskommt. Es muss am Ende Systeme geben, die marginal schneller sind oder andere Vorteile bieten. Das könnte auch ein verringerter Stromverbrauch sein.

 Erst Befehle ausführen, dann Fehlermeldungen prüfen'Bei Spectre habe ich geringes Vertrauen in die Softwarelösungen' 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 14,99€
  3. (u. a. The Crew 2 für 39,99€, Tom Clancy's Ghost Recon Wildlands für 16,99€ und Rayman 3 für...
  4. 59€ mit Vorbesteller-Preisgarantie (Release 28.09.)

tomas_13 25. Jan 2018

Das ist der Nachteil: Du hast einen Patch installiert, den du eigentlich nicht brauchst...

tomas_13 25. Jan 2018

Du glaubst nur, es besser verstanden zu haben. Solange du nicht die richtige Erklärung...

tomas_13 25. Jan 2018

Wenn Spectre nicht prozessübergreifend ist, sind dann Chrome und FF nicht relativ sicher...

intergeek 22. Jan 2018

Sagen wir mal so, so verständlich wie das ein Techniker einem Nichttechniker wohl...

SkyNet2030 22. Jan 2018

Alles schön und gut, aber die Frage nach dem warum ist meiner Meinung nach nicht gut...


Folgen Sie uns
       


HTC U12 Life - Hands on (Ifa 2018)

HTC hat mit dem U12 Life ein neues Mittelklasse-Smartphone vorgestellt, das besonders durch die gravierte Glasrückseite auffällt. Golem.de konnte sich das Gerät vor dem Marktstart anschauen.

HTC U12 Life - Hands on (Ifa 2018) Video aufrufen
iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    •  /