Sicherheitslücke in Computerchips

Nochmal zum jetzigen aktuellen Problem.
Wir können nur Updates installieren und abwarten auf Schadensbegrenzung.
In wie weit das Problem gelöst wird können wir User nicht beurteilen.
Das können nur IT Spezialisten oder die Hersteller der Hardware in Zusammenarbeit mit den Entwicklern der Betriebssysteme.

Aries

Ironman

Das ist nur Panikmache um Hardware zu verkaufen.

Warum wiegelt AMD das Problem dann für ihre CPUs ab? Die könnten doch auch sagen: "Leute, alles unsicher! Kauft neu!"

Soviel mir bekannt, ist lediglich Intel betroffen, AMD und auch ARM eben nicht. Intel soll bei seinen CPU's einen Designfehler begangen haben und das eben schon seit vielen Jahren. Somit sollten Smartphones mit ARM und PC's mit AMD nicht betroffen sein, dieser Umstand mach das Patchen auch etwas komplizierter, weil man es nicht einfach über die gesamte Hardwarewelt aus kippen kann, sondern man schon die Abfrage der verwendeten CPU beachten muss.

Es kommen ja nicht alle Geräte in Frage.
Bloß es gibt da noch keine eindeutigen Aussagen.

Alle steigen jetzt auf AMD um und Intel ist pleite.

— geändert am 05.01.2018, 15:12:21

Mia, ich wiederhole mich: Keine Panik!
Zuerst muss jemand auf Deine Geräte kommen. Das düfte bei Deinem Satellitentelefon ungleich schwerer sein, als bei Deinem Androiden oder PC. Auch ist die Rechweite (potenzielle Anzahl von Opfern) bei einem Satellitentelefon sehr viel kleiner, was das Risiko dann eher gezielte Angriffe auf besonders interessante Personen beschränkt.

Ansonsten läuft gerade bei allen CPU-Herstellern die Analyse. Intel hat heute eine Liste für die CPUs der letzten 10 Jahre herausgegeben. Das bedeutet nicht, dass ältere CPUs nicht betroffen sind, sondern dass ältere noch nicht überprüft wurden. Je älter eine CPU, desto geringer ist ihr Verbreitungsgrad noch. Viele der CPUs brennen schon auf den Müllhalden in Afrika. Daher geht man beid er Analyse von neu nach alt.

Intel wird auch Updates bringen. Es lohnt sich daher ind en nächsten Tagen und Wochen auf der Intel-Website nach Updates Ausschau zu halten. Gleiches gilt für AMD, aber deren CPUs scheinen nur für einen Teil der möglichen Angriffsszenarien anfällig zu sein. Leider gibt AMD noch nicht ganz so detaillierte Infos raus.

ARM-CPUs sind in unserem Smart Devices, also alles vom TV-Gerät und Smartphones, Tablet bis zu NAS-Geräten und was sonst noch alles im Haushalt eine CPU hat. Hierzu gibt es auch noch keine richtig sortierte Aufstellung.

Wenn Du Sorge hast, halte Dich mit App-Updates und Neuinstallationen jetzt zurück. Allerdings hast Du doch ein Nexus und wenn das den Januar-Patch hast, ist Dein Risiko schon einmal kleiner als bei vielen anderen.

@Aries
Was ist denn, wenn ich mein Samsung Handy verschlüsselt habe und meinen PC mit BitLocker verschlüsselt habe?
Ist das da nicht um einiges sicherer vor einem Angriff durch Hacker?

Hier nochmal eine umfassende versierte Beschreibung des Problems (geklaut bei AH nebenan ) :

Dorstener Zeitung von heute.

— geändert am 05.01.2018, 17:41:42

Ironman

Auf meinem PC gibt es nix zu holen.

Du hast ein recht einfaches Gemüt und die eigentliche Problematik so gar nicht verstanden

Ironman

Was ist denn, wenn ich mein Samsung Handy verschlüsselt habe und meinen PC mit BitLocker verschlüsselt habe?
Ist das da nicht um einiges sicherer vor einem Angriff durch Hacker?

Die Verschlüsselung kannst Du Dir wie eine Wohnung vorstellen. Ohne Schüssel kommt man nicht rein. Damit erschwert man, von außen an die Daten auf dem Gerät heranzukommen.

Wird ein Handy mit Passwortschutz aber ohne Verschlüsselung gestohlen, muss der Dieb das Passwort kennen oder er schließt das Handy per USB an einen PC an, startet es in den Bootloader und kann dann per ADB und Fastboot die Daten auslesen. Ein Bastler könnte sogar den Speicherchip direkt auslesen.

Mit Verschlüsselung geht das zwar immer noch, aber die Daten liegen nicht im Klartext vor. Er braucht zusätzlich den Schlüssel und der ist wiederum mit einem Passwort geschützt.

Wenn man sich auf einem verschlüsselten Gerät mit dem richtigen Passwort anmeldet, liegen einem alle Daten unverschlüsselt vor. Also: Von außen verschlüsselt, von innen unverschlüsselt.

Ein Angreifer wird daher versuchen, dass der Besitzer des Handies ihn mit herein nimmt. Das geht am einfachsten per App. Also eine App bauen, die super interessant ist und warten, bis sie installiert wird. Bei dem Beispiel mit der Wohnung entspricht das dem Einbrecher, dem Du selbst die Tür öffnest und ihn herein lässt. Während Du abgelenkt bist, klaut er Dir deine Wertsachen.

Dann gibt es das nächste Problem: Das Sandbox-Prinzip von Android. Die Schadfunktion in der App kann nicht mehr als die App selbst. Daher muss die App mit möglichst vielen Rechten ausgestattet werden und diese müssen dem Benutzer auch noch plausibel für die App erscheinen.

Genau diese Schranke kann mit Meltdown und Spectre umgangen werden. Jede app, auch ohne Berechtigungen, auch wenn einer App die Berechtigung entzogen wurde, kann auf den Speicherinhalt zugreifen, und das an einer Stelle, die eigentlich der CPU bzw. dem Kernel vorbehalten ist (der sogenannte Ring 0)

Normalerweise sind Einbruchsversuche, ohne Spuren zu hinterlassen, schwer bis unmöglich weil alles mögliche protokolliert wird. Hacker manipulieren daher die Log-Dateien nach einem erfolgreichen Einbruch, so dass die Einträge der Schadsoftware gelöscht werden. Aber auch das ist nicht spurlos möglich. Plötzlich stimmen beispielsweise Zeitstempel in der Log-Datei und an der Log-Datei nicht mehr überein. (letzter Eintrag zum Beispiel um 11:36 Uhr, Datei aber um 11:40 Uhr zuletzt verändert => Widerspruch! Alarm!) Meltdown und Spectre nutzen sogenannte Seitenkanäle. Die werden von den Login-Algorithmen des Systems gar nicht erkannt. Deshalb der Begriff "Seitenkanal". Ein Angreifer braucht daher in den Logs gar keine Spuren verwischen. Es gibt keine.

Deshalb schützt die Verschlüsselung des Smart Devices bei diesen Sicherheitslücken überhaupt nicht. Aus dem gleichen Grund dürfte es auch Virenscanner schwer fallen, solche Angriffe zu erkennen. Sie müssen ja auch in ihrer Sandbox arbeiten, die nur sehr viele Türen (Berechtigungen) hat, aber sie müssten die Seitenkanäle überwachen, also eigentlich die gleiche Sicherheitslücke ausnutzen. Letzteres ist für sich schon wieder ein Sicherheitsrisiko. Dann tarnt die oben genannte super interessante App sich eben als Virenscanner.

— geändert am 05.01.2018, 18:17:35

@Aries
Danke sehr verständlich geschrieben!
Apple betrifft es ja auch aber haben schon reagiert und ein Update zur Verfügung gestellt.

Was ist mit einer virtuellen Maschine?
Oder mit einem Konto mit eingeschränkter Nutzung, also kein Administrator Konto?
Da kann man doch durch Remotecontrol auch schwer an Zielcomputer Daten ran kommen oder?

Ironman

Was ist mit einer virtuellen Maschine?

In einer VM ist das Risiko sogar noch höher. Man könnte an Daten der anderen VMs kommen.

Oder mit einem Konto mit eingeschränkter Nutzung, also kein Administrator Konto?

Spielt keine Rolle, weil die Angriffe mit jedem Konto möglich sind. Das macht die Sicherheitslücken ja so risikoreicht. Es ist keine Rechte-Ausweitung erforderlich.

Da kann man doch durch Remotecontrol auch schwer an Zielcomputer Daten ran kommen oder?

Für Spectre lässt sich auch ein Web-Browser verwenden. Für Chrome besteht eine Workaround. Aktivierte Site Isolation verhindert ungewollt auch Spectre, es folgen aber noch weitere Updates. Firefox hat ein Update angekündigt. Von Microsoft weiß ich noch nichts.

Apple hat mittlerweile konkrete Infos herausgegeben. Alle Systeme mit MacOS und iOS sind betroffen, jedoch gab es für bereits Teil-Patches in iOS (11.2), macOS (10.13.2) und tvOS (11.2). Weitere folgen.

— geändert am 05.01.2018, 21:18:41

Neue Geräte werden mit Sicherheit zeitnah Updates bekommen.
Aber was ist mit älteren Handys, Tablets und PCs?
Obwohl Win7 wurde heute auch mit Sicherheitsupdates versorgt.
Da hilft nur hoffen!

Ich habe gelesen, das es sich bei Intel um Produkte bis 1995 handelt.

@Aries wie ist es mit einem Live System zum Beispiel Windows 10 was ich von einem USB Stick starten kann oder Linux Live? Wie sicher ist das gegen Angriffe?

— geändert am 05.01.2018, 21:32:21

Ich empfinde momentan viel als Panikmache.
Die Lücke ist zwar gravierend, aber die meisten Viren und Malware werden ganz sicher viel einfacher arbeiten. Bisher hat es immer gereicht, leichtgläubige/dumme/nicht versierte Nutzer anzugreifen so ein Aufwand über diese Lücke garnicht erst nötig. Zip Dateien von angeblichen Mahnungen werden so bereitwillig geöffnet, wer braucht da so ne Lücke.

Also ich sehe für mich als Privaten User eher eine Bedrohung in 30% Performance Verlust (eher weniger Bock drauf dass dann hier alles langsamer wird) für irgendwas was in den letzten 20 Jahren niemandem geschadet hat und auch nicht groß Potential hat meine Computer zu attackieren.

Eher kritisch siehts natürlich für Firmen und Cloudanbieter aus wo sich das irgendwie lohnen könnte.

Ich brauche ja auch keinen Sicherheitsdienst vor meiner Wohnung, n Schloss an der Tür reicht aus.

Ironman

Neue Geräte werden mit Sicherheit zeitnah Updates bekommen.

Unter Android vermutlich vermutlich auch nicht alle unterhalb der Top-Serien.

Aber was ist mit älteren Handys, Tablets und PCs?

Die sind schon immer gearscht gewesen. Das ist ja, was ich unter Android kritisiere. War doch bezüglich Stagefright, Blueborn und KRACK nicht anders. Abgekündigte Systeme wie Blackberry und Windows Phone sind analog auch schon immer ungepatcht geblieben. Aber bei den Systemen wurde der Zeitpunkt jeweils vorher kommuniziert.

Obwohl Win7 wurde heute auch mit Sicherheitsupdates versorgt.

Win7 ist auch noch nicht vollständig aus dem Support.

Ich habe gelesen, das es sich bei Intel um Produkte bis 1995 handelt.

Mitte der 90er wurde die heute aktuelle CPU-Architektur geschaffen und damit die Angriffsfläche für Meltdown/Spectre geschaffen. Vielleicht sind auch andere, nicht so verbreitete CPUs betroffen. Vielleicht auch die ollen Motorolas, die Apple damals verbaut hat? Dafür interessiert nur kaum jemand noch.

@Aries wie ist es mit einem Live System zum Beispiel Windows 10 was ich von einem USB Stick starten kann oder Linux Live? Wie sicher ist das gegen Angriffe?

Bringt auch keine Sicherheit. Mit einer Ausnahme: Wenn das Live-System von einem Read-only-Medium gebootet wird, kann sich Schadsoftware nicht im System festsetzen und müsste bei jedem Neustart erneut eingeschleust werden.

Soweit sich mir die Situation darstellt, sind die Sicherheitslücken enorm gefährlich und da sie jetzt bekannt sind, dürfte das Risiko sehr bald sehr konkret werden. Aber zunächst muss eine Schadsoftware auf das jeweilige System kommen. Wer nicht alles von überall installiert, kann deshalb sein Risiko drastisch senken. Schon verfügbare und in Kürze kommende Updates senken das Risiko nochmals, aber eben nicht auf Null bringen. Dazu müssen neue Geräte gekauft werden, die CPUs haben, die es heute noch gar nicht gibt. Und die neuen CPUs dürfen dann keine heute noch nicht denkbare Angriffe erlauben, was praktisch nie ausgeschlossen ist.

— geändert am 05.01.2018, 21:48:42

Ich hoffe das mein Samsung S8 mit einem Update versorgt wird. Nutze zur Zeit die Beta von Oreo Android 8.

Auch wenn neue Prozessoren entwickelt werden, wird es wieder Schwächen geben die anders sind.

Es gibt KEINE 100%ige Sicherheit.
Das Wort Sicherheit kann man eigentlich aus der Computer Sprache verbannen.
Solange es Computer gibt gibt es Hacker die sich richtig gut auskennen.
Es wurden schon große Konzerne gehackt, aber das sind auch die Ziele.
Bei uns kleinen Fischen gibt es nix zu holen.
Deshalb ist ein Angriff unwahrscheinlich.

Das Leben ist lebensgefährlich!
Deshalb schnalle ich mich beim Autofahren aber trotzdem an und nutze ein Seil bei Gletschertouren.

Leider soll mit Sätzen wie "Es gibt KEINE 100%ige Sicherheit." in der IT oft begründet werden, warum man bestehende Sicherheitsvorkehrungen nicht nutzt oder Datenschutz nicht beachten braucht

Ironman

Das Wort Sicherheit kann man eigentlich aus der Computer Sprache verbannen.

Wenn Du es so siehst, kannst Du "Sicherheit" ganz aus deinem Sprachschatz verbannen.

Ironman

Bei uns kleinen Fischen gibt es nix zu holen.
Deshalb ist ein Angriff unwahrscheinlich.

Ein Trugschluß!
Es gibt zumindest Rechenleistung zu holen, um einen verteilten Angriff auf interessantere Systeme durchzuführen. diesbezüglich wird man nicht gezielt Opfer, sondern einfach zufällig, weil man sein System schlecht gesichert hat. Ich möchte nicht die Polizei vor der Tür haben, die mein Equipment mitnimmt, nur weil meine IP bei einem solchen Angriff beteiligt war. Es glaube niemand, das sei SciFi, nein das ist bereits passiert.

Von meinen Konten mögen auch nur Peanuts zu holen sein, aber die tun mir trotzdem verdammt weh, wenn sie weg sind.

Zudem trage ich Verantwortung für die Daten anderer, die auf meinen Geräten vorhanden sind. Ich habe wenig Lust, verklagt zu werden.

Künftige Szenarien wie Bonitäts- und Gesundheits-Scoring sind sind entweder schon Realität oder in Vorbereitung.

Alles Gründe, warum ich die Möglichkeiten nutze, die es gibt, mein System, meine Daten und die meiner Kontakte so gut wie aktuell möglich zu schützen. Schließlich schließe ich mein Auto und meine Wohnung auch ab, obweohl mir nch nie etwas gestohlen wurde.

Oder wurde mir mir vielleicht genau deshalb noch nichts gestohlen?

Ja der gesunde Menschenverstand ist immer noch die beste Sicherheit.
Klar wer will schon mit Absicht Opfer von Hackerangriffen werden?
Ich kann aber nur angegriffen werden, wenn ich online bin.
Da ich mit meinem Hauptrechner höchstens eine Stunde oder weniger online bin ist die Wahrscheinlichkeit geringer als wenn ich 10 Stunden und mehr am Tag online bin.
Zum surfen habe ich mein Tablet wo keine Daten drauf sind. Und nicht mal Emails abgerufen werden.
Auch keine Passwörter verwendet werden. Da würden die Hacker auf ein nackiges Windows 10 gucken. Das wäre dann uninteressant.

— geändert am 05.01.2018, 23:30:25

Ironman

Ich kann aber nur angegriffen werden, wenn ich online bin.
Da ich mit meinem Hauptrechner höchstens eine Stunde oder weniger online bin ist die Wahrscheinlichkeit geringer als wenn ich 10 Stunden und mehr am Tag online bin.

Statistisch gesehen vollkommen richtig!

Aber hast Du schon mal einen Server aufgesetzt?
Es vergehen meistens nur Minuten, bis die ersten Portscans ankommen!
Und bei Windows gab es bereits den Fall, dass ein System noch während der letzten Bootphase infiziert wurde.

Soviel zur statischen Wahrscheinlichkeit!

Bei IT dürfen wir nicht in Tagen oder Stunden rechnen, sondern müssen in Milli- und Nanosekunden rechnen.

Meine Fritzbox hat doch auch eine Hardwarefirewall die nur die Ports öffnet die ich erlaube.
Die Fritzbox zu knacken dürfte auch schwierig sein oder?

Mia

Deine Fritz box knacke ich dir in einer Minute, wenn ich bei dir bin

Jetzt wird's Intressant...

Du bist Eingeladen um den Beweis anzutreten. Du hast 60 Sek. Zeit...

— geändert am 06.01.2018, 00:21:53

Ohhh Mia...

so wird das doch nix
Du sollst das doch nicht kaputt machen...
So ist das wenn man etwas zu wörtlich nimmt...

Jetzt hab ich gedacht Du kommst mich besuchen...

— geändert am 06.01.2018, 00:34:10

Was soll eine Firewall ausrichten, wenn du der Malware per Download Einlass gewährt hast?

Außerdem ist in der Fritzbox keine Firewall, die Inhalte prüft. Du kannst nur Ports sperren bzw. freigeben und Filterlisten mit IPs und URLs/URIs führen. Und diese Listen sind zudem in der Länge stark beschnitten.

Mia

Deine Fritz box knacke ich dir in einer Minute, wenn ich bei dir bin

Du hast mir ja nicht mal deine Nummer gegeben.

Und willst aus meiner Fritzbox ein Versicherungsfall machen.

@Aries
Ich habe nachgeschaut Spectre und Meltdown konnte ich nicht finden.

— geändert am 06.01.2018, 01:19:35

Ironman

Ich habe nachgeschaut Spectre und Meltdown konnte ich nicht finden.

Muss man Dir denn alles sagen?
Das ist ein Router!
Spectre und Meltdown sind längst an Dein Smartphone und PC geroutet worden

Es gibt schon Tools um den PC zu testen.
Geht mit Powershell.
Oder CMD Eingabe.

Das in meinen Augen interessante ist ja, dass es kaum Stimmen gibt die sagen Spectre sei ein gewollter Backdoor. Alle reden von einem Bug. Sorry, aber wer die Chips gemacht hat, der kann nicht so blöd sein und nicht erkannt haben dass das ein offensichtlicher Backdoor ist. Man kann ihn zwar nicht Online ausnützen, aber Offline ist das ein herrlicher Backdoor. Ich glaube da ist noch nicht das letzte Wort gesprochen.
Und wieso sollte der Intel-Chef und Vorstandsvorsitzende Krzanich so schnell 80% seiner Aktien verkaufen sobald das bekannt wurde wenn es doch nur ein 'Bug' war? Fragen über Fragen .....

Honi soit qui mal y pense...

Es war nur eine Frage der Zeit, bis Verschwörungstheorien kommen.

Wenn es eine gewollte Backdoor wäre, warum wurden die Berichte dann nicht verhindert?

Verhindern kannst du das nicht, dann müsste ja ein National Security Letter vorab bestehen der allen Firmen vorschreibt, wenn Ihr den Backdoor findet dürft Ihr nichts sagen.

Das Project Zero Team macht nichts anderes als Exploits zu finden. Dass es also genau von denen gefunden wurde ist irgendwie nicht überraschend.

Ist halt nach wie vor immer noch die Frage, ob sie es tatsächlich JETZT erst gefunden haben, ob sie tatsächlich die ERSTEN waren und wenn nicht, wer die Lücken vorher schon gefunden und genutzt hat...

@Aries: Man kann sowas NIE verhindern Irgendjemand ist immer darauf aus, aus irgendeiner Neuigkeit Profit zu schlagen...das liegt in der Natur des Menschen Oder würdest du, wenn du etwas wüsstest, mit dem du Millionen ohne Aufwand verdienen könntest, den Mund halten? Ist halt immer die Frage, ob es sich für einen lohnt...es sind schon Leute für weitaus weniger um die Ecke gebracht worden

Dänu

Das in meinen Augen interessante ist ja, dass es kaum Stimmen gibt die sagen Spectre sei ein gewollter Backdoor. Alle reden von einem Bug. Sorry, aber wer die Chips gemacht hat, der kann nicht so blöd sein und nicht erkannt haben dass das ein offensichtlicher Backdoor ist. Man kann ihn zwar nicht Online ausnützen, aber Offline ist das ein herrlicher Backdoor. Ich glaube da ist noch nicht das letzte Wort gesprochen.

Es ist halt ein Erbe, welches man bisher mangels Geschwindigkeit der Prozessoren nicht ausnutzen konnte. Und wahrscheinlich auch eine bewusste Designentscheidung, die Intel aus Gründen der Performance traf.

Aber in Zukunft wird alles besser, denn unser Innenminister fordert jetzt mal flugs ein Gütesiegel für Prozessoren. Ist wahrscheinlich das gleiche, was schon auf seinen "Cyber-Anlagen" pappt.

Hier noch eine beeindruckende Grafik von Epic, was der Patch so an Leistung kostet: https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update

— geändert am 06.01.2018, 15:07:46

Handhabe es seit Jahren umgekehrt, also JS gezielt zu aktivieren. Aber auch nicht für jedes Bild/Video in überregionalen Tageszeitungen bspw.

Hallo!

Mia

Heißt jetzt aber doch, alle die kein Update bekommen oder keines bekommen KÖNNEN haben Pech gehabt??

Nicht unbedingt. Wie bei jeder Bedrohung gilt auch hier dass umsichtiges Verhalten schützen kann. Damit die Lücken ausgenutzt werden können muss erstmal Schadcode auf das System gelangen, oder man muss eine manipulierte Internetseite aufrufen. Letzteres ist eher möglich. Vor allem bei Joomla & Co. wenn die Betreiber die Standardeinstellungen gesetzt lassen, oder eben über manipulierte Werbeanzeigen. Und wenn man nicht alle Apps installiert die einem durch Werbung kredenzt werden dürfte man relativ sicher sein.

Gruß, René

Man muss das ganze auch nicht überbewerten!
Es gibt so viele Sicherheitslücken, von denen wir nix wissen.
Auch hier gilt.
Was ich nicht weiß macht mich nicht heiß.

Einfach aufpassen und Gehirn einschalten und so weiter machen wie vorher.
Die meisten Gefahren die im Internet lauern sind ja bekannt.

Wir können daran nix ändern.
Oder soll ich jetzt meine ganzen Computer und Handys wegwerfen?

Ironman

Es gibt so viele Sicherheitslücken, von denen wir nix wissen.

Und die sind m.E. gefährlicher. Denn um was wir nicht wissen können uns nicht schützen. Die gefährlichsten Gegener sind die die wir nicht als Gegner erkennen.

— geändert am 08.01.2018, 08:45:23

Abwarten und Tee trinken mehr geht im Moment nicht.
In einem halben Jahr redet davon keiner mehr.
Da gibt es vielleicht schon den nächsten Skandal.

Doch, es geht noch mehr. Bei der App-Auswahl und den App-Updates noch vorsichtiger und zurückhaltender sein.

Die Anwender in Asien müssen sich da schon mehr Gedanken machen. Da gehören Raubkopien ja zum Volkssport.

Wer jetzt Angst hat, darf keine Geräte die mit dem Internet verbunden sind betreiben.
Es wird von den Medien so hoch gespielt und verdienen tun da andere Leute dran die schon viel haben.

Immer das Kind mit dem Bade ausschütten!

Es gilt das gleiche, wie in allen Lebenslagen bei erhöhtem Risiko: wachsamer sein! Nicht einbuddeln!!!

@Ironman
Na, wenn es von den Medien so hochgespielt wird, dann kläre uns doch bitte über den wahren Sachverhalt auf. Warum genau hältst du das nicht für gefährlich? Aber bitte nicht wieder nur so alberne Plattheiten und Tautologien wie "es gibt ja noch weit Schlimmeres".

— geändert am 08.01.2018, 16:45:40

Was soll ich da aufklären?
Jeder der erwachsenen ist, weiß wie man sich im Internet mit und ohne Sicherheitslücke verhält.
Medien sind doch dafür bekannt alles zu übertreiben!

Naja, jeder liest es anders. Die Sicherheitslücke ist schon ziemlich dramatisch und nach ihrer Veröffentlichung besteht ein erhebliches Risiko für jedermann.

Nur leider kann man nicht mehr machen, als Updates umgehend einzuspielen und wenn die ausbleiben, wachsam sein und (wer es braucht) beten.

@Aries auch dieses Problem werden wir überstehen.
Denke doch nur an unser reales Leben!
Was gibt es da für Trick Betrüger, Enkeltrick, da fallen genügend Leute drauf rein.
Ob im normalen Leben oder im Internet, man muss immer wachsam sein und nicht wahllos mit seinen Daten rumschmeißen.
So wie wir jeden Tag brav arbeiten gehen, sitzen die Betrüger und Hacker den ganzen Tag am PC und machen nix anderes als sich Gedanken zu machen wo finde ich potentielle Opfer und wie komme ich an deren Geld.
Durch die Info werde ich vielleicht noch etwas vorsichtiger.
Aber bis jetzt habe ich alles richtig gemacht und so werde ich es auch weiter machen.
Solange es Computer gibt wird es immer wieder Vorfälle geben ob Software oder Hardware Sicherheitslücken.
Gesunde Vorsicht soll nicht in Angst ausarten!

— geändert am 08.01.2018, 18:01:05

Ja, aber vor dem Enkeltrick wird seit Jahrzehnt gewarnt und trotzdem fallen immer wieder Leute darauf rein. Das Ausnutzen dieser Sicherheitslücken wird sogar ein Fachmann nicht leicht erkennen. Wenn man das nun runterspielt und damit den Laien zu verstehen gibt, "Macht weiter wie bisher!", ist das fahrlässig.

Spielt die Updates ein, sobald sie vorliegen.
Kauft Euch Hardware, die sicher gegen die Lücken ist.
Lasst es Euch ruhig vom Verkäufer bestätigen. Wird er vermutlich nicht machen, aber dann kauft man nicht.
Schaut zweimal hin, welche Programm eund Apps aus welchen Quellen ihr ladet.
Fangt an, Fachseiten im Web zu lesen. Die sind für alle, nicht für Fachleute und nebenbei lernt man auch noch etwas.

Man kann den Diskurs ja einmal auf die fachliche Ebene zurückführen und sich folgende Links zu Gemüte führen: https://meltdownattack.com/meltdown.pdf https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

Die letzten Tage haben bei mir nämlich eher den Eindruck hinterlassen, dass ein Großteil der Medientätigen überhaupt keine Ahnung hat, was genau da eigentlich passiert, aber dafür umso lauter krakeelt. In der FAZ hat man sich ja nicht einmal entblödet den Diesel-Skandal als Vergleich heranzuziehen.

Der Heise-Verlag hat interessante FAQ zu Meltdown und Spectre zusammengestellt.