2018-0020: Mikroprozessoren, Spectre, Meltdown: Drei Schwachstellen ermöglichen u. a. Ausspähen von Informationen

Historie:

Version 1 (2018-01-04 16:07)

Neues Advisory

Version 2 (2018-01-05 12:09)

Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen adressiert werden. Weitere Sicherheitsupdates stehen in der für die Red Hat Enterprise Linux Server Advanced Update Support (AUS) Versionen AUS 6.2, AUS 6.4 und AUS 6.5 sowie für Red Hat Enterprise MRG 2 zur Verfügung. Debian veröffentlicht ein Sicherheitsupdate für Debian Stretch (stable) zur Behebung der Schwachstelle 'Meltdown' (CVE-2017-5754), mit dem zusätzlich eine alte Regression behoben wird. Die beiden 'Spectre'-Schwachstellen werden in einem gesonderten Update adressiert. Für die vormalige stabile Distribution Jessie wird ebenfalls ein eigenes Sicherheitsupdate angekündigt. Die Hersteller Fortinet, F5 Networks und IBM informieren darüber, dass die Untersuchungen der jeweils eigenen Produkte in Bezug auf die Schwachstellen begonnen haben. Die Informationen zu Produkten des Herstellers Cisco Systems verarbeiten wir in einem gesonderten Sicherheitshinweis, auch hier haben die Untersuchungen der eigenen Produktpalette begonnen.

Version 3 (2018-01-05 18:06)

Canonical informiert darüber, dass die Patches für Ubuntu Linux spätestens zum ursprünglich geplanten Release am 09.01.2018 zur Verfügung stehen werden. Aufgrund der Komplexität der Patches wird ein Live-Update ausgeschlossen, betroffene Systeme müssen nach Installation neu gestartet werden. Apple weist darauf hin, dass die Produkte iOS 11.2 und macOS 10.13.2 bereits gegen die Schwachstelle 'Meltdown' gehärtet wurden. Die 'Spectre'-Schwachstellen werden in künftigen Updates adressiert. Auch NVIDIA hat mit den Untersuchungen der eigenen Produkte begonnen und bereits erste Updates für Quadro, NVS (Windows, Linux, FreeBSD, Solaris) und GeForce (Linux, FreeBSD, Solaris) veröffentlicht.

Version 4 (2018-01-08 13:45)

Microsoft aktualisiert seinen Sicherheitshinweis und weist darauf hin, dass Sicherheitsupdates für Microsoft Server 2008 und 2012 bis auf weiteres nicht zur Verfügung stehen werden, da hier tiefe Eingriffe in die Architektur notwendig sind. Weiterhin erklärt der Hersteller, dass die im Sicherheitshinweis genannten 32-Bit-Pakete nur die 'Spectre'-Schwachstellen adressieren. Sophos informiert darüber, dass die eigenen Endpoint-Produkte mit dem aktuellen Update von Microsoft kompatibel sind und die für dieses notwendigen Einträge in die Windows-Registry zeitnah durch Updates für Sophos Endpoint/Server vorgenommen werden. Für Netzwerkkunden kündigt Sophos an, dass die Untersuchungen zu den jeweiligen Kernel-Updates für das unterliegende Linux und andere Betriebssysteme noch andauern. Dies betrifft unter anderem Sophos UTM und Sophos Firewall OS. Juniper informiert über den aktuellen Stand der Untersuchungen zu den eigenen Produkten. Unter anderem werden Junos OS, Junos Space und Qfabric Director noch untersucht. Der Hersteller geht aktuell davon aus, dass Junos OS nur durch lokale Angreifer mit Administratorrechten angreifbar ist. Die Produkte ScreenOS und JUNOSe sind den Angaben von Juniper zufolge nicht verwundbar gegenüber den Schwachstellen. Im Xen Security Advisory 254 gibt das Xen.org Security Team neue Informationen zu den Schwachstellen bekannt und präzisiert die möglichen Auswirkungen der Schwachstellen. Insbesondere weisen die Autoren darauf hin, dass die Möglichkeit zu Angriffen von Gastbenutzer auf den Gastkernel unabhängig von den in Xen umgesetzten Mitigationen besteht und nur durch Aktualisierung des eingesetzten Betriebssystems adressiert werden können. Darüber hinaus hat der Chiphersteller ARM Informationen zu betroffenen Prozessoren veröffentlicht, die neben Xen auch den Einsatz von Google Android betreffen. Google stellt auf seinen Supportseiten weitere Hinweise zu eigenen Produkten zur Verfügung.

Version 5 (2018-01-09 13:37)

Red Hat veröffentlicht für Red Hat Virtualization 3.X und 4 für Red Hat Enterprise Linux 7 Sicherheitsupdates in Form aktualisierter 'redhat-virtualization-host'-Pakete. Für Red Hat Virtualization 3.x auf RHEL 6 und 7 steht außerdem das Paket 'rhev-hypervisor7' und für Red Hat Virtualization 4 auf RHEL 7 das Paket 'rhvm-appliance' als Sicherheitsupdate bereit.

Version 6 (2018-01-10 16:29)

NVIDIA veröffentlicht neue Hinweise und weitere Sicherheitsupdates zu den Schwachstellen über die NVIDIA Driver Download-Webseite. Für Windows stehen jetzt die Treiberversionen 390.65 (GeForce, Quadro, NVS) und 386.07 (Quadro, NVS, Tesla) zur Verfügung. Für Linux, FreeBSD und Solaris stehen die Versionen 390.12 und 384.111 für GeForce, Quadro, NVS und Tesla (nur 384.111) bereit. Für den Versionszweig R390 für Tesla wird ein Sicherheitsupdate in KW 4 für Windows und Linux angekündigt. Darüber hinaus stehen über das NVIDIA Licensing Center Informationen zu Updates für NVIDIA GRID Produkte zur Verfügung. Die NVIDIA GRID betreffenden Updates für Windows, Windows Server mit Hyper-V, Linux, Citrix XenServer, VMware vSphere und Red Hat KVM werden vor Ende Januar erwartet. Canonical stellt für Ubuntu 17.10, Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS ein Sicherheitsupdate für 'nvidia-graphics-drivers-384' auf Version 384.111 zur Verfügung, mit dem laut zugehörigem Sicherheitshinweis zunächst eine der 'Spectre'-Schwachstellen (CVE-2017-5753) adressiert wird. Oracle veröffentlicht die Oracle VM Security Advisories OVMSA-2018-0005 und OVMSA-2018-0006, um über die Bereitstellung von verschiedenen Xen-Sicherheitsupdates für Oracle VM 3.4 zu informieren. Das erstgenannte Update referenziert zusätzlich auch die Schwachstellen CVE-2017-15592, CVE-2017-15595, CVE-2017-17044 und CVE-2017-17045, die Denial-of-Service-Angriffe und eine Privilegieneskalation ermöglichen und bereits im Dezember (OVMSA-2017-0176) behoben wurden.

Version 7 (2018-01-11 15:21)

Mit WebKitGTK+ Security Advisory WSA-2018-0001 wird über das WebKitGTK+ Release 2.18.5 zur Behebung der Schwachstellen CVE-2017-5715 und CVE-2017-5753 (Spectre) informiert. Für Fedora 26 und 27 stehen Sicherheitsupdates auf diese Version in Form der Pakete 'webkitgtk4-2.18.5-1.fc26' und 'webkitgtk4-2.18.5-1.fc27' im Status 'pending' bereit. Für Fedora 26 und 27 stehen darüber hinaus Sicherheitsupdates für den Linux-Kernel auf Version 4.14.13 im Status 'pending' zur Verfügung. Hiermit werden einige Mitigationen für Spectre (beide Varianten) eingeführt. Die Installation dieser Sicherheitsupdates erfordert den anschließenden Neustart betroffener Systeme.

Version 8 (2018-01-11 18:54)

Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 17.04 und Ubuntu 16.04 LTS Sicherheitsupdates für 'webkit2gtk' auf das WebKitGTK+ Release 2.18.5 zur Behebung der Schwachstellen CVE-2017-5715 und CVE-2017-5753 (Spectre) bereit. Nach Installation der Sicherheitsupdates müssen alle Anwendungen, welche WebKitGTK+ verwenden, wie etwa Epiphany, neu gestartet werden.

Version 9 (2018-01-12 14:22)

Für die SUSE Linux Enterprise Produktvarianten Software Development Kit, High Availability und Server in der Version 12 SP2 wurden Sicherheitsupdates für den Linux-Kernel veröffentlicht, die allerdings nur für IBM Z Plattformen zur Verfügung stehen. Die Korrekturen für IBM Z waren bereits in dem vorhergehenden Update integriert, sie werden aber jetzt erst aktiviert. Die Schwachstelle CVE-2017-5754 betrifft die IBM Z Architektur nicht. Oracle stellt für Oracle VM 3.4 Sicherheitsupdates für den Unbreakable Enterprise Kernel zur Verfügung. Über das Paket '4.1.12-112.14.5.el6uek' werden die Schwachstellen CVE-2017-5715 und CVE-2017-5753 und über das Paket '4.1.12-112.14.10.el6uek' die Schwachstellen CVE-2017-5715 und CVE-2017-5754 adressiert. Citrix informiert mittels der Meldung Citrix Security Advisory CTX231399 über die Betroffenheit der Citrix Produkte. Neben dem XenServer für den eine eigene Meldung, Citrix Security Advisory CTX231390, erstellt wurde, kann eine Verwundbarkeit von Citrix NetScaler SDX nicht ausgeschlossen werden. Die XenServer Versionen 6.0.2, 6.2.0, 6.5, 7.0, 7.1 LTSR Cumulative Update 1, 7.2 und 7.3 sind von den Schwachstellen CVE-2017-5715 und CVE-2017-5754 betroffen. Für die Schwachstelle CVE-2017-5753 ist dem Hersteller kein Weg der Ausnutzung im XenServer bekannt. Zur Behebung der Schwachstelle CVE-2017-5715 stehen für die Versionen 7.1 LTSR Cumulative Update 1, 7.2 und 7.3 erste Hotfixes bereit, die zusätzliche eine Reihe von Denial-of-Service-Schwachstellen adressieren. An weiteren Sicherheitsupdates wird, auch zusammen mit Hardware Herstellern, gearbeitet. AMD aktualisiert die Informationen zu der Betroffenheit der AMD Prozessoren, um darüber zu informieren, dass Microsoft einen großen Teil der zuvor zurückgehaltenen Sicherheitsupdates für AMD Prozessoren jetzt verteilt. An Problemen die ältere Prozessoren betreffen (AMD Opteron, Athlon und AMD Turion X2 Ultra Familie) wird gearbeitet und AMD geht davon aus, dass die Verteilung der Microsoft Updates nächste Woche (KW 3) erfolgen kann. Intel veröffentlicht einen Blog-Artikel 'Intel Security Issue Update: Addressing Reboot Issues' und berichtet über einige Kundenmeldungen nach denen gepatchte Systeme häufiger Neustarts (Reboots) durchführen. Intel analysiert das Problem aktuell und kündigt an, überarbeitete Patches zur Verfügung zu stellen, sollten die Analysen die Notwendigkeit dafür aufzeigen. Dieses Problem scheint insbesondere Intel Broadwell und Haswell CPUs zu betreffen.

Version 10 (2018-01-15 17:59)

Microsoft hat seinen Sicherheitshinweis ADV180002 hinsichtlich der Tabelle betroffener Produkte aktualisiert. Es werden nun auch Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2014 und Microsoft SQL Server 2016 aufgeführt und Sicherheitsupdates für diese zur Verfügung gestellt.

Version 11 (2018-01-16 18:31)

Red Hat stellt Sicherheitsupdates für den Linux-Kernel in Red Hat CloudForms 4.1, 4.2 und 4.5 bereit, um die drei Schwachstellen zu beheben. IBM informiert im IBM PSIRT Blog darüber, dass diese Schwachstellen in vielen Mikroprozessoren vorhanden sind, wie auch jenen, die in IBM Storage Appliances und von der IBM Storage Spectrum Software auf Servern verwendet werden. Allerdings gelten IBM Storage Appliances als nicht angreifbar, da die Ausführung fremden Programmcodes auf derartigen geschlossenen Systemen nicht erlaubt ist. Für IBM Storage Spectrum Software wird empfohlen, die Firmware Updates von Server- und Betriebssystemsanbietern in Überstimmung mit den normalen Prozeduren zu implementieren.

Version 12 (2018-01-17 12:01)

Red Hat stellt jetzt ebenfalls ein Sicherheitsupdate für den Linux-Kernel in Red Hat CloudForms 4.0 zur Verfügung. Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, High Availability 12 SP3, Server 12 SP3 sowie 12 SP1 LTSS stehen Sicherheitsupdates für den Linux-Kernel bereit, welche die Korrekturen für die Schwachstelle CVE-2017-5753 aktivieren, die bereits mittels früherer Updates verteilt wurden. Die Sicherheitsupdates für die Schwachstelle CVE-2017-5715 wurden ebenfalls bereits distribuiert, diese neuen Pakete enthalten allerdings eine zusätzliche Fehlerbehebung im Kontext der Schwachstelle. Die Sicherheitsupdates sind nur für die IBM Z Plattform verfügbar, welche von der Schwachstelle 'Meltdown' CVE-2017-5754 nicht betroffen ist.

Version 13 (2018-01-17 19:12)

Microsoft hat seinen Sicherheitshinweis ADV180002 hinsichtlich der Tabelle betroffener Produkte erneut aktualisiert. Es werden nun auch für die unterstützten Editionen von Microsoft SQL Server 2012 Sicherheitsupdates zur Verfügung gestellt. Das Xen Security Advisory XSA-254 wurde ebenfalls aktualisiert (Version 8), um über die Verfügbarkeit von PVH Shim ('Comet') für Xen 4.8 zu informieren. Dies beinhaltet Fehlerbehebungen für zwei Probleme im Zusammenhang mit der Initialisierung von Shim sowie der Unterstützung des PVH Modus für qemu PV Backends.

Version 14 (2018-01-18 16:22)

Oracle stellt für Oracle VM 3.4 erneut Sicherheitsupdates für den Unbreakable Enterprise Kernel zur Verfügung. Über das Paket '4.1.12-112.14.11.el6uek' werden die Schwachstellen CVE-2017-5715 und CVE-2017-5754 adressiert. Das Xen Security Advisory XSA-254 wurde ebenfalls aktualisiert (Version 9), um über die Verfügbarkeit von 'Stage 1' Pagetable Isolation (PTI) Meltdown Fixes für Xen zu informieren. Ferner werden 'Comet' Updates für den Shim Code (Branch 4.10) bereitgestellt.

Version 15 (2018-01-18 18:15)

Meinberg stellt in einem Sicherheitshinweis Informationen zu betroffenen Produkten der eigenen Zeit- und Frequenzsynchronisationslösungen zur Verfügung. Der Hersteller listet einzelne Produktserien auf und bewertet die Verwundbarkeit anhand der jeweils eingesetzten Prozessoren. Produkte der LANTIME M- und IMS-Serie verwenden AMD-CPUs, die nach Aussage von AMD von CVE-2017-5753 (Spectre) betroffen sind. Die technische Analyse des dort eingesetzten AMD Geode LX Prozessors durch einen Zulieferer widerspricht allerdings dieser Aussage. Die Produkte TSU-GBit und HPS-100 verwenden Cortex A9 ARM-Cores, die theoretisch von den Schwachstellen betroffen sind. Weiterhin setzen alle Produkte der SyncFire-Produktserie eine oder mehrere Intel Xeon-CPUs ein und sind demnach betroffen. Intel hat für diese Geräte ein Microcode-Update veröffentlicht, welches zusammen mit den verfügbaren Linux-Kernel Sicherheitsupdates, die sich auf Meltdown und Spectre beziehen, die in der nächsten Meinberg Firmware-Version enthalten sein werden.

Version 16 (2018-01-19 12:53)

Microsoft hat seinen Sicherheitshinweis ADV180002 erneut aktualisiert, um über die Verfügbarkeit des neuen Sicherheitsupdates 4073291 für die 32-bit (x86) Version von Windows 10 Version 1709 zur Mitigation der Schwachstelle CVE 2017-5754 ('Meltdown') zu informieren, welches zeitnah installiert werden sollte. Microsoft arbeitet an Updates für weitere unterstützte 32-bit (x86) Windows Versionen. Mit Update 4073290 wurde ein Fix für Geräte mit AMD-Prozessoren für Windows 10 Version 1709 bereitgestellt, um das nach Installation des Updates vom 3. Januar 2018 - KB4056892 (OS Build 16299.192) für diese aufgetretene Problem eines nicht-bootfähigen Zustandes zu beheben (siehe Referenz). Mit Update 4073578 wurde das entsprechende Problem nach Installation des Updates vom 3. Januar 2018 - KB4056897 (Security-only update) bzw. 4. Januar 2018 - KB4056894 (Monthly Rollup) für Windows 7 SP1 und Windows Server 2008 R2 SP1 behoben (siehe Referenz). Weiterhin informiert Microsoft darüber, dass am 5. Januar 2018 das Sicherheitsupdate KB4056898 (Security Only) für Windows 8.1 und Windows Server 2012 R2 erneut veröffentlicht wurde, um ein Problem zu beheben. Kunden, die das ursprüngliche Paket vom 3. Januar installiert haben, sollten das Update erneut installieren. Das Xen Security Advisory XSA-254 wurde ebenfalls aktualisiert (Version 10), um eine Aussage der vorherigen Version zu berichtigen.

Version 17 (2018-01-19 18:24)

Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in Version 4.1.12-94.7.8 bereit.

Version 18 (2018-01-23 13:34)

Canonical stellt verschiedene Sicherheitsupdates bereit, um die aktuellen Entwicklungen bei den Schwachstellen Spectre und Meltdown seit den ersten Sicherheitsupdates für Meltdown in Ubuntu Linux vom 10.01.2018 (siehe gesondertes Advisory) zu berücksichtigen. Für Ubuntu 17.10 (Kernel), 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für i386-Architekturen (nur CVE-2017-5753) sowie amd64-, ppc64el- und s390x-Architekturen (beide Spectre-Schwachstellen) zur Verfügung. Zusätzlich werden die ersten Mitigationen gegen Meltdown auch für die ppc64el-Architektur verteilt. Die unterschiedlichen Sicherheitsupdates stehen für Linux-Kernel (inklusive Hardware Enablement Kernel), Amazon Web Services, Intel Euclid, Microsoft Azure, Google Cloud Platform und OEM Prozessoren zur Verfügung. Zwei weitere Sicherheitsupdates zur Mitigation der beiden Spectre-Schwachstellen stehen für den Linux-Kernel in Ubuntu 14.04 LTS und 12.04 LTS auf i386-Architekturen (nur CVE-2017-5753) und amd64-Architekturen zur Verfügung. Canonical weist darauf hin, dass die Mitigation der Schwachstelle CVE-2017-5715 (Spectre 2) korrespondierende Microcode- oder Firmware-Updates erfordert. Der Distributor arbeitet laut Eigenaussage dahingehend mit Intel und AMD zusammen. Für davon nicht abgedeckte Prozessoren wird auf die jeweiligen Hersteller verwiesen.

Version 19 (2018-01-24 17:39)

Für Oracle Linux 5 (i386 und x86_64) und Oracle Linux 6 (i386 und x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in Version 2.6.39-400.298.2 bereit, um die aktuellen Entwicklungen der Schwachstellen Spectre und Meltdown zu berücksichtigen. Zusätzlich wird mit dem Update auch die Schwachstelle CVE-2015-5157 adressiert, welche es einem lokalen, nicht authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren und damit das System zu übernehmen oder einen Denial-of-Service (DoS)-Angriff durchzuführen.

Version 20 (2018-01-26 12:13)

Red Hat stellt für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und Linux for Scientific Computing sowie für Compute Node 7.4 Extended Update Support (EUS) und die Server 7.4 Produktversionen Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year Extended Update Support und Telco Update Support (TUS) Sicherheitsupdates für den 'kernel' bereit, durch die erste Mitigationen für IBM Power (PowerPC) und IBM zSeries (S390) Architekturen für die Schwachstellen CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754 zur Verfügung gestellt werden. Die unten referenzierten Schwachstellen (CVE) werden dagegen in der Beschreibung nicht erwähnt. Für Oracle Linux 7 (x86_64) stehen die entsprechenden Sicherheitsupdates für den 'kernel' in Version 3.10.0-693.17.1 bereit, wobei Oracle die Referenzierung der Schwachstellen anscheinend von Red Hat übernommen hat, jedoch im Versionslog ebenfalls nur Mitigationen für die 'Spectre'- und 'Meltdown'-Schwachstellen aufführt.

Version 21 (2018-01-29 13:59)

Microsoft hat aufgrund der bekannt gewordenen Probleme mit dem Intel Microcode mittlerweile ein außerplanmäßiges Sicherheitsupdate bereit gestellt, mit dem die Mitigationen gegen Spectre v2 (CVE-2017-5715) wieder rückgängig gemacht werden (siehe 'Microsoft Update to Disable Mitigation against Spectre, Variant 2'). IBM hat Sicherheitsupdates für AIX 5.3 (64-bit Kernel), 6.1, 7.1 und 7.2 sowie VIOS 2.2.x bereitgestellt, um Maßnahmen gegen CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754 umzusetzen.

Version 22 (2018-01-29 17:24)

F5 Networks hat seinen Sicherheitshinweis K91229003 'Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754' aktualisiert und informiert über von den 'Spectre'- und 'Meltdown'-Schwachstellen betroffene Produkte. Unter anderem sind BIG-IP Produkte Advanced Firewall Manager (AFM) und Application Security Manager (ASM) in den Versionen 11.2.1, 11.5.1 - 11.5.5, 11.6.1 - 11.6.2, 12.1.0 - 12.1.3, 13.0.0 und 13.1.0 verwundbar. Es existieren derzeit keine Fixes. Der Hersteller Intel hat eine Microcode Revision Guidance (PDF) mit Empfehlungen für zahlreiche Prozessoren zur Verfügung gestellt.

Version 23 (2018-01-30 12:07)

Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in der Version 3.8.13-118.20.2 bereit, um die Schwachstellen zu adressieren. Die Sicherheitsupdates adressieren außerdem die Schwachstelle CVE-2015-5157, welche einem lokalen, nicht authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren und damit das System zu übernehmen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. Canonical stellt für Ubuntu 16.04 LTS ein Sicherheitsupdate für den Linux-Kernel for Cloud Environments (linux-kvm) bereit, um die Spectre-Schwachstellen (CVE-2017-5715, CVE-2017-5753) zu adressieren. Ferner weist Canonical darauf hin, dass für eine vollständige Mitigation von CVE-2017-5715 (Spectre Variant 2) die korrespondierenden Prozessor Microcode / Firmware Updates bzw. in virtuellen Umgebungen die Hypervisor Updates installiert werden müssen. Weiterhin kündigt Canonical an, zukünftig für Benutzer selbst-gehosteter virtueller Umgebungen die entsprechenden QEMU Updates in Verbindung mit Upstream QEMU Versionen zur Verfügung zu stellen.

Version 24 (2018-01-30 16:39)

Canonical informiert darüber, dass als Teil der Mitigation 'Retpoline' gegen Spectre Variant 2 (CVE-2017-5715) ein Logic-Fehler in der Implementierung des x86-64-Systemaufrufeintrages (Syscall Entry) eingeführt wurde. Ein lokaler Angreifer kann dies ausnutzen, um einen Denial-of-Service (DoS)-Zustand zu verursachen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen. Es stehen Sicherheitsupdates für Ubuntu 16.04 LTS für den Linux-Kernel for Microsoft Azure Cloud Systems, Linux-Kernel for Google Cloud Platform (GCP) Systems, Linux Hardware Enablement (HWE) Kernel und Linux-Kernel for OEM Processors sowie für den Linux-Kernel in Ubuntu 17.10 zur Verfügung, um dieses Problem zu beheben. Canonical weist darauf hin, dass aufgrund der unvermeidbaren ABI-Änderungen diese Kernel Updates eine neue Versionsnummer erhalten haben, weshalb alle Third Party Kernel-Module neu kompiliert und installiert werden müssen, soweit dies nicht bei einem Standard-System-Upgrade automatisch erfolgt.

Version 25 (2018-01-30 17:00)

Für das 'pxe-default-image' (Preboot Execution Environment, PXE) in SUSE Manager Server 3.0 steht ein Sicherheitsupdate bereit, mit dem nicht näher definierte Mitigationen gegen Spectre und Meltdown umgesetzt werden.

Version 26 (2018-01-31 12:33)

Für Oracle VM 3.3 stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in der Version 3.8.13-118.20.2 bereit, um die Schwachstellen zu adressieren. Die Sicherheitsupdates adressieren außerdem die Schwachstelle CVE-2015-5157, welche einem lokalen, nicht authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren und damit das System zu übernehmen oder einen Denial-of-Service (DoS)-Angriff durchzuführen.

Version 27 (2018-02-12 13:07)

Red Hat stellt für Red Hat Enterprise Linux 5 Extended Lifecycle Support für verschiedene Architekturen Sicherheitsupdates zur Mitigation der Schwachstellen zur Verfügung.

Version 28 (2018-02-22 10:54)

Canonical stellt für Ubuntu Linux 12.04 LTS (ESM) ein Sicherheitsupdate bereit, das die beiden Spectre-Schwachstellen adressiert. Der Distributor weist darauf hin, dass zur vollständigen Mitigation von Spectre Microcode-Updates notwendig sind. Canonical arbeitet dahingehend mit den Herstellern Intel und AMD zusammen. Anwender, die Chips anderer Hersteller verwenden, werden gebeten, sich direkt an diese zu wenden.

Version 29 (2018-02-23 18:27)

Für Oracle Linux 5 (i386, x86_64) stehen jetzt auch Sicherheitsupdates für den Kernel 2.6.18 zur Verfügung.

Version 30 (2018-02-28 10:27)

Für den SUSE Manager Server 3.1 steht ein Sicherheitsupdate bereit, mittels dem Mitigationen für die Meltdown und Spectre Schwachstellen umgesetzt und insgesamt 51 nicht sicherheitsrelevante Fehler behoben werden.

Version 31 (2018-03-02 13:38)

Microsoft hatte seinen Sicherheitshinweis ADV180002 anlässlich des Patchdays im February 2018 aktualisiert, um über die Verfügbarkeit von Sicherheitsupdates zu informieren, durch die weitere Schutzmaßnahmen für folgende 32-bit (x86) Versionen von Windows 10 zur Verfügung gestellt wurden: 4074596 für Windows 10, 4074591 für Windows 10 Version 1511, 4074590 für Windows 10 Version 1607 und 4074592 für Windows 10 Version 1703. Ferner wurden FAQ#12 and FAQ#13 für weitere Informationen ergänzt. Mit der neuesten Aktualisierung informiert Microsoft nun in der ergänzten FAQ#14 über ein Stand-alone Update für Windows 10 Version 1709, welches über den Microsoft Update Catalog verfügbar ist. Dieses Update beinhaltet Microcode Updates von Intel, welche Spectre Variant 2 (CVE 2017-5715 ('Branch Target Injection') adressieren (siehe hierzu: Microsoft Knowledge Base Article 4090007).

Version 32 (2018-03-09 12:36)

SUSE hat das Sicherheitsupdate für den SUSE Manager Server 3.1, mit dem Mitigationen für die Meltdown- und Spectre-Schwachstellen umgesetzt und insgesamt 51 nicht sicherheitsrelevante Fehler behoben werden, augenscheinlich erneut veröffentlicht. Der IBM PSIRT Blog: 'IBM Storage — Meltdown/Spectre' wurde auf dem aktuellen Kenntnisstand erneut veröffentlicht. Ferner liefert der Hersteller mit IBM PSIRT Blog: 'IBM Spectrum Protect Plus has released instructions for obtaining an update in response to the vulnerabilities known as Spectre and Meltdown' eine Anleitung für ein manuelles Upgrade des IBM Spectrum Protect Plus Virtual Machine Image Operating Systems in Umgebungen mit Zugang zum Internet auf VMware oder Microsoft Hyper-V Umgebungen.

Version 33 (2018-03-09 15:23)

Mit USN-3542-1 wurden Mitigationen gegen die Schwachstelle CVE-2017-5715 (Spectre Variant 2) für die amd64-Architektur in Ubuntu 14.04 LTS bereitgestellt. Das Update USN-3594-1 stellt nun die Compiler-basierte Retpoline Kernel Mitigation für amd64- und i386-Architekturen zur Verfügung.

Version 34 (2018-03-14 14:53)

Microsoft hatte seinen Sicherheitshinweis ADV180002 anlässlich des Patchdays im März 2018 aktualisiert, um über die Verfügbarkeit von Sicherheitsupdates für Windows Server 2008 und Windows Server 2012 zu informieren, durch die Schutzmaßnahmen gegen die Schwachstellen umgesetzt werden. Weiterhin hat Microsoft Sicherheitsupdates für die 32-bit (x86) Versionen von Windows 7 und Windows 8.1 veröffentlicht, durch welche weitere Schutzmaßnahmen bereitgestellt werden. Diese Updates beinhalten 'March Security Only' und 'Monthly Rollup' Aktualisierungen. Mit der neuesten Aktualisierung der FAQ#14 werden Hinweise zu Microcode-Updates von Intel wieder entfernt, da diese noch nicht verfügbar sind.

Version 35 (2018-03-15 13:04)

FreeBSD informiert mit Security Advisory FreeBSD-SA-18:03.speculative_execution über die Schwachstellen CVE-2017-5754 (Meltdown) und CVE-2017-5715 (Spectre V2) und hat diese in Version 11.1-STABLE und mit mit dem Sicherheitsupdate 11.1-RELEASE-p8 adressiert. Red Hat stellt (neue) Sicherheitsupdates für Red Hat Enterprise Linux 5.9 Long Life, Red Hat Enterprise Linux 6.7 Extended Update Support (EUS) sowie die Red Hat Enterprise Linux 6 Produktvarianten Desktop, Server, Workstation und Linux for Scientific Computing für den 'kernel' zur Verfügung, um die Spectre- und Meltdown-Schwachstellen zu adressieren. Oracle stellt für Oracle Linux 6 (i386, x86_64) entsprechende Sicherheitsupdates für den Linux-Kernel 2.6.32-696 bereit.

Version 36 (2018-03-15 15:06)

Intel hat mit dem 'Intel Processor Microcode Package for Linux 20180312 Release' die angekündigten Microcode-Updates für Intel-Prozessoren für zahlreiche Linux-Distributionen bereitgestellt, durch die drei Funktionen für Indirect Branch Control (IBC) in Prozessoren der Core-i-Generationen seit 2011 nachgerüstet werden. Hierdurch wird ohne die Erfordernis eines BIOS-Updates insbesondere ein Schutz gegen Spectre Variant 2 bereitgestellt. Mit USN-3541-1 und USN-3523-1 stehen bereits Mitigationen für Spectre und Meltdown (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) für i386-, amd64- und ppc64el-Architekturen in Ubuntu 17.10 zur Verfügung. Canonical stellt nun mit USN-3597-1 die korrespondierenden Mitigationen für die arm64-Architektur sowie mit USN-3597-2 für den Linux Hardware Enablement (HWE) Kernel in Ubuntu 16.04 LTS bereit.

Version 37 (2018-03-19 17:54)

IBM informiert im aktuellen IBM PSIRT Blog: 'IBM Spectrum Protect Plus has released instructions for obtaining an update in response to the vulnerabilities known as Spectre and Meltdown' über die Veröffentlichung von Instruktionen ein Update gegen die Schwachstellen, die als 'Spectre' und 'Meltdown' bekannt sind, zu erhalten. In IBM Security Bulletin 2012899 zur IBM Spectrum Protect Plus Software für Linux wird wiederum auf den IBM PSIRT Blog: 'IBM Spectrum Protect Plus has released instructions for obtaining an update in response to the vulnerabilities known as Spectre and Meltdown' vom 8. März d.J. verwiesen.

Version 38 (2018-03-20 11:40)

Google stellt in den Sicherheitsinformationen zur am 19.03.2018 veröffentlichten Chrome OS Version 65.0.3325.167 Informationen zu Mitigationen gegen Meltdown und Spectre bereit. Der Hersteller erklärt, dass mit Chrome OS 65 alle Intel-Geräte die Retpoline-Mitigation gegen Spectre V2 erhalten. Alle Intel-Geräte mit Kernel 3.14 erhalten zusätzlich die KPTI-Mitigation gegen Meltdown.

Version 39 (2018-03-22 11:45)

F5 Networks hat für BIG-IP-Software die Versionen 12.1.3.3 und 13.1.0.4 bereit gestellt, mit denen Mitigationen gegen Spectre Variant 1 (CVE-2017-5753) und Meltdown (CVE-2017-5754) veröffentlicht werden. Die Entwicklung der Gegenmaßnahmen gegen Spectre Variant 2 (CVE-2017-5715) ist noch nicht abgeschlossen, für den Versionszweig 11.x stehen noch keine Sicherheitsupdates zur Verfügung. Der Hersteller weist in einer Fußnote seines Sicherheitshinweises darauf hin, dass durch die Gegenmaßnahmen gegen CVE-2017-5753 keine Leistungseinbußen erwartet werden. Der Fix für CVE-2017-5754 wird sich allerdings in geringem Maße auf die Systemleistung auswirken. Der Hersteller nennt daher in seinem Sicherheitshinweis einen Kommandozeilenbefehl, mit dem sich die Sicherheitsmaßnahmen temporär deaktivieren lassen.

Version 40 (2018-04-04 16:22)

F5 Networks hat für BIG-IP-Software die Version 13.0.1 zur Verfügung gestellt, mit der ebenfalls Mitigationen gegen Spectre Variant 1 (CVE-2017-5753) und Meltdown (CVE-2017-5754) veröffentlicht werden. Die Gegenmaßnahmen gegen Spectre Variant 2 (CVE-2017-5715) befinden sich derzeit immer noch in der Entwicklung.

Version 41 (2018-04-06 11:58)

Das OpenBSD Project stellt die neue Version OpenBSD 6.3 des Betriebssystems bereit. Darin sind Mitigationen gegen die Schwachstelle Meltdown (CVE-2017-5754) für Intel-Prozessoren enthalten. Für ARM-Systeme (OpenBSD/arm64) wird die Kernel Page Table Isolation (KPTI) eingeführt, um Schutz gegen diese Schwachstelle zu bieten. Zur Mitigation von Spectre v2 (CVE-2017-5715) wird der Branch Target Buffer (BTB) auf ARM-Systemen, die 'Speculative Execution' einsetzen (OpenBSD/armv7, OpenBSD/arm64), 'geleert' (flush). Für Oracle VM Server 3.2 steht ein Sicherheitsupdate für 'xen' bereit, mit dem die Schwachstellen adressiert werden.

Version 42 (2018-04-11 18:14)

Microsoft aktualisiert in seinen Sicherheitshinweis ADV180002 die Punkte FAQ #10, #15 und #16 und gibt bekannt, dass Nutzer von AMD-Prozessoren mit Windows 10 1709 oder Windows Server 1709 nun ein zusätzliches Sicherheitsupdate zur Behebung der Schwachstelle CVE-2017-5715 (Spectre Variante 2 - Branch Target Injection) installieren können. Das Sicherheitsupdate kann wahlweise automatisch mit Hilfe der Windows Update Funktion installiert werden oder durch das Sicherheitsupdate KB4093112 (siehe Referenzen). Microsoft weist darauf hin, dass bei dem Sicherheitsupdate standardmäßig die Mitigation für den Angriffsvektor User-to-Kernel deaktiviert ist und erst durch den Nutzer aktiviert werden muss. Grund hierfür sind mögliche Performanceeinbußen welche unter anderem von der Art der Beanspruchung und dem jeweiligen Chipsatz abhängen. Außerdem verweist Microsoft auf zusätzliche Microcode-Updates für neuere AMD-Prozessoren zur Behebung der Schwachstelle CVE-2017-5715, welche von AMD in einem separaten Artikel (siehe AMD Processor Security Updates in den Referenzen) behandelt werden.

Version 43 (2018-04-25 17:06)

Microsoft aktualisiert in seinem Sicherheitshinweis ADV180002 die Punkte FAQ #11 und #14 und gibt bekannt, dass Nutzer von Windows 10 und Windows 10 Servers nun ein zusätzliches Sicherheitsupdate zur Behebung der Schwachstelle CVE-2017-5715 (Spectre Variante 2 - Branch Target Injection) installieren können. Das Sicherheitsupdate KB4078407 ist über den Microsoft Update Catalog verfügbar. Ferner informiert Microsoft über das Sicherheitsupdate KB4091666 für Windows 10, welches ebenfalls über den Microsoft Update Catalog verfügbar ist und Microcode Updates von Intel beinhaltet. (siehe Referenzen)

Version 44 (2018-05-04 14:46)

IBM stellt Security Identity Manager Virtual Appliance in der Version 7.0.1 Fixpack 09 und Security Directory Suite in der Version 8.0.1.6 zur Behebung der Schwachstellen CVE-2017-5753 und CVE-2017-5754 zur Verfügung. Weiterhin informiert IBM darüber, dass zur Behebung der Schwachstelle CVE-2017-5715 zusätzliche Firmware Updates notwendig sind, welche vom entsprechenden Hardwarehersteller direkt bezogen werden müssen.

Version 45 (2018-05-09 14:05)

Microsoft aktualisiert in seinem Sicherheitshinweis ADV180002 den Punkt FAQ #15 und gibt bekannt, dass Nutzer von Windows 10 Version 1607, Windows Server 2016 und Windows Server 2016 (Server Core Installation) nun ein zusätzliches Sicherheitsupdate zur Behebung der Schwachstelle CVE-2017-5715 (Spectre Variante 2 - Branch Target Injection) für AMD-Prozessoren installieren können. Das Sicherheitsupdate KB4103723 ist über den Microsoft Update Catalog verfügbar. Ferner informiert Microsoft darüber, dass das Sicherheitsupdate KB4093112 auch Windows Server Version 1709 (Server Core Installation) betrifft, welches ebenfalls über den Microsoft Update Catalog verfügbar. (siehe Referenzen)

Version 46 (2018-05-18 16:42)

Microsoft aktualisiert in seinem Sicherheitshinweis ADV180002 den Punkt FAQ #14 und gibt bekannt, dass Nutzer von Windows 10 und Windows Server 1803 die aktuellen Intel Microcode-Updates erhalten können. Die Updates können über Windows Update, Windows Server Update und den Microsoft Update Catalog bezogen werden. Weitere Hinweise dazu werden im Microsoft Knowledgebase Artikel KB4100347 veröffentlicht (Referenz anbei).

Version 47 (2018-06-08 16:25)

Google informiert darüber, dass die Schwachstelle Spectre V2 (CVE-2017-5715) für ARM Geräte mit dem Linux-Kernel in der Version 4.4 mit Chrome OS 67.0.3396.78 behoben wurde. Des Weiteren soll die Sicherheitsfunktion 'Site Isolation' gegen Spectre und Meltdown für einen größeren Prozentsatz der stabilen Instanzen ausgerollt werden.

Version 48 (2018-06-08 16:42)

Beim letzten Update dieser Sicherheitswarnung wurde eine falsche Referenz für Google Chrome OS verwendet. Dies haben wir jetzt korrigiert.

Version 49 (2018-06-13 12:56)

Microsoft aktualisiert in seinem Sicherheitshinweis ADV180002 den Punkt FAQ #15 und gibt bekannt, dass Nutzer von Windows 10 Version 1703, Windows 10, Windows 7, Windows Server 2008 R2 und Windows Server 2008 R2 (Server Core Installation) nun zusätzliche Sicherheitsupdates zur Behebung der Schwachstelle CVE-2017-5715 (Spectre Variante 2 - Branch Target Injection) für AMD-Prozessoren installieren können. Die Sicherheitsupdates KB4284874, KB4284860 und KB4284826 / KB4284867 sind über den Microsoft Update Catalog verfügbar (siehe Referenzen).

Version 50 (2018-06-22 17:18)

FreeBSD informiert mit Security Advisory FreeBSD-EN-18:07.pmap darüber, dass im Zuge der Änderungen am FreeBSD Virtual Memory System zur Adressierung der Schwachstellen CVE-2017-5754 (Meltdown) und CVE-2017-5715 (Spectre V2) (FreeBSD-SA-18:03.speculative_execution) auch Änderungen an den Inter-Processor Interrupts (IPI) vorgenommen wurden, welche zum 'Abschießen' von Translation Lookaside Buffer (TLB)-Einträgen verwendet werden. Dabei wurden die IPI Handler für Xen auf 'non-PTI' belassen, selbst wenn PTI aktiviert wurde, wodurch TLB Shootdowns für den 'User Mode'-Anteil des Adressraumes nicht konsistent durchgeführt werden. Dadurch kann es für Xen-Gastsysteme zur Korruption von Daten und / oder dem Absturz von Prozessen aufgrund inkonsistent werdender interner Datenstrukturen kommen. Als einfacher Workaround kann PTI deaktiviert werden, wodurch allerdings das System wieder angreifbar wird. Der Hersteller stellt Sicherheitsupdates in der stabilen Version 11.1-STABLE sowie die korrigierte Version 11.1-RELEASE-p11 zur Behebung des Problems bereit.

Version 51 (2018-06-27 18:17)

Für SUSE Studio OnSite 1.3 steht ein Sicherheitsupdate für 'gcc43' bereit, welches die 'exopline'-Mitigation für die s390x-Architektur beinhaltet.

Version 52 (2018-07-11 13:39)

Microsoft aktualisiert in seinem Sicherheitshinweis ADV180002 erneut den Punkt FAQ #15, um über zusätzliche Sicherheitsupdates zur Behebung der Schwachstelle CVE-2017-5715 (Spectre Variante 2 - Branch Target Injection) für AMD-Prozessoren für Nutzer von Windows 8.1, Windows Server 2008, Windows Server 2008 (Server Core installation), Windows Server 2012, Windows Server 2012 (Server Core installation) sowie Windows Server 2012 R2 und Windows Server 2012 R2 (Server Core Installation) zu informieren. Die Sicherheitsupdates KB4338815 / KB4338820, KB4338820 und KB4340583 sind über den Microsoft Update Catalog verfügbar (siehe Referenzen). Weiterhin wurde dieser Sicherheitshinweis komplett aktualisiert, um Kunden mit den aktuellsten Informationen zum Schutz ihrer System vor den 'Speculative Side-Channel Execution'-Schwachstellen CVE-2017-5753, CVE-2017-5715 und CVE-2017-5754 zu versorgen. Veraltete Informationen wurden entfernt.

Version 53 (2018-07-20 15:58)

Microsoft informiert darüber, dass ein dem Hersteller bekanntes Problem mit den im Juli 2018 für Windows 10 veröffentlichten Sicherheitsupdates existiert. Für Windows 10 werden als Reaktion darauf alternative kumulative Updates veröffentlicht, für andere Editionen von Windows stehen eigene Updates (Standalone Packages) oder gesammelte Updates (Rollup Packages) zur Verfügung. Derselbe Hinweis von Microsoft findet sich an der Beschreibung der Schwachstelle CVE-2017-5715 (Spectre v2, ADV180002) aus den Updates in Januar und Februar, das Problem liegt also möglicherweise in der Systemarchitektur begründet.

Version 54 (2018-08-21 18:10)

IBM informiert über Sicherheitsupdates für IBM Security Access Manager Appliances als Antwort auf die als 'Spectre' und 'Meltdown' bekannten Schwachstellen. Für IBM Security Access Manager Appliance steht die Version 9.0.5.0 (9.0.5-ISS-ISAM-FP0000) zur Verfügung. Für IBM Security Access Manager for Web stehen die Versionen 7.0.0 Interim Fix 35 (7.0.0-ISS-WGA-IF0035) sowie 8.0.1.8 (8.0.1-ISS-WGA-FP0008) zur Verfügung. Für IBM Security Access Manager for Mobile steht ebenfalls die Version 8.0.1.8 (8.0.1-ISS-ISAM-FP0008) zur Mitigation der Schwachstellen bereit.

Version 55 (2018-09-12 13:12)

Microsoft aktualisiert seinen Sicherheitshinweis ADV180002 erneut, um über Sicherheitsupdate KB4457128 für Windows 10 Version 1803 für ARM64-Systeme zum Schutz gegen CVE-2017-5715 zu informieren. Das Sicherheitsupdate ist über den Microsoft Update Catalog verfügbar (siehe Referenzen). Weiterhin wurde FAQ #19 mit weiteren Erklärungen hinzugefügt.

Version 56 (2018-11-14 11:42)

Microsoft aktualisiert seinen Sicherheitshinweis ADV180002 erneut, hat Informationen für Kunden mit Windows Server 2019 ergänzt und informiert über aktuelle Sicherheitsupdates für AMD-Systeme zum Schutz gegen CVE-2017-5715. Kunden die nach Installation der Sicherheitsupdates vom Juni und Juli und Aktualisierung des Microcodes von AMD hohe CPU-Auslastung festgestellt hatten, sollen die Sicherheitsupdates vom November installieren und die Mitigationen für Spectre Variant 2 erneut aktivieren, die zuvor aus diesem Grund deaktiviert worden waren. Diese Sicherheitsupdates sind verfügbar für Windows Server 2008, Windows Server 2012, Windows 8.1 und Windows Server 2012 R2. Weiterhin informiert Microsoft über Mitigationen zum Schutz gegen CVE-2017-5715 für ARM-Systeme für CVE 2017-5715.

Version 57 (2019-04-10 12:12)

Microsoft aktualisiert seinen Sicherheitshinweis ADV180002 erneut, um über weitere aktuelle Sicherheitsupdates für Systeme mit VIA-Prozessoren zum Schutz gegen Spectre Variant 2 (CVE-2017-5175) und Meltdown (CVE-2017-5754) für verschiedene Windows Systeme zu informieren.

Version 58 (2019-06-17 12:54)

Microsoft aktualisiert seinen Sicherheitshinweis ADV180002 erneut hinsichtlich der Information in der Tabelle in FAQ #9 für Kunden, die Systeme mit ARM-Prozessoren einsetzen.

Betroffene Software

Netzwerk
Office
Server
Sicherheit
Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Netzwerk
Cloud
F5
IBM
Juniper
Meinberg
Sophos
Apple
Google
Linux
Microsoft
Oracle
UNIX
Virtualisierung
Hypervisor

Beschreibung:

Die Implementierung für die leistungssteigernde Technik 'speculative Execution of Instructions' für verschiedene Mikroprozessordesigns ist fehlerhaft. Daraus resultieren mehrere Schwachstellen, die abhängig vom eingesetzten Prozessortyp von einem Angreifer ausgenutzt werden können: Die Schwachstelle CVE-2017-5715 (Spectre) betrifft Intel und AMD Mikroprozessoren und ermöglicht vermutlich einem Angreifer im benachbarten Netzwerk, Kernel-Programmcode an einer von ihm selbst kontrollierten Speicheradresse zur Ausführung zu bringen und dadurch privilegierten Speicher zu lesen. Die Schwachstelle CVE-2017-5753 (Spectre) betrifft Intel und AMD Mikroprozessoren und ermöglicht vermutlich einem Angreifer im benachbarten Netzwerk die Ausführung spekulativer Instruktionen des Betriebssystems oder Hypervisors hinter Speicher- und Sicherheitsgrenzen und darüber den Zugriff auf privilegierten Speicher. Die Schwachstelle CVE-2017-5754 (Meltdown) betrifft nach derzeitigem Kenntnisstand nur Intel Mikroprozessoren und ermöglicht einem lokalen, nicht authentisierten Angreifer das Auslesen von Kernelspeicher vom Userspace aus und dadurch die Ausführung beliebigen Programmcodes mit den höchsten Privilegien.

Über die genauen Auswirkungen der Schwachstellen wird noch im Einzelfall diskutiert, da diese auf unterschiedlichen Plattformen verschieden sein können. Die Bewertung der Schwachstellen basiert an dieser Stelle daher auf der Arbeit der Schwachstellenentdecker selbst (Project Zero) und den bisher bekannten Einschätzungen der betroffenen Softwarehersteller. Sicher ist, dass die zur Behebung der Schwachstellen notwendigen Patches Performanceeinbußen für die betroffenen Systeme mit sich bringen werden, da die Sicherheitsupdates primär auf einer Deaktivierung der leistungssteigernden Technik beruhen, und dass die Behebung der Schwachstellen sowohl Software- als auch Firmware-seitige Updates erfordert.

Im von Intel veröffentlichten Sicherheitshinweis verweist der Prozessorhersteller für Firmwareupdates auf die Hersteller und Distributoren der Systeme, die die hauseigenen Prozessoren einsetzen. Gleiches gilt auch für Systeme mit Mikroprozessoren anderer Chiphersteller, von denen bisher mit Ausnahme von AMD noch keine Stellungnahmen vorliegen. AMD weist darauf hin, dass die Schwachstelle CVE-2017-5754 (Meltdown) AMD-Prozessoren nicht betrifft, da diese eine andere Architektur verwenden. Für die Ausnutzung der Schwachstelle CVE-2017-5715 (Spectre) besteht auf AMD-Systemen aus demselben Grund nur ein geringes Risiko. Die Schwachstelle CVE-2017-5753 (Spectre) wird laut Aussage von AMD Software-seitig von Betriebssystemherstellern behoben. Da so gut wie alle aktuellen Betriebssysteme von den Schwachstellen betroffen sind, sollten die Hinweise der jeweiligen Softwarehersteller in den kommenden Tagen genau beachtet werden.

Der Xen Hypervisor ist laut Aussage des Herstellers von allen Schwachstellen betroffen. Als mögliche Auswirkung wird das Ausspähen aller Informationen aus dem Speicher eines geteilten Hosts genannt. Die Informationen können durch Ausführung spekulativer Instruktionen erhalten werden, die vom Angreifer kontrollierbar sind. Die Schwachstelle CVE-2017-5754 kann hier umgangen werden, indem Gastsysteme im HVM- oder PVH-Modus betrieben werden. Es stehen noch keine Sicherheitsupdates für Xen zur Verfügung.

Microsoft empfiehlt allen Nutzern, alle verfügbaren Betriebssystemupdates - insbesondere die bisherigen Windows Sicherheitsupdates vom Januar 2018 - zu installieren. Für Microsoft Surface Produkte kündigt der Hersteller ein Firmware Update an. Um die Schließung der Sicherheitslücken zu verifizieren stellt Microsoft ein PowerShell Script zur Verfügung und weist darauf hin, dass einige Antivirusprogramme nicht mit den Sicherheitsupdates kompatibel sind. Microsoft weist darauf hin, dass die aktuellen Updates auch Mitigationen für Internet Explorer und Edge im Kontext der Schwachstellen beinhalten. Die Auswirkungen auf diese Produkte sind bisher unklar. Im aktuellen Sicherheitsupdate für die Microsoft Browser werden vor allem Speicherkorruptionsschwachstellen in der Scripting Engine behandelt.

Für verschiedene Versionen von Microsoft Windows Server stehen ebenfalls Sicherheitsupdates zur Verfügung. Microsoft weist darauf hin, dass ein erhöhtes Risiko besteht, wenn die Server als Hyper-V Hosts oder Remote Desktop Services Hosts (RDSH) betrieben werden und wenn nicht vertrauenswürdiger Programmcode, beispielsweise über Container, auf den Geräten verwendet werden kann. Hier werden zusätzlich Registry-Einträge angegeben, um die Mitigationen auf dem Server zu aktivieren und es steht ebenfalls ein PowerShell Skript zur Prüfung zur Verfügung. Weiterhin stehen Sicherheitsupdates für verschiedene Versionen von Microsoft SQL Server und verschiedene Hinweise zu unterschiedlichen Einsatzszenarien zur Verfügung.

In Linux-Systemen werden aktuell Patches unter der Abkürzung KPTI (Kernel Page Table Isolation) veröffentlicht, die Kernel- und Userland-Speicher besser trennen sollen. Einige Softwarehersteller stellen gesonderte Firmware-Sicherheitsupdates zur Verfügung, die nur CVE-2017-5715 (Spectre) adressieren. Dazu existiert ein gesonderter Sicherheitshinweis.

Für das gesamte Red Hat Portfolio stehen bereits Sicherheitsupdates für den Linux-Kernel oder den Echtzeitkernel zur Verfügung. Hier werden die Schwachstellen für die aktuellen Red Hat Enterprise Linux 6 und 7 Editionen sowie die Editionen mit erweitertem Support (Advanced Update Support, Extended Update Support, Telco Update Support) behoben.

Für Fedora 26 und 27 stehen Kernel-Sicherheitsupdates im Status 'stable' (Fedora 27) beziehungsweise 'pending' (Fedora 26) bereit. In den Sicherheitsupdates wird die Schwachstelle 'Meltdown' erwähnt, möglicherweise wird hier also nur CVE-2017-5754 adressiert.

Schwachstellen:

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5753

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5754

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.