CPU-Gate: "Nvidia GPU immun", "Exploit-Code kursiert"…

Was heute klarer wurde zum (vielleicht) allergrössten Security-Problem, und was Ärger bereitet.
 
Die Meldungen rund um die CPU-Lücken Spectre 1 und 2 (CVE-2017-5715 und CVE-2017-5753) sowie Meltdown schiessen wie Pilze aus den Boden: Viele Hersteller werden klüger und stellen Patches und/oder Informationen bereit.
 
Neu ist klar geworden, dass auch Fujitsu-Produkte betroffen sind. Und welche, das zeigt eine neue Liste (PDF). "Release date not yet confirmed" und "to be defined" dominieren die Update-Liste. Von speziellem Interesse sind sechs Fujitsu-SPARC Server, die betroffen sind. Konkret Fujitsu SPARC M12-1/M12-2/M12-2S sowie M10-1/M10-4/M10-4S. Konkreteres allerdings kann das Unternehmen noch nicht bieten, weder Daten noch Updates.
 
Noch keine News gibt es von Oracle, insbesondere stehen offenbar SPARC M7 und Spectre im Fokus des Interesses. Aber nicht nur Oracle tut sich schwer, auch IT-Security-Forscher, waren doch CPU-Schwachstellen bislang kein Mainstream-Forschungsthema.
 
Und Red Hat-Forscher glauben zu wissen, Spectre sei "wahrscheinlich" schlimmer für Virtuelle Maschinen denn für Container, meldet mindestens 'CRN' und liefert detaillierte Argumente, weshalb.
 
'Google Watchblog' veröffentlicht inzwischen einen Screenshot einer als "inoffiziell" bezeichneten Liste, welche Android-Smartphones und Tablets "mit ziemlicher Sicherheit" Updates erhalten werden.
 
Mit jedem Tag akzentuieren sich Probleme beim Patchen. Vielleicht könnte bei Apple-Produkten die Performance ordentlich absacken, glaubt man einem Beitrag eines Tech-Autors namens "Melv1n", der Tests dokumentiert. Er hat bis zu 51 Prozent Einbusse gemessen, aber verifiziert hat dies aktuell noch niemand.
 
Konfusion herrschte bis anhin rund um Nvidia. Sind die GPUs betroffen und welche? Gibt es Patches, gibt es keine und wofür? "Unsere GPUs sind immun, sie sind nicht von diesen Security-Fragen betroffen", zitieren 'Techcrunch' und andere den Nvidia-CEO Jensen Huang. Nvidia hat nun das eigene Security-Info so umformuliert, dass alles klar sein möge.
 
Sicher immer stärker im Fokus sind nun Antiviren-Hersteller, denn die Microsoft Windows-Updates und die AV-Programme lieben sich oft nicht. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht sich gezwungen, gleich eine eigene Anleitung für Jedermann zu publizieren, was zu tun sei.
 
Und langsam könnte es ungemütlich werden. In einem Blog-Interview von G Data lässt sich der Forscher Anders Fogh, der offenbar schon einige Zeit am Thema arbeitet, wie folgt zitieren: "Es ist ziemlich wahrscheinlich, dass wir in Kürze Malware sehen werden, die die Meltdown-Sicherheitslücke nutzen. Es kursieren bereits Proof-of-Concept-Codes sowie funktionierender Exploit-Code im Internet."
 
Der Experten-Ärger scheint zu wachsen
Noch nicht hundertprozentig einig ist man sich mit der Einschätzung von Meltdown und Spectre: "Gravierende und schwer zu behebende Sicherheitslücken" glauben die Experten des BSI. G Data hingegen glaubt sicher zu sein: "Meltdown und Spectre gelten als die gravierendsten Sicherheitslücken in der Computergeschichte."
 
Angesichts der Entwicklungen, so scheint es, kochen die Gemüter in den einschlägigen Foren langsam höher als üblich, die als so rational geltenden Informatiker meckern, fluchen, drohen und streiten.
 
Etwas sachlicher sind andere. Die Nachrichtenagentur 'Reuters' meldet, dass RZs und RZ-Grosskunden in USA schon mal Alternativen zu Intels x86-Architektur evaluieren und offen AMD wie ARM als Optionen nennen (wenn auch die Voraussetzungen und Konsequenzen des Wechsels unterschiedlich wären). Cloudflare gehört offenbar zu denjenigen, die einen Wechsel prüfen. (Marcel Gamma)