Sicherheitslücken auch auf Power i

Der seit 1995 bekannte und nicht behobene Fehler in der Prozessorenarchitektur aller führenden Prozessorhersteller ist nun genauer untersucht worden und wie zu erwarten schädlicher und problematischer für AMD und Intel-basierte Systeme.

 

So ist Meltdown ausschließlich für Intel-basierte Systeme eine Gefahr, wohingegen Spectre auch Power und AMD Systeme angreifen kann.

Derzeit sind Meltdown und Spectre nur theoretische Bedrohungen, da sie durch Hacker nicht aktiv ausgenutzt werden. Dies liegt im Wesentlichen darin begründet, dass ein autorisierter Nutzer auf den Systemen zur Ausführung eines schädlichen Prozesses notwendig ist. Der Angriffscode muss also auf dem entsprechenden System ausgeführt werden und ist nicht von außen möglich.

 

Damit lassen sich bei guten Firewall-Lösungen Angriffe nur schwer umsetzen.

Im Einzelnen ist es möglich, auf parallele Prozesse der Prozessoren zuzugreifen. Damit wäre das Auslesen von. z.B. im Browser geöffneten Tabs seitenübergreifend möglich, oder auch LPAR übergreifend Datenklau realisierbar.

 

Eine Ausnutzung der Schwachstellen sind bisher nicht bekannt, werden aber für die weitverbreiteten Betriebssysteme Windows, Linux und AIX sicher schneller entwickelt, da Hacker sich wenn Systeme und Betriebssysteme mit hoher Verbreitung für Angriffe aussuchen.

 

Die Beseitigung der Schwachstellen sind schwierig. Insbesondere weil die Prozessorenleistung durch etwaige Patches um bis zu 10% sinken kann. Gerade bei LPAR Systemen ist diese Mehrlast schwierig auszugleichen.

 

Derzeit hat IBM Patches für Power 7 und Power 8 herausgebracht, deren Installation sehr kritisch zu sehen ist.

Über Fix-Central können diese kostenfrei geladen werden. Die Installation ist dann Kundenangelegenheit, was dann mit hohen Risiken verbunden ist.

 

Zusammenfassend kann man sagen, dass für fast alle unsere Kunden ein Patch derzeit nicht sofort empfehlenswert ist. Es sei denn, man hat die Maschinen ohne separate Firewall als Cloudlösung implementiert. Denn solange alle Firewallmechanismen greifen wird es schwierig sein einen schadhaften Prozess auf einer System i zu implementieren, wenn es zusätzlich noch eine funktionierende Kennwortpolitik gibt.

 

Für AMD, Intel und Handyprozessoren empfehlen wir einen Patch sobald verfügbar. Aber auch hier sollte man sich Hilfe bei der Installation holen.

 

Ab Power 9 ist die Sicherheitslücke bei IBM gänzlich geschloßen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.