Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Meltdown & Spectre - don't panic

4. Jänner 2018

Am 3.1. wurden zwei Schwachstellen publik, über die im Vorfeld der Veröffentlichung heftig spekuliert worden war.

Die Sicherheitslücken haben Namen und Logos - die Sache ist also ernst. ;)

Aber Scherz beiseite - natürlich sollte man die Angelegenheit nicht auf die leichte Schulter nehmen, es besteht aber aktuell kein Grund in Panik auszubrechen.
Privatanwender, die auf ihren Devices automatische Updates für Betriebssystem und sonstige Software erhalten, sollten weitgehend geschützt sein. Erhöhte Aufmerksamkeit sollte man allerdings den Veröffentlichungen der Browser-Hersteller widmen. Hier liegen bereits Statements von Mozilla (Firefox) und Google (Chrome) vor. Windows-User sollten auch die Hinweise von Microsoft zu Kompatibilitätsproblemen mit manchen Antivirenlösungen beachten, um sicherzustellen, dass sie die Sicherheitsupdates auch tatsächlich erhalten. (Weiterführende Links: Siehe unten)
In Organisationen mit Patchmanagement empfiehlt es sich, gemäss der (hoffentlich) vorhandenen Prozesse vorzugehen. Beim Evaluieren ist hier wohl vor Allem interessant, wie sehr sich die Patches auf die Performance auswirken - mit Einbussen ist zu rechnen.
Nutzer von Cloud Services (wie z.B. von Amazon, Google oder Microsoft) sollten prüfen, ob und wann von den Anbietern Massnahmen gesetzt werden bzw. wurden.

Weiterführende Links

  • Infoseite zu Meltdown und Spectre
  • Google Security Blog Post
  • Blog Post von Googles Project Zero Team mit technischen Details
  • Mozilla/Firefox
  • Google/Chrome
  • Information von Microsoft zu den Kompatibilitätsproblemen mit manchen Antivirenprodukten
  • Artikel auf bleepingcomputer.com mit laufend aktualisierter Liste von Hersteller-Advisories

  • Dank gebührt den Kollegen vom Austrian Energy CERT für wertvollen Input.

    Autor: Stephan Richter

    Email: reports@cert.at
    Tel.: +43 1 5056416 78
    mehr ...
    Sicherheitslücken (teils kritisch) in Cisco FXOS und NX-OS Software - Patches verfügbar
    21. Juni 2018 | Beschreibung Cisco ...
    Security Advisory für Microsoft Exchange Server
    20. Juni 2018 | Beschreibung | Microsoft ...
    mehr ...
    In eigener Sache: CERT.at sucht Verstärkung
    5. Juni 2018 | Für unsere ...
    NIS Update
    15. Mai 2018 | Am 9. ...
    mehr ...
    Jahresbericht 2016
    Ein Resumee zur digitalen Sicherheitslage in Österreich

    (HTML, PDF).
    Letzte Änderung: 2018/1/4 - 20:12:28
    Haftungsausschluss / Datenschutzerklärung