Meltdown und Spectre

Gestern sind zwei kritische Schwachstellen in nahezu allen modernen Prozessoren allgemein bekanntgeworden. Welche Auswirkungen hat dies für die Zielgruppe des CERT@VDE?

Vorab die gute Nachricht: die Schwachstellen haben zwar kritische Auswirkungen auf die Sicherheit von Mehrbenutzersystemen und besonders auch von Cloud-Anwendungen, die meisten ICS-Komponenten können jedoch nicht durch diese Schwachstellen allein kompromittiert werden.

Bei beiden Schwachstellen wird über einen sogenannten Side-Channel-Angriff der Schutz von Kernel-Daten ausgehebelt, wodurch ein Prozess Informationen bekommt, auf die er normalerweise keinen Zugriff hätte. Es ist jedoch für einen erfolgreichen Angriff notwendig, beliebigen Code auf dem jeweiligen Prozessor ausführen zu können. Solange ein Benutzer dies nicht kann, weil er keinen Shell-Zugriff auf das System hat, kann der Angriff nicht durchgeführt werden (siehe hierzu auch die Meldung bei Heise).

CERT@VDE rät daher allen Anwendern, ihre eigenen Clients (sei es ein Laptop, ein Tablet oder ein Smartphone) auf dem aktuellen Patchlevel zu halten und vor allem auch den eingesetzten Browser zu aktualisieren. Systemadministratoren sollten vor allem Server, auf denen Benutzer Shell-Zugriff haben, mit hoher Priorität patchen. Wenn Sie Cloud-Dienste einsetzen, dann erkundigen Sie sich bei Ihrem Anbieter, welche Schritte dieser unternimmt!

Wir beobachten die Lage aufmerksam. Zum Zeitpunkt der Veröffentlichung dieser Meldung lagen uns keine Hinweise zu ICS-Komponenten vor, die aufgrund von Meltdown oder Spectre unmittelbar für Angriffe anfällig sind. Sollte sich dies ändern, werden wir zu gegebener Zeit entsprechende Advisories veröffentlichen.