Okay Freunde, so langsam legt sich die erste Aufregung...
Meltdown: Ja einer der größten CPU Bugs ever, Intel only (fast) aber lässt sich ohne größeren Aufwand patchen, dazu gibt es keine nennenswerten Leistungseinbußen. Für mich business as usual, Haken dran.
Spectre 2: Lässt sich auch patchen, ggf. Microcode Update und so wie es aussieht mit Performance-Einbußen. Gerade noch erträglich, und wenn wir optimistisch sind, dann wird Intel im Sommer nochmal ein finales Update bringen, mit welchem auch diese Einbußen gemindert werden. Womit wir dann auch sagen können: Uncool, aber ja it is what it is (inwiefern AMD hier betroffen ist oder nicht, werden wir sehen).
Spectre 1: "Will haunt us quite some time" / "Will keep us busy for a while" - lässt sich auch nicht ohne weiteres patchen, sondern erfordert Anpassungen an den
Anwendungen UND betrifft
ALLE (AMD; Intel, ARM).
Booom - das ist für mich wirklich der Super GAU und auch der einzige Fehler der wirklich zählt, gegen den man sich schützen muss und vorbereiten. Dazu finde ich aber sehr wenig. Der Herr von Heise, der aus dem Ruhestand zurückgekehrt ist, hat das ja technisch schön erklärt, aber was man dagegen machen sagt er auch nicht... außer man soll nicht mit dem Admin Profil surfen... wenn ich das aber richtig verstanden habe, geht das eben auch mit nicht privilegierten Nutzern (aufrufen von infizierten Webseiten).
So, das sollte man jetzt natürlich ein bisschen einordnen... müssen alle installierten Anwendungen "Spectre1 fixed" sein, oder nur die wichtigen (Veracrypt, KeePass etc.) - sorry @reimar, ich hab nicht ganz verstanden was Du da gemeint hast... wenn ich mich mal auf das Library Beispiel beziehe, und darauf die Randomization nicht funktioniert (nicht richtig), hab ich leise Hoffnung, dass sofern die wichtige Anwendung gefixed wurde (sprich ihre Daten so in den Speicher schreibt, dass es durch die Sidechannel Messungen nicht abrufbar ist), man erstmal sicher ist.
Wenn man dann aber an die ARM Prozessoren denkt, wird einem Angst und Bange: 60% der Smartphones werden hier keine Updates erhalten. Aber auch hier die Frage: Reicht es wenn die betreffenden APPS sicher sind? Und sind wirklich alle betroffen?
Raspberry Pi meint ja, sie wären nicht betroffen, einfach weil die CPUs keine Speculation unterstützen (klingt logisch).
AVM (Fritzbox), meint ja auch, sie wären zwar theoretisch anfällig, praktisch gibt es keine rogue code execution, daher kein Problem. Daher dann die Frage, ist wirklich jeder ARM Prozessor betroffen wohl eher nicht.... Aber gut, auch für die betroffenen Geräte, was heißt das jetzt?
Es muss eine Möglichkeit geben auf dem System solchen Code auszuführen, sei es nun über einen ungepatchten Browser oder sonst wie (da kommen mir Smart TVs in den Sinn). Aber so oder so, muss erst mal Code ausgeführt werden können, der auch wissen muss wonach er sucht. D.h. dass ich mit bisherigen Vorkehrungen weiter gut fahre (2FA etc.) es ist also ein bisschen so, wie wenn ich mein Bargeld zuhause nicht mehr in einem Tresor habe, sondern es ungeschützt rumfährt... d.h. aber auch, dass erstmal jemand in meine Wohnung kommen muss... D.h. ich darf wie bisher auch nicht jeden reinlassen, und muss auch auf ein richtiges Schloss achten... Das ist jetzt nicht sooo der Unterschied zu vorher, und das sollte man ja auch so oder so machen...
Zusammenfassung: Ja Situation ist blöd, aber nicht grundsätzlich anders als vorher...
Was halt erschwerend hinzukommt: Natürlich sagt jeder Sicherheitsforscher immer, das ist die schwerwiegendste Lücke ever , die ICH da gerade entdeckt habe... und die Mainstream Medien greifen das natürlich mit Kusshand auf, denn das Geschäft mit der Angst funktioniert hervorragend und garantiert Schlagzeilen... so steht man als End-user erstmal ziemlich dumm da...
Von der Medien-Schelte nehme ich Steffen ausdrücklich aus, denn der macht hier wirklich ein super Job, laufend Updates vom Artikel und auch im Forum aktiv, das ist mustergültig.
