Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Meltdown & Spectre - don't panic

4. Jänner 2018

Am 3.1. wurden zwei Schwachstellen publik, über die im Vorfeld der Veröffentlichung heftig spekuliert worden war.

Die Sicherheitslücken haben Namen und Logos - die Sache ist also ernst. ;)

Aber Scherz beiseite - natürlich sollte man die Angelegenheit nicht auf die leichte Schulter nehmen, es besteht aber aktuell kein Grund in Panik auszubrechen.
Privatanwender, die auf ihren Devices automatische Updates für Betriebssystem und sonstige Software erhalten, sollten weitgehend geschützt sein. Erhöhte Aufmerksamkeit sollte man allerdings den Veröffentlichungen der Browser-Hersteller widmen. Hier liegen bereits Statements von Mozilla (Firefox) und Google (Chrome) vor. Windows-User sollten auch die Hinweise von Microsoft zu Kompatibilitätsproblemen mit manchen Antivirenlösungen beachten, um sicherzustellen, dass sie die Sicherheitsupdates auch tatsächlich erhalten. (Weiterführende Links: Siehe unten)
In Organisationen mit Patchmanagement empfiehlt es sich, gemäss der (hoffentlich) vorhandenen Prozesse vorzugehen. Beim Evaluieren ist hier wohl vor Allem interessant, wie sehr sich die Patches auf die Performance auswirken - mit Einbussen ist zu rechnen.
Nutzer von Cloud Services (wie z.B. von Amazon, Google oder Microsoft) sollten prüfen, ob und wann von den Anbietern Massnahmen gesetzt werden bzw. wurden.

Weiterführende Links

  • Infoseite zu Meltdown und Spectre
  • Google Security Blog Post
  • Blog Post von Googles Project Zero Team mit technischen Details
  • Mozilla/Firefox
  • Google/Chrome
  • Information von Microsoft zu den Kompatibilitätsproblemen mit manchen Antivirenprodukten
  • Artikel auf bleepingcomputer.com mit laufend aktualisierter Liste von Hersteller-Advisories

  • Dank gebührt den Kollegen vom Austrian Energy CERT für wertvollen Input.

    Autor: Stephan Richter

    Email: reports@cert.at
    Tel.: +43 1 5056416 78
    mehr ...
    Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
    24. Juni 2019 | Beschreibung In ...
    Kritische RCE Schwachstelle in Oracle WebLogic Server
    19. Juni 2019 | Beschreibung | Mehrere ...
    mehr ...
    Zoom, Zoom, Zoom
    9. Juli 2019 | In der ...
    In eigener Sache: CERT.at sucht Verstärkung
    2. Juli 2019 | Für unsere ...
    mehr ...
    Jahresbericht 2017
    Ein Resumee zur digitalen Sicherheitslage in Österreich

    (HTML, PDF).
    Letzte Änderung: 2018/1/4 - 20:12:28
    Haftungsausschluss / Datenschutzerklärung