Sicherheitslücken Meltdown und Spectre

 

Die bekannt gewordenen Sicherheitslücken in Prozessoren, die in der Fachpresse unter den Begriffen "Meltdown" und "Spectre" kursieren, treffen die Prozessorhersteller ins Mark. Dabei sind diese Sicherheitslücken in erster Linie für alle Intel-Systeme, aber auch für ARM- und AMD-Prozessoren relevant.

Wie die Fachpresse berichtet, sind zwei schwerwiegende Schwachstellen im Befehlssatz von Prozessoren verschiedener Hersteller gefunden worden. Forscher von europäischen Universitäten und von Google haben eine Fülle von Möglichkeiten ausgetüftelt, um Speicher auszulesen, auf den ein User-Prozess gar nicht zugreifen können dürfte. Dafür verwenden sie eine Eigenschaft aller modernen Out-of-Order-Prozessoren.

Die beiden Schwachstellen sind als "Meltdown" und "Spectre" benannt worden und nutzen ungenügend gesicherte Performanceoptimierungsfunktionen in den betroffenen Prozessoren aus, um Zugriff auf privilegierte Speicherbereiche zu erlangen.

Was bedeutet das für Ihre IT-Sicherheit?

Kundensysteme, die im Rahmen von Systemwartungsverträgen durch die VAPS betreut werden, bekommen im Rahmen der vereinbarten Zyklen entsprechende Updates. Dies betrifft alle Systeme, für deren laufende Software keine Gefährdung der Stabilität durch die Fehlerbehebung erkannt wird.

Sollte die VAPS Server- beziehungsweise Clients identifizieren, bei denen der weitere Betrieb nach dem Update nicht sichergestellt werden kann, informieren wir die betroffenen Kunden und erarbeiten gemeinsam eine Lösung.

Wie gefährlich sind die bestehenden Sicherheitslücken?

Wie man der Fachpresse entnehmen kann, scheint die Schwachstellenausnutzung unabhängig vom verwendeten Betriebssystem zu sein. Die Grundlage für die Ausnutzung ist ein lokal auf dem jeweiligen System befindliches ausführbares Programm. Damit sind die Schwachstellen nicht aus der Entfernung ausnutzbar, sondern nur über zusätzlichen in das System eingebrachten lokal ausgeführten Code. Details zu den Lücken finden Sie zum Beispiel hier:

Google Projektinfos
https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

Heise Security, alle Infos zu Meltdown und Spectre
https://www.heise.de/thema/Meltdown-und-Spectre

Welche Schutzmaßnahmen werden getroffen?

Die laufenden Maßnahmen bestehen im Bereitstellen von Patches für die Betriebssysteme und Kernel sowie anpassen der Endpoint Software und Hersteller-Betriebssystemänderungen, welche das Ausnutzen der Schwachstellen erschweren und erkennen. Diese wichtigen Maßnahmen alleine sind jedoch nicht ausreichend. Die Behebung des Problems auf den betroffenen Prozessoren als "Silicon Update" ist angekündigt (siehe auch https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/). Da diese Fehlerbehebung das Laden von zusätzlichen, nicht persistenten (bei jedem Systemstart neu zu ladenden) Micro Codes in den Prozessor beim Starten des Systems voraussetzt, muss dieser Patch als Teil der Firmware der verschiedenen Computerhersteller bereitgestellt werden. Auf Grund der Menge, des Alters und der Verschiedenartigkeit der betroffenen Systeme, wird dieser Vorgang einige Zeit in Anspruch nehmen.

Zurzeit bereiten die Betriebssystemanbieter die Herausgabe von Updates vor, die eine Ausführung der zu beanstandenden Prozessorinstruktionen verhindern. Teilweise sind diese bereits verfügbar. Bitte beachten Sie vor Installation der Patches genauestens die Anweisungen der Hersteller, da die Art der Fehlerbehebung zu Problemen mit vorhandenen systemnahen Funktionen führen kann. So beispielsweise bei End Point Protection oder Kopierschutzmaßnahmen. Programme, die Teile der Speicher- und Prozessorverwaltung selber übernehmen, können ebenfalls fehlerhaftes Verhalten zeigen. Bei Intel-basierten Systemen ist es möglich, dass es zu Performanceeinbußen kommt.

Welche Systeme sind betroffen?

Die VAPS GmbH hat Ende der letzten Woche begonnen, die Auswirkungen des Problems auf die Datacenter Infrastrukturen zu ermitteln. Zurzeit gehen wir davon aus, dass keine der im Netzwerk- und Firewall-Umfeld eingesetzten Systeme direkt betroffen sind. Diese Einheiten enthalten entweder keinen der betroffenen Prozessoren oder lassen auf Grund des verwendeten Betriebssystems den Start zusätzlicher Codes nicht zu.

Von den Sicherheitslücken betroffen sind Serversysteme und Virtualisierungsplattformen. Hier finden bereits die ersten Tests der von den Betriebssystemherstellern zur Verfügung gestellten Updates statt. Wo unterbrechungsfrei möglich, werden wir verfügbare Patches nach erfolgreichem Test in die Produktivplattform übernehmen. Falls notwendig, werden nach kurzfristiger Voranmeldung auch die Systeme aktualisiert, bei denen der Vorgang zu einem zeitlich begrenzten Ausfall führen kann.

Werden meine Systeme aktualisiert?

Kundensysteme, für die die VAPS keine Systemwartungsarbeiten durchführt, werden nicht automatisch aktualisiert. Natürlich stehen wir auch diesen Kunden bei Fragen zur Verfügung. Wir möchten Sie bitten, wegen der großen Anzahl von Anfragen unseren E-Mail-Supportkontakt für Rückfragen zu nutzen. Diesen erreichen Sie wie immer über vapssupport@vaps.de.

Mit freundlichen Grüßen
Ihre VAPS-GmbH


(letztes Update vom 10.01.2018)

 

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen