Meltdown und Spectre: Microsofts Sicherheitsupdate hat so seine Tücken.

Die Sicherheitslücken Meltdown und Spectre dürften nicht nur die Prozessor-Hersteller ins Mark getroffen haben. Manch paranoider Zeitgenosse sieht sich ebenfalls in seinen Verschwörungstheorien bestätigt. Auf SPON konnte man schon kurz nach bekannt werden der Lücken lesen, das die Rechner nach den zu erwartenden Update um bis zu 30 % langsamer werden. Okay, kaum fällt eine Flocke vom Himmel, haben wir medial schon ein Schneechaos. Man sollte aber die Sache nüchtern betrachten, was ich auch getan habe.

Security Update KB 4056892

Eine wirklich gute Analyse zu den beiden Sicherheitslücken Meltdown und Spectre gibt es mal wieder auf Heise.de. Diese beiden Sicherheitslücken sollte man tunlichst nicht auf die leichte Schulter nehmen. Auch wenn es noch keine bekannte Ausnutzung dieser Lücken gibt, haben sie es richtig in sich. Vor allem die Nachrichten aus der Horch und Guck Anstalt NSA sind nicht gerade vertrauenswürdig (Niemand hat die Absicht eine Mauer zu bauen). Offizielles Statement von Rob Joyce, Sicherheitskoordinator im Weißen Haus:

Die NSA wusste nichts von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten.

Okay, soweit die Verschwörungstheorie. Fakt ist, das Microsoft schon am 3. Januar ein entsprechendes Sicherheitsupdate für Windows 10 Version 1709 veröffentlicht hat. Wohl so ziemlich zeitgleich mit der Veröffentlichung der beiden Sicherheitslücken. Am Samstag hat sich dann auch schön brav der Windows Client im Testlab dieses Update gezogen.

Nach dem Reboot konnte ich im Testlabor keine Performance-Einbußen feststellen. Allerdings klagen einige Anwender mit AMD-Prozessoren (AMD Athlon 64 X2), dass ihre Windowssysteme nach dem Update unbrauchbar geworden sind (um es mal charmant zu formulieren). Was die nächste paranoide Gruppe auf den Plan bringt, die automatische Update-Funktion sofort wieder abzustellen.

Ubuntu Security Updates

Bei Ubuntu ist man über den vorgezogenen Veröffentlichungstermin etwas verschnupft. Dustin Kirkland schrieb in Insights Ubuntu:

I say “unfortunately”, in part because there was a coordinated release date of January 9, 2018, agreed upon by essentially every operating system, hardware, and cloud vendor in the world.

Offensichtlich sollte diese Sicherheitslücke am Dienstag, dem offiziellen Microsoft Patchday, bekannt gegeben werden. Warum man sich hier nicht an die Absprachen gehalten hat, bleibt erst mal offen. Unter Ubuntu ist bis jetzt erst ein Update für Firefox [Stand 7. Januar 2017] veröffentlicht worden. Der Fahrplan für Ubuntu kann hier nachgelesen werden:

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown?_ga=2.70217040.1320259258.1515339804-871490173.1509808562

Wie geht es weiter?

Auch wenn die folgen für die komplette Branche auf den ersten Blick dramatische Auswirkungen haben könnten, – an dieser Stelle muss ich den Konjunktiv einbauen – ist purer Aktionismus der falsche Weg. Insbesondere Browser und alle Anwendungen, welche sensible Daten wie Passwörter verarbeiten, sind durch die Sicherheitslücken Meltdown und Spectre betroffen. Das sind in erster Linie Browser und Anwendungen die Passwörter speichern. Für die wichtigsten Browser, wie Mozilla Firefox, Microsoft Internet Explorer und Edge gibt es schon, bzw. wird es relativ schnell Updates geben. Bei Google Chrome sollte man in jedem Fall die „#enable-site-per-process“ Funktion aktivieren.

In jedem Fall sollte man sich auf der Seite seines Motherboard Herstellers informieren, ob dieser hier entsprechende BIOS-Updates in den nächsten Wochen und Monaten anbietet. Für mein MSI B85 G41 PC Mate Board gab es mit Stand Veröffentlichung dieses Artikels noch kein BIOS-Update. Für die Motherboards, die über entsprechendes BIOS-Update verfügen, gilt in jedem Fall einspielen bzw. lassen.

Auch wenn die Leistung bei manchem älteren System etwas in die Knie geht und bei dem einen oder anderen System sich unschöne Nebenwirkungen zeigen, gilt auch hier die Devise updaten. Bei kritischen Systemen sollte man aber in jedem Fall vorher eine komplette Systemsicherung durchführen, damit ein Rollback gewährleistet wird. Spontane Neustarts konnte ich bei meinem Intel(R) Core(TM) i7-4770 Hashwell nicht feststellen. Ebenfalls konnte ich keine Geschwindigkeitseinbußen bemerken, was auch durch das fortgeschrittene Alter des Autors zu erklären wäre.

Was genau hinter den Prozessor-Lücken Meltdown und Spectre steckt, wird in dem folgenden Video erörtert:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.