Intel, Amazon, Microsoft und andere nehmen Stellung zu den Auswirkungen der massiven Spectre- und Meltdown-Schwachstellen, die Computer, Server und mobile Geräte weltweit betreffen.
Die beiden Schwachstellen, Spectre und Meltdown, sind weitreichend und beeinflussen eine Vielzahl von Mikroprozessoren, die in den letzten zehn Jahren in Computern und mobilen Geräten eingesetzt wurden, einschließlich derer mit Android, Chrome, iOS, Linux, macOS und Windows. Während Meltdown nur Intel-Prozessoren betrifft, sind bei Spectre Chips von Intel, AMD, ARM und anderen Herstellern betroffen.
So reagieren Unternehmen auf die Offenlegung der Schwachstellen:
Intel:
Alle Intel-Prozessoren, die seit 1995 veröffentlicht wurden, sind von Meltdown betroffen, so die Forscher. Das Unternehmen teilte am Mittwoch mit, dass OEMs relevante Intel-Firmware-Updates veröffentlichen werden, um das Problem zu beheben. "Erkundigen Sie sich bei Ihrem Betriebssystemhersteller oder Systemhersteller und wenden Sie alle verfügbaren Updates an, sobald diese verfügbar sind", sagte das Unternehmen in einer Stellungnahme.
Microsoft:
Microsoft gab bekannt, dass es vor dem Dienstags-Sicherheitsupdate für die kommende Woche ein Out-of-Band-Update für Windows anbieten wird. "Microsoft hat mehrere Updates veröffentlicht, um diese Sicherheitsanfälligkeiten zu verringern. Wir haben auch Maßnahmen ergriffen, um unsere Cloud-Services zu sichern ", sagte das Unternehmen in einer Erklärung in seinem Security TechCenter.
Linux:
Linux-Sicherheitspatches, die vor Spectre- und Meltdown-Exploits schützen, wurden letzte Woche angestoßen. Thomas Gleixner, ein Linux-Kernel-Entwickler, schrieb letzten Monat Informationen über Isolationspatches namens KAISER (Kernel Address Isolation, um Seitenkanäle effizient zu entfernen).
ARM
Der Mobile-Chip-Designer ARM sagte, dass die meisten vom Unternehmen entwickelten Prozessoren nicht von Spectre betroffen sind. Zu diesen Chips gehören: Cortex-A75, Cortex-A73, Cortex-A72, Cortex-A57, Cortex-A17 und Cortex-A9.
Google
Google erklärte, dass Android-Geräte mit dem neuesten Sicherheitsupdate (veröffentlicht am 3. Januar) geschützt sind. Google Chrome OS-Versionen vor 63 werden jedoch nicht gepatcht. Google fügte daher hinzu: "Chrome 64, das am 23. Januar veröffentlicht wird, enthält Maßnahmen zum Schutz vor Exploits." Google erklärte weiter, dass seine Google Cloud Infrastructure und Google App Engine "keine zusätzlichen Nutzer- oder Kundenaktionen" erfordern. Google Compute Engine Kunden wurden informiert, dass die Infrastruktur gepatcht sei.
Amazon
Amazon veröffentlichte ebenfalls eine Stellungnahme zu den Auswirkungen von Meltdown und Spectre: "Alle Instanzen der Amazon EC2-Flotte mit Ausnahme eines kleinen einstelligen Prozentsatzes sind bereits geschützt. Die verbleibenden werden in den nächsten Stunden mit zugehörigen Wartungsbenachrichtigungen abgeschlossen. "
Während die Updates von AWS die zugrunde liegende Infrastruktur schützen, müssen Kunden, um vollständig gegen diese Probleme geschützt zu sein, auch ihre Betriebssysteme patchen. Updates für Amazon Linux wurden zur Verfügung gestellt, so Amazon.
Apple
Apple hat zunächst keine Erklärung bezüglich Spectre und Meltdown veröffentlicht. Es war jedoch klar, dass das kürzlich veröffentlichte Update für macOS 10.13.2 vom 6. Dezember, den Fehler teilweise behoben hat. Alex Ionescu, Vice President Endpoint Detection und Response Strategy bei Crowdstrike, scheint dies in einem Tweet zu bestätigen:
“The question on everyone’s minds: Does MacOS fix the Intel #KPTI Issue? Why yes, yes it does. Say hello to the “Double Map” since 10.13.2 — and with some surprises in 10.13.3 (under Developer NDA so can’t talk/show you).”
Am Donnerstag veröffentlichte Apple in einer offiziellen Stellungnahme, dass alle Mac-Systeme und iOS Devices betroffen sind. Updates sollen in den nächsten Tagen bereitgestellt werden.
AMD
AMD sagte, die Auswirkungen der drei bekannten Vektoren für die Nutzung von Spectre und Meltdown (CVE-2017-5753, CVE-2017-5715) und CVE-2017-5754 seien minimal. Es wird gesagt, dass Probleme, die mit CVE-2017-5753 verbunden sind, über Betriebssystem-Updates behoben werden, die von Systemanbietern vorgenommen werden, und von denen erwartet wird, dass sie einen "vernachlässigbaren Leistungseinfluss" auf die Systemleistung haben. Der "Branch Target Injection"-Vektor (CVE-2017-5715) könnte sich jedoch auf eine kleine Anzahl von Kunden auswirken. "Unterschiede in der AMD-Architektur bedeuten, dass das Risiko einer Ausnutzung dieser Variante nahezu ausgeschlossen ist", sagte AMD.
Mozilla
In einem Beitrag im Mozilla Security Blog sagte Luke Wagner, ein Mozilla-Softwareingenieur, dass der Firefox-Browser von Meltdown und Spectre betroffen ist.
"Unsere internen Experimente bestätigen, dass es möglich ist, ähnliche Techniken aus Web-Inhalten zu verwenden, um private Informationen zwischen verschiedenen Quellen zu lesen. Das ganze Ausmaß dieser Angriffsklasse wird noch untersucht, und wir arbeiten mit Sicherheitsforschern und anderen Browseranbietern zusammen, um die Bedrohung und die Fehlerbehebungen vollständig zu verstehen ", schrieb Wagner. Er ergänzte, Mozilla habe eine kurzfristige Lösung in allen Firefox-Versionen beginnend mit 57 implementiert.