04.01.2018 20:12
Meltdown & Spectre - don't panic
Am 3.1. wurden zwei Schwachstellen publik, über die im Vorfeld der Veröffentlichung heftig spekuliert worden war.Die Sicherheitslücken haben Namen und Logos - die Sache ist also ernst. ;)Aber Scherz beiseite - natürlich sollte man die Angelegenheit nicht auf die leichte Schulter nehmen, es besteht aber aktuell kein Grund in Panik auszubrechen.
Privatanwender, die auf ihren Devices automatische Updates für Betriebssystem und sonstige Software erhalten, sollten weitgehend geschützt sein. Erhöhte Aufmerksamkeit sollte man allerdings den Veröffentlichungen der Browser-Hersteller widmen. Hier liegen bereits Statements von Mozilla (Firefox) und Google (Chrome) vor. Windows-User sollten auch die Hinweise von Microsoft zu Kompatibilitätsproblemen mit manchen Antivirenlösungen beachten, um sicherzustellen, dass sie die Sicherheitsupdates auch tatsächlich erhalten. (Weiterführende Links: Siehe unten)
In Organisationen mit Patchmanagement empfiehlt es sich, gemäss der (hoffentlich) vorhandenen Prozesse vorzugehen. Beim Evaluieren ist hier wohl vor Allem interessant, wie sehr sich die Patches auf die Performance auswirken - mit Einbussen ist zu rechnen.
Nutzer von Cloud Services (wie z.B. von Amazon, Google oder Microsoft) sollten prüfen, ob und wann von den Anbietern Massnahmen gesetzt werden bzw. wurden.
Weiterführende Links
Infoseite zu Meltdown und Spectre
Google Security Blog Post
Blog Post von Googles Project Zero Team mit technischen Details
Mozilla/Firefox
Google/Chrome
Information von Microsoft zu den Kompatibilitätsproblemen mit manchen Antivirenprodukten
Artikel auf bleepingcomputer.com mit laufend aktualisierter Liste von Hersteller-Advisories
Dank gebührt den Kollegen vom Austrian Energy CERT für wertvollen Input.Autor: Stephan Richter
Privatanwender, die auf ihren Devices automatische Updates für Betriebssystem und sonstige Software erhalten, sollten weitgehend geschützt sein. Erhöhte Aufmerksamkeit sollte man allerdings den Veröffentlichungen der Browser-Hersteller widmen. Hier liegen bereits Statements von Mozilla (Firefox) und Google (Chrome) vor. Windows-User sollten auch die Hinweise von Microsoft zu Kompatibilitätsproblemen mit manchen Antivirenlösungen beachten, um sicherzustellen, dass sie die Sicherheitsupdates auch tatsächlich erhalten. (Weiterführende Links: Siehe unten)
In Organisationen mit Patchmanagement empfiehlt es sich, gemäss der (hoffentlich) vorhandenen Prozesse vorzugehen. Beim Evaluieren ist hier wohl vor Allem interessant, wie sehr sich die Patches auf die Performance auswirken - mit Einbussen ist zu rechnen.
Nutzer von Cloud Services (wie z.B. von Amazon, Google oder Microsoft) sollten prüfen, ob und wann von den Anbietern Massnahmen gesetzt werden bzw. wurden.
Weiterführende Links
Dank gebührt den Kollegen vom Austrian Energy CERT für wertvollen Input.Autor: Stephan Richter