Spectre
Dieser Bug ermöglicht unter Umständen einen sog. Sidechannelangriff. Damit ist es Angreifern [Sprich: Bösartigen Webseiten] möglich, Zugriff auf Daten anderer beim User geöffneten Webseiten zu erhalten. betroffen sind nahezu alle CPUs aller Hersteller. Diese Lücke ist eher theoretischer Natur, die den grundsätzlichen Aufbau von CPUs ausnutzt. Ob dies überhaupt außerhalb von Testaufbauten "sinnvoll" machbar ist, ist unwahrscheinlich.
Workaround: Aktualisiert umgehend eure Sicherheitssoftwares auf den Rechnern und auch die Browser. Google, Mozilla, Apple und Microsoft haben entweder bereits Patches veröffentlicht oder werden dies in Kürze tun.
Firefox sollte auf Version 57.0.4 sein.
MS hat für den Explorer/Edge ein Update über Windowsupdate veröffentlicht (KB4056890). Das Update bekommen nicht alle User angeboten, da es durch div. Sicherheitssoftware blockiert werden kann. Dazu müssen diese vom Hersteller aktualisiert werden, da ein bestimmter Registry Key gesetzt werden muss. Infos bzw für Fachkundige User:
Spoiler
Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"
Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"
Type="REG_DWORD"
Data="0x00000000"
chrome://flags/#enable-site-per-process
, dann bei der Option: Strict site isolation auf Aktivieren klicken. (So wird der Inhalt jeder geöffneten Seite isoliert gerendert).Meltdown
Das ist ein wenig komplizierter. Grob gesagt ist es ein Konstruktionsfehler von Intel in seinen Produkten, der hier ausgenutzt werden kann. Durch diesen Konstruktionsfehler ist es unter Umständen ermöglicht, den unautorisierten Zugriff auf den Speicher fremder Prozesse zu ermöglichen. Betroffen sind alle Intel CPUs seit 1995 mit Ausnahme des Itanium und des Atoms [bei dem Atom aber nur bei Produktion vor 2013].
Dieses Problem ist durch einen einfachen Hardwaretausch nicht zu umgehen. (Auch wenn das einige Webseiten empfehlen... bzw nur wenn man andere Hersteller als Intel nutzt, was wesentlich teurer ist...).
Als Workaround werden die Hersteller der Betriebssysteme die Schlampigkeit der Hardwarehersteller mit Patches versorgen müssen um das Problem einzudämmen.
Durch die Medien geistert nun auch das Gerücht, dass dadruch die Performance eines jeden Rechners um 30% gemindert sein wird - das ist mit verlaub Bullshit, lasst euch da nicht verunsichern.
In einzelnen Bereichen kann es zu kleinen und auch größeren Performanceverlusten führen, ja.Diese Größeren Einbußen treffen den Ottonormal User aber garantiert nicht in diesem Ausmaß. Es hängt von zu vielen Faktoren ab um da etwas genau für jeden User vorhersagen zu können. Die Wahrscheinlichkeit, dass der normale User überhaupt etwas merkt dürfte nahe 0 liegen. Am härtesten betroffen sind wohl Cloudanbieter, auf deren Servern sehr rechenintensive Datenbankprozesse laufen.
Test ob man betroffen ist, ist unter Windows mittels Powershell möglich: (Quelle: winfuture)
Spoiler
PowerShell per Rechtklick als Administrator ausführen.
In das aufgehenede Fenster Set-ExecutionPolicy -ExecutionPolicy RemoteSigned eingeben oder kopieren, Enter drücken und die Ausführung mit "A" bestätigen.
Install-Module SpeculationControl eingeben oder kopieren, Enter drücken und mit "A" bestätigen. Nun wird per NuGet das Modul installiert.
Get-SpeculationControlSettings eingeben oder kopieren und ausführen.
Daraufhin bekommt man (abhängig von Soft- und Hardware) eine Liste, die angezeigt, ob und wie das System geschützt ist bzw. ob eine Schadensmilderung aktiv ist. In der Regel sollte hier möglichst häufig "True" erscheinen. Dabei ist der obere Bereich (CVE-2017-5715) Teil von Spectre, darunter (CVE-2017-5754) wird Meltdown angeführt. Die jeweiligen Zeilen erläutern, ob eine Schutzwirkung für Hardware sowie das Windows-Betriebssystem vorliegt. Ist sie grün markiert (True), dann ist der Schutz präsent bzw. aktiviert.