CPU-Gate: Apple patcht, Microsoft pausiert, Intel beruhigt, Linux meckert...

Microsoft muss das Patchen teilweise abbrechen, andere beklagen Performance-Probleme und das BSI fordert "Security by Default".
 
Apple rollt ein Update gegen die Chip-Lücke Spectre (CVE-2017-5753 und CVE-2017-5715) aus und dies für macOS High Sierra 10.13.2, iOS 11.2.2, und Safari 11.0.2. Die zweite Lücke namens Meltdown (CVE-2017-5753) hatte Apple im Dezember heimlich gepatcht.
 
Schlecht läuft es für Microsoft. Die Redmonder haben die Distribution ihrer Security-Updates gegen Meltdown und Spectre abgebrochen, nachdem Berichte eintrafen, dass AMD-Devices deswegen nicht mehr booten. In einem Blogpost im Supportforum gibt man die Probleme zu, aber Schuld daran sei, so zitiert 'The Verge' einen Microsoft-Verantwortlichen, die fehlerhafte AMD-Dokumentation. Aber der Stopp sei nur temporär, werden die User beruhigt.
 
Red Hat: "Bis 19 Prozent Performance-Impact"
Etwas beunruhigend könnten die Aussagen von Red Hat sein, was die Performance nach dem Patchen betrifft: Zwischen zwei und 19 Prozent sei der Impact.
 
'The Register' listet auch diverse weitere Aussagen zu merklichen Performance-Einbussen nach dem Patchen auf.
 
Irgendwie vergessen gegangen zu sein scheint im Informationstrubel die Linux-Kernel-Community, jedenfalls beschwert sich in einem Blogpost Greg Kroah-Hartman, immerhin verantwortlich für Linux Kernel Stable Releases, darüber und informiert über den Stand der Update-Dinge (welcher insbesondere bei Spectre noch unbefriedigend zu sein scheint).
 
Intel und Qualcomm: Spielen CEOs das Problem herunter?
Intel-Konzernchef Brian Krzanich hatte einen viel beachteten Auftritt an der CES. Dort versprach er, man habe in einer Woche Schutzmassnahmen gegen die Lücken für 90 Prozent seiner Prozessoren verfügbar. Für die restlichen Intel-Chips solle das Sicherheits-Update bis Ende Januar da sein.
 
Wer eine Entschuldigung angesichts des Problems und der Klageflut erwartet hatte, der wurde aber enttäuscht. Krzanich rede die Lücken klein, hiess es vielenorts kritisch.
 
In einem internen Memo hingegen soll Krzanich laut der Zeitung 'The Oregonian' gleichentags die Gründung einer neuen Security-Task-Force angekündigt haben, die "Intel Product Assurance and Security" heissen soll. Chef sei der Intel-Human-Resources-Chef Leslie Culbertson. Ebenfalls in der Gruppe sein sollen Josh Walden, Head Technology Group und Steve Smith, Vice President und General Manager des Bereichs Data Center Engineering.
 
Ebenfalls betont unaufgeregt gibt sich laut 'TechCrunch' Qualcomm-Präsident Cristiano Amon. "Dies ist kein Anlass zur Sorge für uns und das mobile Ökosystem", sagt er vor Medien an der CES.
 
BSI fordert "Security by Default"
Die Mehrheits-Meinung ist allerdings nach wie vor, dass sich die Chip-Industrie mit der Philosophie "Geschwindigkeit vor Security" selbst in den Fuss geschossen hat. Das strenge deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist auch dieser Ansicht: "Der vorliegende Fall ist ein erneuter Beleg dafür, wie wichtig es ist, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen. 'Security by Design' und 'Security by Default' sind Grundsätze, die für den Erfolg der Digitalisierung unerlässlich sind," lässt sich BSI-Präsident Arne Schönbohm in einer Mitteilung zitieren.
 
Das BSI "empfiehlt zudem Unternehmen und Privatanwendern, Sicherheitspatches für Betriebssysteme und insbesondere Browser unmittelbar einzuspielen, sobald sie von den Herstellern zur Verfügung gestellt werden. Auch für mobile Geräte sollten Sicherheitsupdates unmittelbar eingespielt werden." (mag)