Forum

Spectre und Meltdown
Januar 05, 2018, 07:11:19
Die Berichtsertattungen im Netz zu obigen Problemen sind sehr umfangreich.
Mir sind sie zu kompliziert, insbesondere in Bezug auf meine nachfolgende Fragen.

a) Betrifft beide Probleme die Hardware (Prozessoren)?
b) Sind möglicherweise mein iMac, MBP, iPad davon betroffen?
c) Wie erfolgt genau die Ausnutzung?
d) Was muss man als User aktiv machen damit Spectre und Meltdown „Schäden" anrichten können?
e) Sind Probleme zu erwarten wenn man die gängigen Seiten im www (bspw SPON, Apfelinsel, Herstellerseiten von Soft-, Hardware) besucht?
f) Erfolgt die Ausnutzung immer über den Browser mit dem man ins www geht?

Jochen
« Letzte Änderung: Januar 05, 2018, 07:17:54 von Jochen »
_______
Wenn Du es eilig hast, gehe langsam.

mbs

Re: Spectre und Meltdown
Antwort #1: Januar 05, 2018, 08:45:47
a) Ja.
b) Ja. Große Teile des Meltdown-Angriffs werden jedoch mit macOS 10.13.2, iOS 11.2 und tvOS 11.2 oder höher bereits verhindert.
c) Bestimmte Komponenten, die seit etwa 23 Jahren in allen modernen Prozessoren eingebaut sind, werden auf sehr kreative und raffinierte Weise zweckentfremdet, so dass ein beliebiges laufendes Programm auf Umwegen Lesezugriff auf den gesamten Hauptspeicher (RAM) des Computers bekommt. Dies ist normalerweise nur dem Betriebssystemkern möglich und wird für alle anderen Programme bereits per Hardware verhindert. Durch den Zugriff auf den Speicher kann ein Programm theoretisch auf die Geheimnisse aller gerade auf diesem Computer laufenden Programme zugreifen, inklusive der laufenden Programme in Virtuellen Maschinen.
d) Ein fremdes Programm laufen lassen, das entsprechenden Angriffscode enthält.
e) Im Moment eher nicht, aber das könnte sich ändern, da der Forschungsbericht jetzt veröffentlicht wurde und damit die Idee dieser Angriffsmöglichkeit bekannt geworden ist. Man kann den Angriff in Werbung verstecken, die diese Seitenbetreiber so gut wie unkontrolliert in ihre Seiten einblenden.
f) Nein, das ist nur am einfachsten, da man diesen Angriff auch in JavaScript schreiben kann. Man kann den Angriffscode aber in jedes beliebige Programm verstecken, das in der Lage ist, Zeit mit hoher Genauigkeit zu messen.

Es wird zum Beispiel einen Schnellschuss-Workaround für Firefox geben, der versucht, diese Angriffsmöglichkeit erst einmal dadurch zu behindern, dass im Browser alle Möglichkeiten gesperrt werden, Zeitintervalle mit einer Genauigkeit von mehr als 20 Mikrosekunden messen zu können.
« Letzte Änderung: Januar 05, 2018, 08:53:40 von mbs »
Re: Spectre und Meltdown
Antwort #2: Januar 05, 2018, 09:07:27
:) Da ist mir mbs zuvor gekommen, der mehr davon versteht.

Daher lösche ich alles von mir geschriebene bis auf einen Kommentar zu e:

BTW noch zu e:
Unabhängig von dem abgefragten Problem. Viele Webseiten binden einen Haufen an fremder Skripte ein. Meistens für Werbenetzwerke und um den Benutzer zu verfolgen. Neben dem Problem des Trackings ist die Angriffsfläche, dort ein böses Skript einzuschmuggeln, natürlich auch größer. Wurde in der Vergangenheit ja auch schon öfters gemacht. Ich habe ein Seite gefunden, die einem anzeigt, was eine andere Seite alles so einbindet. Das ist manchmal echt erschreckend.
Die Seite: How privacy-friendly is your site?
Für SPON: Es werden 38 Cookies gesetzt, 171 fremde Dateien abgerufen und 49 fremde Domains/Firmen kontaktiert. Für den einfachen Abruf der Startseite!
Für Apfelinsel: 1 Cookie, 0 fremde Dateien und 0 fremde Domains/Firmen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Spectre und Meltdown
Antwort #3: Januar 06, 2018, 11:32:47
Wie üblich werden neben macOS High Sierra 10.13 auch die beiden Vorgängersysteme macOS Sierra 10.12 und OS X El Capitan 10.11 mit den Sicherheitsaktualisierungen bedacht:
https://support.apple.com/de-de/HT208331

Florian

  • Zurück in der Zukunft
Re: Spectre und Meltdown
Antwort #5: Januar 09, 2018, 15:28:17
Komisch, bei mir war kein Einser im Icon. Ist das wieder mal die Zeitverschiebung? Am Mac musste ich dreimal den Suchlauf starten, auch nicht optimal.

Habe jedenfalls alles aktualisiert, keine Probleme.
_______
"If music be the food of love, play on!”
                         William Shakespeare
“We’re all going to be dead soon, and it really doesn’t matter anymore, so there’s zero pressure.”
Joe Mazzulla, Trainer der Boston Celtics über den Druck auf seinem Team.
Re: Spectre und Meltdown
Antwort #6: Januar 29, 2018, 18:19:08
« Letzte Änderung: Januar 29, 2018, 18:24:05 von radneuerfinder »
Re: Spectre und Meltdown
Antwort #7: Mai 12, 2018, 10:46:57
Insgesamt zeigen die Spectre-NG-Lücken, dass Spectre und Meltdown keine einmaligen Ausrutscher waren. Es handelt sich eben nicht um ein simples Loch, das man mit ein paar Flicken nachhaltig stopfen könnte. Es verdichtet sich vielmehr das Bild einer Art Schweizer Käse: Für jedes abgedichtete Loch, tauchen zwei andere auf:
https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html
Re: Spectre und Meltdown
Antwort #9: November 05, 2018, 09:19:48
https://www.heise.de/security/meldung/Neue-Schwachstelle-in-Intel-CPUs-Hyper-Threading-anfaellig-fuer-Datenleck-4210282.html


Gibt es eigentlich mittlerweile neue Prozessoren, ohne die Löcher in Hardware? Oder sind welche angekündigt?
Re: Spectre und Meltdown
Antwort #11: November 15, 2018, 11:35:39
Seit wenigen Tagen hat die Macintosh-Firmware übrigens ein neues Namensschema. Die Bezeichnungen sind nicht mehr modellspezifisch, sondern haben jetzt eine klassische Versionsnummer. Im Moment ist Version 222.0.0.0 aktuell.

Und wurde da auch Spectre und Meltdown weiter abgedichtet? Und wie ist denn der Dichtigkeitsgrad jetzt? Hat Intel die Fehler für neue Prozessoren endlich in der Hardware behoben? Z.B. im Prozessor im neuen Mini?


Neue Hardware Lücken, u. a. auch für ARM:
https://www.zdnet.de/88347225/forscher-entdecken-sieben-neue-meltdown-und-spectre-angriffe/

Florian

  • Zurück in der Zukunft
Re: Spectre und Meltdown
Antwort #12: November 15, 2018, 19:40:14
Und wurde da auch Spectre und Meltdown weiter abgedichtet?

Ja, suche in der Beschreibung des Sicherheitsupdate z.B. nach „Mikroprozessor“. Die anderen Fragen kann ich nicht beantworten, aber es scheint ein langer Kampf um sicherere Prozessoren zu sein.
« Letzte Änderung: November 15, 2018, 23:11:24 von Florian »
_______
"If music be the food of love, play on!”
                         William Shakespeare
“We’re all going to be dead soon, and it really doesn’t matter anymore, so there’s zero pressure.”
Joe Mazzulla, Trainer der Boston Celtics über den Druck auf seinem Team.