Technik

Überprüfen Sie diese Liste, um zu sehen, ob Sie weiterhin gefährdet sind Meltdown und Spectre

Überprüfen Sie diese Liste, um zu sehen, ob Sie weiterhin gefährdet sind
 Meltdown und Spectre

Sicherheitsforscher aufgedeckt katastrophale Mängel in Prozessoren, die diese Woche von Intel und anderen Firmen hergestellt werden. Die Sicherheitslücken, die von Googles Project Zero und Spitznamen Meltdown und Spectre, können dazu führen, dass Daten aus dem Kernel-Speicher auslaufen – was wirklich nicht ideal ist, da der Kernel für Betriebssysteme von zentraler Bedeutung ist und eine Reihe sensibler Prozesse abwickelt. Intel sagt, dass es arbeitet, um alle Prozessoren zu aktualisieren, die es in den letzten Jahren eingeführt hat. “Am Ende der nächsten Woche erwartet Intel, Updates für mehr als 90 Prozent der Prozessorprodukte, die in den letzten fünf Jahren eingeführt wurden, herausgegeben zu haben”, sagte das Unternehmen in einem Erklärung heute. Unglücklicherweise beeinflussen Meltdown und Spectre eine Tonne verschiedener Produkte – Cloud-Dienste, Computer, Telefone und Browser. Glücklicherweise müssen Verbraucher in vielen Fällen nicht viel tun, um ihre Geräte und Dienste zu sichern. Sie müssen nur nach Updates Ausschau halten und sie installieren, sobald sie verfügbar sind. In einigen Fällen haben Sie möglicherweise einfach kein Glück. Betriebssysteme Mac OS Apfel sagte auf seiner Supportseite dass es die Meltdown-Schwachstelle in seinem macOS High Sierra 10.13.2-Update vom Dezember 2017 gemildert hat und in Kürze ein Update veröffentlichen wird, um Spectre anzusprechen. Das Unternehmen sagte, es werde “weitere Abschwächungen für diese Probleme entwickeln und testen”, die in späteren Updates veröffentlicht werden. Dies Apple Sicherheitsupdate scheint zu bestätigen, dass die Probleme in High Sierra, Sierra und El Capitan behoben sind. Windows Normalerweise veröffentlicht Microsoft seine Sicherheitsupdates am Patch Tuesday (der nächste Woche erscheint), hat aber jetzt einige Notfall-Patches veröffentlicht. “Microsoft hat keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeiten bereits zum Angriff auf Kunden verwendet wurden”, sagte das Unternehmen in einem Sicherheitshinweis. “Microsoft arbeitet weiterhin eng mit Industriepartnern wie Chipherstellern, Hardware-OEMs und App-Anbietern zusammen, um Kunden zu schützen. Um alle verfügbaren Schutzmechanismen zu erhalten, sind Hardware- / Firmware- und Software-Updates erforderlich. ” Microsoft sagt Windows 7 Service Pack 1, Windows 8.1 und Windows 10 alle Updates (die Update für Windows 10 ist hier ). Die meisten Surface-Benutzer erhalten automatische Updates und Informationen zu diesen Updates finden Sie hier . Leider benötigen Benutzer, die Windows auf Computern ausführen, die nicht von der Firma hergestellt werden, auch ein Firmware-Update, und die Freigabe dieser hängt vom Hersteller ab. Microsoft empfiehlt, sich an den Gerätehersteller zu wenden für Informationen, die … viel Glück, denke ich. Außerdem gibt es im Microsoft-Update-Prozess eine weitere merkwürdige Falte: Einige Antiviren-Software könnte sich mit den Updates herumschlagen. “Microsoft bietet die Windows-Sicherheitsupdates, die am 3. Januar 2018 veröffentlicht wurden, nur für Geräte an, auf denen Antiviren-Software von Partnern läuft, die bestätigt haben, dass ihre Software mit dem Januar 2018 Windows-Betriebssystem-Sicherheitsupdate kompatibel ist.” Microsoft erklärte . “Wenn Ihnen das Sicherheitsupdate nicht angeboten wurde, führen Sie möglicherweise eine inkompatible Antivirensoftware aus, und Sie sollten sich an Ihren Softwareanbieter wenden.” Sicherheitsarchitekt Kevin Beaumont leitet eine hilfreiche Tabelle Das zeigt an, welche Antiviren-Anbieter mit dem Microsoft-Update kompatibel sind. Google Chrome OS Um gegen Meltdown und Spectre geschützt zu sein, benötigen Sie Chrome OS 63, das im Dezember 2017 auf den Markt kam. Einige ältere Geräte werden bald Patches erhalten, während andere überhaupt nicht gepatcht werden. Sie können Überprüfen Sie Ihr spezifisches Gerät hier (Achten Sie auf das Ende des Lebens oder EoL, in der Spalte für die automatische Aktualisierung oder in der Spalte “KPTI eventuell?” – das bedeutet, dass Ihr Gerät wahrscheinlich keinen Patch erhält). Ubuntu Es gibt noch keine Patches für Ubuntu, aber diese sind demnächst . “Das ursprünglich koordinierte Veröffentlichungsdatum war für den 9. Januar geplant, und wir sind auf dieses Datum zur Freigabe von Fixes zugegangen. Aufgrund der frühen Offenlegung versuchen wir, die Veröffentlichung zu beschleunigen, aber wir haben noch keine frühere ETA, wenn die Updates veröffentlicht werden. Wir werden Ubuntu Security Notices veröffentlichen, sobald die Updates verfügbar sind. ” Sagte Ubuntu . Mobiles Betriebssystem iOS und watchOS Apple sagte, dass sein iOS 11.2-Update vom Dezember 2017 die Meltdown-Sicherheitslücke mildert, also aktualisieren Sie Ihr Gerät, falls Sie es nicht schon getan haben. Apples tvOS 11.2 enthielt auch einen Meltdown-Patch. Das Unternehmen sagte, dass “Apple Watch nicht von Meltdown betroffen ist”, daher ist kein Patch für watchOS erforderlich. Updates für Spectre sollen folgen, warnte das Unternehmen und warnte Nutzer davor, Apps aus unbekannten Quellen herunterzuladen. “Da die Nutzung vieler dieser Probleme eine schädliche Anwendung auf Ihrem Mac oder iOS-Gerät erfordert, empfehlen wir, Software nur von vertrauenswürdigen Quellen wie dem App Store herunterzuladen”, so Apple. Android “Auf der Android-Plattform hat sich die Nutzung auf den meisten Android-Geräten als schwierig und eingeschränkt erwiesen”, Google sagte . Das Unternehmen hat eine patch für Hersteller von Android-Handys im Dezember 2017, aber der Android-Sicherheitsaktualisierungsprozess kann notorisch langsam sein, da Hersteller alle ihre eigenen Update-Zeitpläne haben und einige alte Android-Geräte möglicherweise überhaupt keine Updates erhalten. Ältere Android-Geräte, die seit einiger Zeit nicht mehr aktualisiert wurden, sind jedoch wahrscheinlich anfällig für eine Vielzahl anderer Fehler. Sie werden wahrscheinlich nicht mit einem Meltdown- oder Spectre-Exploit angegriffen, wenn ein Angreifer leicht eine weniger komplexe Methode wählen könnte. Android-Nutzer mit Pixel- oder Nexus-Geräten werden laut Google irgendwann in diesem Monat ihre Patches bekommen. Nexus-Benutzer müssen das Update akzeptieren. Pixelbenutzer erhalten es automatisch, müssen aber ihre Geräte neu starten, damit das Update abgeschlossen werden kann. “Wir hatten keine Berichte über aktive Kundenausbeutung oder Missbrauch dieser neu gemeldeten Probleme”, Google notiert . Browser Chrom Chrome 64 wird voraussichtlich am 23. Januar veröffentlicht und enthält Schutz vor Meltdown- und Spectre-Exploits. In der Zwischenzeit verfügt Chrome über ein optionales Feature namens Site-Isolierung, das Schutz bieten kann, aber auch Leistungsprobleme verursachen kann, insbesondere in Chrome unter Android. Bei der Site-Isolierung werden Websites in verschiedene Prozesse unterteilt, wodurch es für nicht vertrauenswürdige Websites erschwert wird, Informationen von Ihren Konten auf anderen Websites abzurufen oder zu stehlen. laut Google . “Wenn die Website-Isolierung aktiviert ist, werden die Daten, die spekulativen Seitenkanalangriffen ausgesetzt sind, reduziert, da Chrome Inhalte für jede offene Website in einem separaten Prozess rendert” Google erklärte . Wenn Sie Probleme mit der Handelsperformance für mehr Sicherheit haben, können Sie Aktivieren Sie die Standortisolierung hier . Safari Ein Update für Safari ist noch nicht eingetroffen, aber Apple versprochen Eine, die gegen Spectre schützt, wird “in den kommenden Tagen” sowohl für die MacOS- als auch für die iOS-Version des Browsers landen. Wie andere Unternehmen auch behobene Leistungsbedenken Im Zusammenhang mit Meltdown- und Spectre-Updates war Apple optimistisch und sagte, dass aktuelle Tests zeigen, dass das bevorstehende Update für Safari keine messbaren Auswirkungen auf die Speedometer- und ARES-6-Tests und einen Einfluss von weniger als 2,5 Prozent auf den JetStream-Benchmark haben wird. ” Feuerfuchs Mozilla rollte aus Firefox 57 im November 2017, das enthält, was das Unternehmen eine “teilweise, kurzfristige Minderung” für die Schwachstellen nennt. “Das volle Ausmaß dieser Angriffsklasse wird noch untersucht, und wir arbeiten mit Sicherheitsforschern und anderen Browseranbietern zusammen, um die Bedrohung und die Fehlerbehebungen vollständig zu verstehen”, schrieb der Softwareentwickler Luke Wagner von Mozilla in einem Artikel Blogeintrag . “Längerfristig haben wir begonnen, mit Techniken zu experimentieren, um das Informationsleck näher an die Quelle zu bringen.” Microsoft Edge und Internet Explorer Updates sind verfügbar für Edge und Internet Explorer 11. “Wir ändern das Verhalten unterstützter Versionen von Microsoft Edge und Internet Explorer 11, um die Fähigkeit zu verringern, Speicher durch diese neue Klasse von Side-Channel-Angriffen erfolgreich zu lesen”, schrieb Edge-Projektleiter John Hazen Blogeintrag . “Wir werden die Auswirkungen der heute veröffentlichten CPU-Schwachstellen weiter untersuchen und in künftigen Service-Releases zusätzliche Maßnahmen ergreifen.” Cloud-Services Dies ist, wo Zeug mit Meltdown und Spectre wirklich unordentlich wird – aber auch wo Verbraucher die geringste Auswirkung sehen werden. Amazon Web Services Die meisten AWS-Instanzen sind bereits gesichert, sagte Amazon in einem Security Bulletin. Allerdings müssen Kunden Maßnahmen ergreifen, um ihre Daten zu sichern. “Während die Updates von AWS die zugrunde liegende Infrastruktur schützen, müssen Kunden, um vollständig gegen diese Probleme geschützt zu sein, auch ihre Instanzbetriebssysteme patchen.” Amazon erklärte . Microsoft Azure Wie AWS wurde der Großteil der Azure-Infrastruktur bereits aktualisiert, sagte Microsoft. “Einige Aspekte von Azure werden noch aktualisiert und erfordern einen Neustart der Kunden-VMs, damit das Sicherheitsupdate wirksam wird. Viele von Ihnen haben in den letzten Wochen eine geplante Wartung von Azure erhalten und Ihre VMs bereits neu gestartet, um den Fix zu übernehmen. Es sind keine weiteren Maßnahmen von Ihnen erforderlich. ” Microsoft hinzugefügt . Google Cloud Platform Einige Google Cloud-Produkte sind bereits gesichert, während andere Kunden vor allem Maßnahmen ergreifen müssen Google Compute Engine , Google Kubernetes-Engine , Google Cloud-Datenfluss , und Google Cloud-Dataproc . Update, 19:37 Uhr: Apple hat Patches für macOS, iOS und tvOS herausgegeben. Kein Patch wird für watchOS benötigt, sagte das Unternehmen. Laut Apple wird es in Kürze ein Update geben, das potentielle Expected-Exploits in Safari sowohl für Mac OS als auch für iOS adressieren wird. Suchen Sie nach Patch-Informationen für einen Service oder ein Gerät, das nicht oben aufgeführt ist? Lassen Sie uns in den Kommentaren wissen oder senden Sie uns eine E-Mail und wir werden uns darum kümmern.

Post Comment