Worin besteht die Gefahr durch Meltdown und Spectre?
Die Gefahr besteht durch den Zugriff auf vertrauliche Daten – dabei sind potentiell sensible Informationen gefährdet wie etwa Logins für Webseiten oder z.B. Mailkonten, vertrauliche Dokumente, und Mails – überhaupt alle Inhalte auf einem Rechner, die eigentlich geschützt sein sollten vor fremdem Zugriff. Das gilt potentiell ebenso für den Rechner zuhause wie für Daten, die im Netz per Cloud gespeichert sind.
Brauche ich das Security Update oder nicht?
Da die Gefahr so universal ist und sensible Daten auf allen Ebenen betrifft, gilt: jeder ans Netz angeschlossene Computer sollte mit allen erhältlichen Updates gepatcht werden, sonst steht er offen wie ein Scheunentor.
Es gibt Patches für alle Ebenen: die CPUs (per Microcode /Firmware), das Betriebssystem, für Virtuelle Maschinen, Treiber und Software – wichtig sind hier vor allem die Browser. Bisher haben aber nur wenige Mainboard Hersteller BIOS Updates (oftmals aber belieben ältere Mainboards ungepatcht) veröffentlicht, sie sind extrem wichtig, weil CPU Firmware/Microcode Updates übers jeweilige Mainboard BIOS eingespielt werden.
Für die (Windows, Apple, Linux) Betriebssysteme werden die Patches - abhängig allerdings von der OS-Version - zum Teil schon ausgeliefert. Wer also automatische Updates aktiviert hat, sollte also schon ein OS-Update bekommen haben, falls es verfügbar ist.
Für die wichtigsten Browser wie Chrome, Firefox, Safari, Edge/IE gibt es entweder schon Updates oder sie sind zumindest angekündigt:
- Chrome soll mit Version 64 am 23.Januar Schutz vor Meltdown und Spectre bekommen - bis dahin wird geraten, das Feature Site Isolation manuell zu aktivieren
- Safari (iOS/macOS) wird ebenfalls demnächst Patches gegen Meltdown und Spectre bekommen
- Firefox hat seit Ende November (Version 57) einen teilweisen Schutz implementiert
- Microsoft Edge/IE 11 Browser sind bereits gepatcht
Windows: Das Betriebssystem Update allein schützt nicht
Wer das neueste Windows Update bekommen hat, darf sich allerdings nicht sicher fühlen – erst mit einem CPU Update per Firmware wird es für einige der Angriffsvarianten (Meltdown) wirksam – nicht jedoch für Spectre-Angriffe.
Bis jedoch jeder Mainboard-Hersteller ein Update bereitgestellt hat, kann es dauern (wenn überhaupt alle, also auch alte Mainboards BIOS Updates mit dem CPU Patch bekommen – noch ist die Liste der verfügbaren BIOS-Updates ziemlich klein). Deswegen ist es wichtig, auch auf der Software und Treiber Ebene jeweils Sicherheitsupdates einzuspielen – besonders der Browser ist gefährdet und sollte upgedatet werden, da er am ehesten als Einfallstor dient und per vertrauliche Javascript Daten abgegriffen werden könnten. Achtung auch (wie immer) vor ausführbaren Email-Anhängen – gefährlich ist die Lücken nur, wenn fremder Code auf dem Rechner ausgeführt wird.
Bei Apple und Linux dagegen enthalten OS-Update auch die Patches für CPUs und sind zumindest für manche CPU-OS-Versionen schon verfügbar – ebenso wie von Microsoft hergestellt Windows Rechner wie die Surface-Reihe.
Extrem wichtig ist also für Windows User ein BIOS-Update per Mainboard, BIOS Updates sind von Folgenden Mainboard-Herstellern schon verfügbar:
GPUs sind nicht betroffen - Nvidia aber hat ein Treiberupdate für seine Grafikkarten veröffentlicht, welche das CPU-Problem lindern sollen.
Unübersichtlich wird die Lage allerdings dadurch, das manche Patches nur Meltdown betreffen und nicht die kompliziertere Spectre Sicherheitslücke. So hat zwar Apple schon im Dezember mit macOS High Sierra 10.13.2 die Meltdown Lücke geschlossen, noch nicht aber Spectre. Und ob ältere Macs aus den Jahren vor 2010, auf denen macOS High Sierra nicht läuft, auch gepatcht wurden, ist nicht ganz klar.
Man kann ganz einfach mit diesem Tool von Ashampoo für Windows 7, Windows 8 / 8.1 und Windows 10 testen, ob das eigene System schon gepatcht oder noch anfällig für die Angriffe per Meltdown und Spectre ist.
Aber Achtung: alle bisherigen Patches liefern keine 100%ige Sicherheit sondern vermindern nur das Angriffsrisiko!
Die Firmware-Updates, die zur Behebung des Problems erforderlich sind, mildern die Gefahr, beheben aber die Sicherheitslücke nicht vollständig. Anti-Virusprogramme bieten keinen Schutz.
lichen daten.
AMD will in den nächsten Tagen Firmware Fixes für die Ryzen und EPYC CPUs gegen Spectre veröffentlichen.
