Spectre und Meltdown: Security-Fixes für Server und auch Anwender notwendig!
Die zum neuen Jahr bekannt geworden Sicherheitslücken „Meltdown“ und „Spectre“ haben weltweit eingeschlagen wie eine Bombe. Ihre besondere Brisanz: Sie finden sich direkt in der Prozessorarchitektur wieder, also in der in Computern verbauten Hardware. Damit ist zunächst einmal jedes Betriebssystem anfällig, egal ob Windows, Apple oder Linux. Egal ob Server im Internet oder Privatrechner, auf denen normale Anwender mit dem Browser unterwegs sind: Die Angriffsszenarien sind vielfältig und die Ausbeute eines Angriffs erschreckend.
Schon über ein normales Surfen im Internet mit bislang aktuellen Browserversionen, konnten die Lücken ausgenutzt werden, um darüber lokale Daten, Dateien und Zugangsdaten abzugreifen.
Quasi alles muss gepatcht werden
Die Hintergründe zu Spectre und Meltdown auszuführen würde den Rahmen dieses Blogs sprengen, das Internet ist voll mit unterschiedlich qualifizierten Beiträgen zu dem Thema. Fachlich versierte Ausführungen finden sich unter:
- https://www.heise.de/newsticker/meldung/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html
- https://www.golem.de/news/spectre-und-meltdown-browserhersteller-patchen-gegen-sidechannel-angriff-1801-131972.html
- https://meltdownattack.com/
Es ist derzeit völlig unklar, ob diese Sicherheitslücken in verschiedenen Kreisen vielleicht schon länger bekannt sind und vielleicht auch schon länger aktiv ausgenutzt wurden.
Klar ist jedoch, dass rund um die Welt derzeit helle Aufregung herrscht, um auf verschiedensten Wegen die Sicherheitslücken der Prozessoren zu schließen. Betriebssysteme wie Windows, Apple oder Linux haben bereits Sicherheitsupdates herausgebracht oder arbeiten aktiv daran.
Wichtig für Anwender: Browser-Updates!
Wir können jedem Anwender nur dringend empfehlen, die eigenen Betriebssysteme und auch Anwendungen wie Browser stets auf dem neuesten Stand zu halten und gerade jetzt nach neuen Updates zu schauen.
mailbox.org spielt bereits Sicherheitspatches ein
Auch wir von mailbox.org sind bereits kräftig dabei, unsere Server mit neuen Softwareversionen zu versorgen. Die verschiedenen Linux-Distributionen haben in den letzten Stunden entsprechende Patches veröffentlicht, die wir nun aktiv überall einspielen. Keine leichte Aufgabe bei einigen Hundert Servern…
Das werden auch nicht die letzten Patches sein, denn Meltdown und Spectre werden weiter Kreise ziehen und weitere Fixes benötigen. Unseren Nutzer können wir nur versichern: Wir sind dran und spielen Updates ein, sobald sie verfügbar sind und so schnell es geht.