Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Meltdown & Spectre - don't panic

4. Jänner 2018

Am 3.1. wurden zwei Schwachstellen publik, über die im Vorfeld der Veröffentlichung heftig spekuliert worden war.

Die Sicherheitslücken haben Namen und Logos - die Sache ist also ernst. ;)

Aber Scherz beiseite - natürlich sollte man die Angelegenheit nicht auf die leichte Schulter nehmen, es besteht aber aktuell kein Grund in Panik auszubrechen.
Privatanwender, die auf ihren Devices automatische Updates für Betriebssystem und sonstige Software erhalten, sollten weitgehend geschützt sein. Erhöhte Aufmerksamkeit sollte man allerdings den Veröffentlichungen der Browser-Hersteller widmen. Hier liegen bereits Statements von Mozilla (Firefox) und Google (Chrome) vor. Windows-User sollten auch die Hinweise von Microsoft zu Kompatibilitätsproblemen mit manchen Antivirenlösungen beachten, um sicherzustellen, dass sie die Sicherheitsupdates auch tatsächlich erhalten. (Weiterführende Links: Siehe unten)
In Organisationen mit Patchmanagement empfiehlt es sich, gemäss der (hoffentlich) vorhandenen Prozesse vorzugehen. Beim Evaluieren ist hier wohl vor Allem interessant, wie sehr sich die Patches auf die Performance auswirken - mit Einbussen ist zu rechnen.
Nutzer von Cloud Services (wie z.B. von Amazon, Google oder Microsoft) sollten prüfen, ob und wann von den Anbietern Massnahmen gesetzt werden bzw. wurden.

Weiterführende Links

  • Infoseite zu Meltdown und Spectre
  • Google Security Blog Post
  • Blog Post von Googles Project Zero Team mit technischen Details
  • Mozilla/Firefox
  • Google/Chrome
  • Information von Microsoft zu den Kompatibilitätsproblemen mit manchen Antivirenprodukten
  • Artikel auf bleepingcomputer.com mit laufend aktualisierter Liste von Hersteller-Advisories

  • Dank gebührt den Kollegen vom Austrian Energy CERT für wertvollen Input.

    Autor: Stephan Richter

    Email: reports@cert.at
    Tel.: +43 1 5056416 78
    mehr ...
    Update - Potentielles Sicherheitsproblem in Mailserver-Software Exim - Patches bereits verfügbar
    4. Juni 2019 | Update: ...
    Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates verfügbar
    16. Mai 2019 | Beschreibung | Microsoft ...
    mehr ...
    Das CERT, das Wolf rief
    11. Juni 2019 | Die Fabel ...
    CEO Fraud goes WhatsApp
    24. Mai 2019 | Uns wurde ...
    mehr ...
    Jahresbericht 2017
    Ein Resumee zur digitalen Sicherheitslage in Österreich

    (HTML, PDF).
    Letzte Änderung: 2018/1/4 - 20:12:28
    Haftungsausschluss / Datenschutzerklärung