Meine Gedanken zur Meltdown-Lücke

Es ist in aller Munde: Die Meltdown-Lücke. Was man damit machen kann? Naja, man umgeht damit eine Schutzfunktion des Prozessors, die eigentlich dafür vorgesehen war, dass Software A nicht auf Speicherbereiche von Software B zugreifen kann, um darüber z.B. Passwörter oder „geheime“ Daten auszuschnüffeln. Und jetzt kommen wieder die Massen an Fingerzeiger hervor, die schon immer davor gewarnt haben, dass man das Online-Banking nicht öffnen sollte, wenn grad eine andere Software läuft.

Und sie haben wie immer Recht behalten, denn wie das immer so ist: Software- und Hardware wird von Menschen gemacht und Menschen machen Fehler. Nichts ist wirklich sicher. Trotzdem ist das kein Grund, in Panik zu verfallen, denn auch Autos sind nicht sicher, wie man an Unfallstatistiken sehen kann.

Wem kann ich vertrauen?

Das ist eine der essentiellen Fragen, die es immer zu stellen gilt. Kann ich meinem Hoster vertrauen, dass mein Shared- oder virtueller Server schnell auf die neuste Betriebssystemversion geupdatet wird? Kann ich meiner Software vertrauen, die mir Shortkeys auf meinem Rechner (z.B. Alfred auf dem Mac) vertrauen, während ich meinen Banking-Login mache? Kann ich jeder Browser-Extension vertrauen (… oh warte, das hat ja gar nichts mit Meltdown zu tun – verstehst du, worauf ich hinaus will)?

Wir kommen jetzt an einen Punkt, wo jeder von uns nochmal gucken sollte, wie die Vertrauensfrage aussieht, auf welche Hard- und Softwareplattformen wir setzen (wollen). Mir tun wirklich die Leute leid, die sich noch zu Weihnachten, ein Smartphone haben schenken lassen, welches schon heute keine Updates mehr bekommt und die dann groß rumjammern, wenn ihre SMS- oder SecureApp-TAN abgefischt wurde – weil es ging.

Um den Meltdown übrigens komplett zu beheben, müsste man alle Prozessoren austauschen, deshalb versuchen jetzt alle, die Lücke so gut es geht mit Software abzudecken.

Da fällt mir grad noch ein: Gibt es Statistiken darüber, wie verbreitet Heartbleed noch ist, obwohl man die beiden nicht miteinander vergleichen kann?

Update 1 vom 04.01.18 11:43:

Ich wurde nochmal von Michael Gebetsroither auf Google+ darauf hingewiesen, dass ich Meltdown mit Spectre zusammenwürfel. Also nochmal auseinandergedröselt haben wir 2 Lücken: Meltdown, welches nur auf Intel-Prozessoren zu Problemen führt und derzeit mit ein paar Software-Updates geflickt werden kann, das System dadurch aber auch langsam wird.

Und die 2. Lücke ist Spectre, welche auf Intel-, AMD- und ARM-Prozessoren. Spectre ist wohl schwieriger auszunutzen, weil der Angreifer dafür die Hilfe des Angegriffenen benötigt, ist aber auch scheinbar schwerer zu beheben.

Hach, das wird auf jeden Fall noch lustig in den nächsten Wochen und die User dürfen bestimmt noch 2-3x die Nachbesserungsupdates über sich ergehen lassen.


Kommentare

hebbet

> Gibt es Statistiken darüber, wie verbreitet Heartbleed noch ist, obwohl man die beiden nicht miteinander vergleichen kann?

nicht direkt, aber die Jungs von SSL Labs stellen für Heartbleed nen Wert in Ihren Stats bereit:

ssllabs.com/ssl…

Kommentar schreiben

Jeder Kommentar wird vor der Veröffentlichung überprüft.