TEILEN

Die Sicherheitslücke in Computerprozessoren lässt viele Nutzer um ihre Daten bangen. Sie betrifft Computer, Smartphones und Tablets und gehört zu einer der weitreichendsten, die bisher bekannt wurden.

Bevor wir jetzt wieder “alle sterben” und instant unsere Daten quasi “automatisch” mit dem gesamten Internet geteilt werden, hier die Lösung für all unsere Probleme: Zieht Euch das neue Windows-Update und alles ist in Butter. Für uns Privatanwender und unsere heimischen Rechner/Daten hält sich der Schaden in Grenzen. Falls Ihr trotzdem Bock habt, dem allgemeinen Trend zu folgen und in eine extreme Panik zu verfallen, werden alle Eure Fragen im T-Online-Artikel beantwortet…

Quelle: T-Online.de

17 KOMMENTARE

    • Da die Updates aber wohl flächendecken ausgerollt werden, dürften die Performance-Einbußen auch die anderen treffen….

      • Und es hat sich bewahrheitet: Durch das auf die Schnelle zusammengebastelte Update von Microsoft werden manche AMD-Systeme deutlich ausgebremst: In einem von mir “betreuten” Computer war der Verlust 100%: nach dem Einspielen des Updates konnte Windows 7 nicht mehr gestartet werden…. ein Leistungsverlust von “30-39%” wäre auf diesem Büro-PC wohl gar nicht aufgefallen 😀
        Bei heise & co melden auch andere massive Probleme mit AMD-Rechnern, nachdem das Update von MS eingespielt wurde..

  1. Übrigens für alle die etwas mehr in der Materie Prozessorarchitektur stecken … der Meltdown und vor allem auch der Spectre Angriff sind so unfassbar clever, mir ist fast die Kinnlade runtergefallen. Auf sowas muss man erstmal kommen – ja, auch wenn damit leider Unsinn getrieben werden kann, schwingt hier etwas Respekt meinerseits mit.

    Eine möglichst weit runtergebrochene Erläuterung findet sich hier:
    https://www.thomaschristlieb.de/meltdown-eine-erklaerung-fuer-den-laien-oder-lesefaulen/

    Achso und wie Steve sagte:
    der Angriff ist potentiell seit 1995 möglich, seitdem Intel die sog. “out of order executions” erstmals verwendet hat. Wenns die CIA also nicht sowieso schon seit Jahren weiß und missbraucht, dann fängt das jetzt auch keiner mehr an. Der Angriff ist auf Privatanwender so kompliziert auszuführen, dass es einfacher ist eure Adresse rauszufinden, einzubrechen, euer Windows Passwort zu klauen und sich die Daten einfach im Klartext runterzuladen …

    Kurz gesagt: keine Panik auf der Titanic 😀

    Beste Grüße

    • Spectre ist schwerer anzuwenden, soweit korrekt. Meltdown kann theoretisch jeder mit nen paar Zeilen JavaScript im Browser ausführen. Das kriegt auch das schlimmste Script Kiddie hin.

      • Das aber so anzuwenden, um damit an wirklich interessante Daten ranzukommen bzw. diese auch entsprechend auszuwerten, ist als Script Kiddie aber nicht ganz so einfach.

        Ist zu mindestens meine Einschätzung dazu – ich will mich da um Gottes Willen nicht als Experte aufspielen.

    • Abgesehen davon ist der “Bug” natürlich gravierend – und vor allem für vertrauliche Daten in der Wirtschaft/Politik interessant/relevant. Das wollte ich nicht sinnlos Kleinreden.

      Da hier außerdem eine elementare Mechanik moderner Prozessorarchitekturen missbraucht wird, ist es auch nicht ganz so einfach, das einfach “rauszupatchen”, ohne dabei einen Verlust an Performance zu haben. Das sind im Moment alles nur “Notnagellösungen”, die nicht den eigentlichen Fehler beheben, sondern nur einen Workaround machen (bei Linux ist der Plan, dass die Kernel Pages aus der MMU geflushed werden… – das ist natürlich nicht sehr effektiv und bremst die Performance).

      Über kurz oder lang müssen da die CPU Hersteller ran, damit das Problem auch ohne großartigen Performanceverlust behoben werden kann.

    • Was genau ist daran cleverer als sonstige typische Attacken, welche durch Mainpulationen an fremde Daten kommen? Der exploit besteht im Grundbprinzip aus einem ganz simplen assembler move.
      Memory overflow exploits gibt es wie Sand am Meer. Damit kann man immer mal wieder Späße treiben, wie unbemerkt via Javascript cmd-Programme installieren, ausführen, löschen.
      Nichts anderes ist das hier, mit dem Unterschied, dass man hier maximal fremde Daten auslesen kann. Die einem nichts bringen, wenn man nicht gezielt nach etwas ganz bestimmtem sucht.

      • Ich bin vielleicht nicht tief genug drinne, mag sein – ich kenne mich nicht wirklich viel mit hacks usw. aus. Aber alleine die Idee, die Branch Prediction zuerst gezielt wie ein Hündchen zu trainieren, um sie dann dafür zu missbrauchen, meinen schadcode zwingend als out of order execution auszuführen, zählt für mich halt unter clever. Wenn die Idee nicht neu ist, dann hab ich’s halt bisher nicht gewusst 🙂

        Dass damit natürlich nur scheiße getrieben wird weiß ich selber . ..

  2. “Windows Update und alles ist in Butter”

    Sorry, aber das ist eine Fehlinformation. Das Update fixt einen von zwei kritischen Bugs, nämlich Meltdown. Und das bei einer geschätzten Leistungseinbusse von ca. 30% in manchen Bereichen. Vorteil: Meltdown betrifft nur Intel CPUs, so wie es aussieht.

    Spectre ist ein Bug in allen modernen CPUs, der, so wie es aussieht, nicht zu beheben ist. Und damit logischerweise weitaus gefährlicher.

    Die Welt geht dabei natürlich nicht unter, aber man darf die Bedeutung dieser beiden Bugs auf keinen Fall unterschätzen. Wenn die entsprechenden Ganoven Zugriff auf die durch selbige Bugs freigelegten Bereiche Erlangen, kannst du deinen sensiblen Daten gerade noch beim verschwinden zuwinken.

    https://www.theguardian.com/technology/2018/jan/04/meltdown-spectre-computer-processor-intel-security-flaws-explainer

  3. Kompatible Antivirus-Produkte müssen den folgenden Registry-Key setzen, damit das Update ausgeliefert wird.

    Key=”HKEY_LOCAL_MACHINE”
    Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”
    Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
    Type=”REG_DWORD”

    Nur als kleine Zusatzinfo, sonst kommt der Patch noch nicht soweit ich weiß.

    Gibt wohl leichte Performance einbußen, aber beim Gaming ist es wohl erstmal nicht sehr gravierend.

    • Zusatz: Das sollte man natürlich nicht per Hand eintragen! Das macht der Virenscanner dann automatisch wenn dieser “kompatibel” gepatcht wird!

  4. Find ich sehr toll, dass du auch über Sowas berichtest. Du bist ja eigentlich kein Technikblog. Aber find ich gut, dass du hier, wegen des großen Sicherheitsfehlers, eine Ausnahme gemacht hast.
    Das ist für deine Community. 🙂

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here