Hinweis auf Sicherheitslücken in Prozessoren (Meltdown, Spectre) [05.01.18 21:00 LD, RA]

5. Januar 2018

Wie Sie über die Medien sicherlich bereits erfahren haben, wurden in den letzten Tagen kritische Sicherheitslücken in fast allen marktüblichen Prozessoren aufgedeckt. Die Sicherheitslücken ermöglichen es Speicherinhalte auszulesen, die sensible Daten wie z.B. Passwörter, Schlüssel oder Geschäftsgeheimnisse enthalten können. Von der Sicherheitslücke können nicht nur  die Prozessoren von PCs, sondern auch die Prozessoren von Servern, Smartphones und Tablets, betroffen sein (Informationen der Hersteller werden u.a. von cert.org zusammengetragen).

Da die Sicherheitslücke in der Hardware der Prozessoren verankert ist, werden aktuell unterschiedliche Maßnahmen ergriffen um ein Ausnutzen der Lücken zu verhindern. Diese umfassen unter anderem, das Aktualisierung des Betriebssystems, Aktualisierung der verwendeten Programme und das Patchen des Mikrocodes.

Die  Hersteller von Betriebssystemen bzw. Distributionen sind aktuell damit befasst die Patches über die Update-Mechanismen der Betriebssysteme bereitzustellen. Daher sollten die von Ihnen verwendeten Systeme möglichst umgehende mit den Updates versorgt werden.

Auch die Hersteller von Webbrowsern haben bereits reagiert, wie heise.de im Artikel https://heise.de/-3933043 berichtet.

Trotz Redundanzen und HA können kurzzeitige Unterbrechungen bzw. Verzögerungen im Betrieb der Dienstleistungen des Gauß-IT-Zentrums entstehen. Grund dafür sind die zum Teil von den Aktualisierungen geforderten Neustarts der Systeme. Bei länger andauernden Unterbrechungen werden wie gewohnt gesonderte Informationen über den Störungsblog bereitgestellt.

Ausführliche Informationen zu den Lücken mit dem Namen Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5753, CVE-2017-5715) erhalten Sie über die dafür eingerichtete Seite der beteiligten Sicherheitsforscher bzw. über den Blogeintrag des beteiligten Google Project Zero Teams.

Weitere Informationen zu den aktuell getroffenen Sicherheitsmaßnahmen erhalten Sie u.a. in diesem Google Security Blogeintrag.

UPDATE: Beachten Sie, dass die Updates der Betriebssystemkernels als auch des Mikrocodes negative Auswirkungen auf die Performance des Systems haben kann. Diese Auswirkungen sind sehr von dem jeweiligen Workload abhängig.

¬ geschrieben von l_dreymann in Allgemein