Krautmaster schrieb:
ich denke halt gern über das nach was verbreitet wird und pauschalisiere nicht jedes Einfallstor zur Hiobsbotschaft schlechthin. Ich sage ja auch nicht man soll die Sache ignorieren und ich sag auch nicht dass jeder und jede Firma mit nem ungepatchen System auskommt und nichts zu befürchten hat.
Man muss aber wie bei jeden potentiellen Risiken abwiegen und ich nehme an das werden unsere Admins schon gemacht haben, und die vieler anderer Firmen, es ist ja nicht das einzige geschweige Denn das relevanteste Sicherheitsproblem vor dem Firmen heute stehen.
Es dürfte sich in nem normalen Betrieb sogar ziemlich weit unten einreihen.
5% Performance Verlust sind in vielen Firmen sicher teurer als den Schaden den man mit den Lücken ausrichten könnte. Sicher, schwer zu beziffern, das eine betrifft einen aber direkt, das andere "möglicherweise".
Das ist auch gut so. Zur Risikobewertung muss sowas auch rational bewertet werden. Aber die Annahme, dass deine Admins sich darum schon gekümmert haben ist absolut fahrlässig. Unabhängig von dir jetzt sind viele Mittelständler bei Securitythemen einfach überfordert. Zum Einen fehlt das Know-How zum anderen das Geld, denn Security bringt erstmal kein Plus in die Kasse und das sehen die Chefs in erster Linie.
Dieser Bug ist aus risikoanalytischer Sicht für den Privatanwender nicht "kritisch" aber trotzdem "hoch". Natürlich im Kontext mit welchen Daten gearbeitet wird.Für Firmen und Cloud-Kontext , etc. sieht die Sache aber schon anders aus.
Ich versuche es mal aus meiner Sicht zu erklären:
Diese Attacken (Meltdown, Spectre) sind Informationslecks und in erster Linie keine Attacken um beliebigen Code auszuführen. In erster Linie deswegen, weil durchaus denkbar ist, dass später durch andere Attacken in Kombination Code ausführbar gemacht werden könnte. Viele Exploits scheitern ja an Mechanismen wie ASLR, usw und da man ja quasi über die Speicherbereiche "Bescheid" weiss, kann man das dazu nutzen um den eigentlichen Exploit erfolgreich auszuführen.
Diese Lücken können durch Javascript ausgenutzt werden. D.h. ein Privatanwender (natürlich auch im Unternehmen) mit altem oder ungepatchtem Browser ist Gefährdet. Dazu muss er auch nicht "irgendwelche dubiosen Websites" besuchen. Es reicht auch, dass zbsp. Computerbase eine XSS-Lücke hat.
Auch die Rechnung mit Performance-Verlust vs. Schaden ist äußerst blauäugig. Es kommt natürlich auf die Daten an aber wenn festgestellt werden kann, dass personenbezogene Daten ausgespäht wurden, sehen die Aufsichtsbehörden dass nicht so locker. Und wenn du dich mit EU-DSGVO usw. auseinandergesetzt hast, kennst du auch die empfindlichen Strafen.
Ich sehe das so: Lieber einmal mehr Alarm geschlagen und festgestellt "ist ja doch nicht so schlimm" als zu sagen "ist doch nicht so schlimm" und dann hinterher aufräumen zu müssen. Vielleicht liegt das aber auch daran, dass ich aus dem Bereich komme und sehe wie so was läuft im Daily-Business.
Meine Empfehlungen für die Privaten:
Browser aktuell halten, No-Script, OS-Updates, Microcode-Updates und BIOS Updates machen wenn verfügbar. Gleichzeitig in Panik verfallen, Foren zuflamen, x86 den Kampf ansagen und sich über RISC-V informieren
Meine Empfehlungen für die Kommerziellen:
Sucht euren Security Consultant des Vertrauens auf und sprecht darüber. Falls ihr keinen habt, dann sucht euch einen. Falls ihr einen "guten" habt, dann hat er sich schon bei euch gemeldet
ich finde angesichts der Nutzung unserer Rechner zu 90% über Server, die Aussage es beträfe uns nicht, sehr blaugäugig ![[wege]mini](https://pics.computerbase.de/forum/avatars/m/778/778975.jpg?1575883542){kind=avatar}
