Meltdown & Spectre

Meltdown und Spectre machen derzeit die Runde durch die Nachrichten und sorgen für (größtenteils berechtigte) Verunsicherung. Fast alle Hardware am Markt – sei es Server oder Smartphones – ist irgendwie betroffen, aber nicht gleichermaßen:

Meltdown

Meltdown ist ein Angriff, der nur Intel-CPUs betrifft (d.h. ca. 90% aller Server, PCs, und Laptops; aber fast keine Smartphones), und relativ einfach ausgenutzt werden kann. Er ist zum Glück auch relativ einfach zu beheben (wenn auch nicht ohne Nebenwirkungen – die Prozessoren werden 5-20% langsamer), und Patches seitens Apple, Microsoft und Linux sind entweder schon veröffentlicht, oder für diese Woche angekündigt.

Spectre

Spectre ist ein Sammelbegriff für zwei verschiedene Lücken und betrifft alle modernen Computer auf dem Markt, inklusive vielen Smartphones, in verschieden starken Ausprägungen, beide Lücken sind aber relativ schwer auszunutzen. Sie sind allerdings auch schwer zu vermeiden, und bisher gibt es keine Patches.

Ausnutzbarkeit

Wichtig hierbei ist, dass die Sicherheitslücken nur lokal ausgenutzt werden können – ein Angreifer muss bereits Zugriff auf das System haben und Schadcode ausführen können, um (über eine oder mehrere Lücken) Zugriff aufs System zu erhalten. Besonders betroffen sind Cloud-Systeme und Virtual Server: Diese lassen verschiedene Kunden Programme am gleichen Server ausführen, und mit Spectre/Meltdown kann ein Kunde Daten von anderen Kunden stehlen. Ebenfalls betroffen sind Webbrowser, da mit Javascript beliebige Webseiten Spectre/Meltdown ausnutzen können.

Relevanz für TAO

TAO hostet Webseiten und Services ausschließlich auf dedizierter Hardware, wir verwenden weder Cloud-Systeme noch andere Shared Hoster. Entsprechend besteht kein Risiko, dass Kundendaten durch diese Angriffe gestohlen wurden. Zusätzlich läuft ein Teil unserer Infrastruktur auf AMD-Prozessoren, die gegen Meltdown nicht und gegen Spectre nur sehr eingeschränkt anfällig sind. Der Anteil wird sich in Zukunft noch weiter erhöhen.

Wir werden selbstverständlich trotzdem unsere Systeme patchen, soweit es möglich ist – Spectre wird uns noch länger begleiten, und Patches dafür werden erst über die nächsten Wochen verteilt erscheinen. Die Patches für Meltdown werden aber schrittweise diese Woche ausgerollt, und bis Freitag auf allen Servern installiert sein.