Meltdown: Browser mitigation

Re(7): Meltdown: Browser mitigation

AVS_reloaded — Sat, 06 Jan 2018 14:49:22 GMT

Einfach gesagt:

danke, gute Beschreibung.

Ähmm, das is aber richtig oasch

Re(6): Meltdown: Browser mitigation

User587913 — Sat, 06 Jan 2018 13:56:21 GMT

Je länger die Sicherheitslücke unbehoben im System klafft (und nach aktueller Bestandsaufnahme gibt es nur wenige µArches, die einen Fix mittels µCode ermöglichen würden), desto mehr Wege werden gefunden werden, diese auch ausnützen zu können. Im Endeffekt läuft es auf ein ewiges Wettrennen hinaus, wer mehr Mauermörtel und den längeren Atem zur Verfügung hat.

Bei konventionellen Sicherheitslücken kann man sich immerhin sicher sein, dass nach einem einmaligen Fix (also einer der auch wirklich "zieht") die Lücke nicht mehr sonderlich schnell ausgenutzt werden kann, bei Spectre hingegen kannst zahlreiche Wege zustopfen, die aber das ursprüngliche Problem, nämlich das inhärent unsichere Verhalten einiger OoO-Exec.-CPUs, nicht beheben können.

Einfach gesagt: Du kannst einem Hämophilie-Patienten auf eine Schnittwunde so oft ein Pflaster draufkleben, wie du willst, solange du ihn nicht mit den Faktoren versorgst, die er zur Blutgerinnung benötigt, ist's für'n Oasch.

Re(6): Meltdown: Browser mitigation

User587913 — Sat, 06 Jan 2018 13:56:21 GMT

Je länger die Sicherheitslücke unbehoben im System klafft (und nach aktueller Bestandsaufnahme gibt es nur wenige µArches, die einen Fix mittels µCode ermöglichen würden), desto mehr Wege werden gefunden werden, diese auch ausnützen zu können. Im Endeffekt läuft es auf ein ewiges Wettrennen hinaus, wer mehr Mauermörtel und den längeren Atem zur Verfügung hat.

Bei "konventionellen" (also rein softwareseitig) Sicherheitslücken kann man sich immerhin sicher sein, dass nach einem einmaligen Fix (also einer der auch wirklich "zieht") die Lücke nicht mehr sonderlich schnell ausgenutzt werden kann, bei Spectre hingegen kannst zahlreiche Wege zustopfen, die aber das ursprüngliche Problem, nämlich das inhärent unsichere Verhalten einiger OoO-Exec.-CPUs, nicht beheben können.

Einfach gesagt: Du kannst einem Hämophilie-Patienten auf eine Schnittwunde so oft ein Pflaster draufkleben, wie du willst, solange du ihn nicht mit den Faktoren versorgst, die er zur Blutgerinnung benötigt, ist's für'n Oasch.

Re(5): Meltdown: Browser mitigation

AVS_reloaded — Sat, 06 Jan 2018 13:01:57 GMT

ok, so weit, so schlecht.

Aber wie kommt "etwas", das auf irgendeiner HP sitzt, in die Tiefen meiner CPU????

Auch wenn ich den Riß in der CPU nicht zulöten kann, den Weg dahin kann ich zumauern.

Re(5): Meltdown: Browser mitigation

AVS_reloaded — Sat, 06 Jan 2018 13:00:38 GMT

OK, das leuchtet ein

Re(4): Meltdown: Browser mitigation

Fly — Sat, 06 Jan 2018 11:30:52 GMT

Ein bissi was ist da halt schon anders.

Erstens, bei allem anderen reicht's einen anderen Browser zu verwenden, andere Einstellungen vorzunehmen oder wenn alle Stricke reißen, auf den zu erwartenden Patch des Programms zu warten der innerhalb von 1-2 Wochen spätestens auftauchen wird.

Bei Silizium tut man sich mit'm Patch halt ein bissi schwerer. Weil das "daheb" nicht mal ich mit meiner hardware-Werkstatt, so kleine Lötkolben zum Umbauen von Prozessor-Dies hab ich leider grad nicht da.

Und zweitens reden wir da vom Fundament Deines Systems das Risse hat. Egal was Du da drauf laufen hast, und wenn's SE-Linux, hardened bis es unbenutzbar wird, ist: Nutzt nix. Macht's nicht besser. Du kannst noch so viele Workarounds dazu basteln, die Lücke bleibt bestehen und Du kannst Dich drauf verlassen, dass man einen Workaround für Deinen Workaround finden wird, alles nur 'ne Frage der Zeit.

Re(4): Meltdown: Browser mitigation

kaufinator1 — Sat, 06 Jan 2018 10:32:37 GMT

Es ist schon was anderes, weil du beim Phishing (irrtümlich) selber deine Daten dem Angreifer bekannt gibst. Das Auslesen der Daten bei Meltdown kann ohne deine Mitwirkung stattfinden.

Re(3): Meltdown: Browser mitigation

AVS_reloaded — Sat, 06 Jan 2018 08:35:02 GMT

OK, schlecht.

Aber nix anderes als die 1000fach bekannten pishing-Sachen oder Browser-Lücken.

Re(5): Meltdown: Browser mitigation

AVS_reloaded — Sat, 06 Jan 2018 08:34:28 GMT

wenn du eh überweisen willst, dann wird halt zeitgleich noch eine Überweisung
gemacht und du gibst den TAN sowieso ein.

der TAN gilt aber NUR für EINE und zwar eine ganz bestimmte Transaktion.

Re(11): Meltdown: Browser mitigation

ChrisS — Fri, 05 Jan 2018 22:40:37 GMT

Ehrlichgesagt weiß ich nicht worüber wir hier diskutieren. Deiner ursprünglichen Antwort entnahm ich, dass es vielleicht etwas gibt wovon ich nichts wusste. Wenns aber auch nur drauf rausläuft, dass die Leute die SMS halt nicht überprüfen hat diese Diskussion für mich keinen Mehrwert.

Re(10): Meltdown: Browser mitigation

Srv-02 — Fri, 05 Jan 2018 20:17:15 GMT

Es gibt noch immer genug Menschen die ihre TANs auf gefakte Bankenwebseiten eintragen, wieso sollten die zwei SMS hinterfragen anstatt auszuprobieren welcher jetzt funktioniert?

Ja, du könntest dank dem Sessioncookie eine zweite Überweisung hinzufügen und hoffen dass die bei der Übersichtsseite nicht auffällt. Das ging aber mit dem Trojaner ZEUS viel eleganter.

Re(9): Meltdown: Browser mitigation

ChrisS — Fri, 05 Jan 2018 20:02:39 GMT

Doch, aber diese Methode wär ja Schwachsinn. Grad bei zwei SMS müsste ich dann reinschauen welche die Richtige ist und nachher auch noch ob der Auftrag durchgegangen ist.

Wenn man eine zweite Überweisung in eine einzelne Transaktion packt wär das viel unauffälliger.

Re(8): Meltdown: Browser mitigation

Srv-02 — Fri, 05 Jan 2018 19:02:05 GMT

Du kriegst nur eine TAN bei multiplen Überweisungen die nicht miteinander verknüpft sind?

Re(7): Meltdown: Browser mitigation

ChrisS — Fri, 05 Jan 2018 17:33:08 GMT

Nein, tu ich nicht, aber egal.

Re: Meltdown: Browser mitigation

User587913 — Fri, 05 Jan 2018 17:08:45 GMT

Ach ja: Wer immer noch keinen Adblocker hat, wird's höchste Zeit!!!

Wenn AdBlock, dann gleich mit Skriptblocker-Listen zukleistern bzw. gleich NoScript oder µMatrix nutzen und ECMA-Scripts nur noch selektiv zulassen.

Re(6): Meltdown: Browser mitigation

User587913 — Fri, 05 Jan 2018 17:06:12 GMT

Die hauptsächlich betroffenen Mikroarchitekturen wurden bei Intel in Haifa, Israel, designt. Zionistische Weltverschwörung!!1elf

Re(8): Meltdown: Browser mitigation

Srv-02 — Fri, 05 Jan 2018 16:57:52 GMT

Weils niemand liest oder Leute denken, dass sie wieder einen Doppelklick gemacht haben.

Re(7): Meltdown: Browser mitigation

s3chaos — Fri, 05 Jan 2018 16:48:08 GMT

wieso egal?

Re(6): Meltdown: Browser mitigation

Srv-02 — Fri, 05 Jan 2018 16:45:13 GMT

Du kriegst zwar zwei SMS, aber egal.

Re(5): Meltdown: Browser mitigation

ChrisS — Fri, 05 Jan 2018 16:39:23 GMT

Leider wahr, die wenigsten lesen sich die SMS durch was da eigenlich überwiesen wird.

Re(4): Meltdown: Browser mitigation

Srv-02 — Fri, 05 Jan 2018 16:33:48 GMT

Kein Thema, wenn du eh überweisen willst, dann wird halt zeitgleich noch eine Überweisung gemacht und du gibst den TAN sowieso ein.

Re(3): Meltdown: Browser mitigation

s3chaos — Fri, 05 Jan 2018 16:10:28 GMT

zu einer Banküberweisung gehört aber noch der Telefon Tan

Re(5): Meltdown: Browser mitigation

Nomade1 — Fri, 05 Jan 2018 15:47:34 GMT

Was Du daraus ableitest überlasse ich Dir.

ja mich wunderts nur dass noch keiner eine passende verschwörungstheorie dazu ausgepackt hat

Re(4): Meltdown: Browser mitigation

Fly — Fri, 05 Jan 2018 15:05:40 GMT

Sagen wir's mal so: Google wußte es seit etwa April. Das läßt sich anhand des Zeitpunktes an dem die CVE-Nummer reserviert wurde relativ gut festmachen.

Was Du daraus ableitest überlasse ich Dir.

Re(2): Meltdown: Browser mitigation

Fly — Fri, 05 Jan 2018 15:02:59 GMT

Ganz, ganz grob gesagt: Stell Dir vor was passiert wenn ein Programm den Speicher eines anderen Programmes anschauen kann. Sagen wir mal, den Speicher Deines Passwortverwaltungstools.

Für die Onlinevariante: Stell Dir vor, eine Webseite kann das Session-Cookie (mit dem Du bei Deiner Bank als "Du" authentifiziert bist) auslesen, bei sich reinschreiben und 'ne Überweisung veranlassen. Oder halt bei Amazon was bestellen, oder auf meinen wertlosen Ramsch bei EBay bieten, oder...

Re(3): Meltdown: Browser mitigation

Nomade1 — Fri, 05 Jan 2018 14:53:09 GMT

danke fürn link

Re(3): Meltdown: Browser mitigation

Nomade1 — Fri, 05 Jan 2018 14:52:26 GMT

*aluhut aufsetz*

also ein weit offener seiteneingang, der nur mit einem stroballen verdeckt ist weil keiner daran denkt dass es so eindfacht ist, den die rothschild-cia-nsa-putin-aliens seit 30 jahren nutzen

Re(3): Meltdown: Browser mitigation

Nomade1 — Fri, 05 Jan 2018 14:52:26 GMT

*aluhut aufsetz*

also ein weit offener seiteneingang, der nur mit einem stroballen verdeckt ist weil keiner daran denkt dass es so einfach ist, den die rothschild-cia-nsa-putin-aliens seit 30 jahren nutzen

Re: Meltdown: Browser mitigation

AVS_reloaded — Fri, 05 Jan 2018 14:47:45 GMT

und jetzt für die DAUs: was tut mir das?

Re(2): Meltdown: Browser mitigation

HITCHER — Fri, 05 Jan 2018 14:43:06 GMT

Insidern ist der Bug schon seit zumindest 2 Jahren bekannt, aber man kannte wohl noch keine Gegenmaßnahmen.
Aber auch schon früher wusste man, dass Intel hier ein Unsicherheitsfeature eingebaut hat.

Siehe zB. Meldung von 2008:
https://www.heise.de/newsticker/meldung/Auch-Intels-Core-i7-Prozessoren-brauchen-bei-der-TLB-Invalidation-Aufmerksamkeit-218890.html

Re(2): Meltdown: Browser mitigation

Fly — Fri, 05 Jan 2018 14:42:39 GMT

Die eine Sicherheitslücke (die "Meltdown") ist relativ (!) trivial auszunutzen, nur sie zu finden ist nicht ganz einfach, weil man auf das Timing-problem erst mal kommen muss. Das ist wie bei diversen Rätseln, wenn man mal den Lösungsweg kennt ist es sehr einfach...

Re: Meltdown: Browser mitigation

Nomade1 — Fri, 05 Jan 2018 14:32:47 GMT

bin laie auf dem gebiet aber eine frage stellt sich mir:

in diversen berichten wird gesagt dass die intel-lücke recht simpel zu benützen ist (angeblich reichen dazu keine übermenschlichen it-kentnisse aus).

der bug ist seit mitte der 90er in der architektur.

und den soll bis dahin niemand bemerkt haben?!
ist ja wie wennst mit einer büroklammer und drei yt-videos ein hochsicherheitsschloss aufmachen kannst

oder versteh ich an dieser sache etwas grundlegendes nicht?

Meltdown: Browser mitigation

Fly — Fri, 05 Jan 2018 11:44:32 GMT

Wer grad erst vom Silvesterkater aufwacht und nicht weiß was gemeint ist kann das hier nachlesen.

Die ersten (zugegebenermaßen halbgaren) Workarounds für diverse Browser sind eingetroffen. Damit sollte zumindest der größte Angriffsvektor für die meisten User (surfen auf 'ne Seite, irgendein Ad-Fenster wurde von einem Angreifer gekauft der dort den Schadcode laufen läßt) vorläufig mal zumindest minimiert werden.

Microsoft hat vorerst mal einen Patch für Win10 veröffentlicht. Patches für 7 und 8.1 sollen nächste Woche kommen im Rahmen des üblichen Updates. Für den Fall dass noch wer 'n Grund brauchte den IE nicht mehr zu verwenden...

Google hat ein Update für Chrome rausgebracht (gibt's über die Optionsleiste rechts außen, wenn's nicht automatisch angezeigt wird über "Optionen - Help - About Google Chrome" anstoßen), ferner wird empfohlen bei Chrome in die URL-Eingabezeile

chrome://flags/#enable-site-per-process

zu schreiben und die strict-site Isolation (1. Option ganz oben) zu aktivieren. Fehler ist das so oder so keiner.

Mozilla hat ebenfalls 'n Update für Firefox rausgebracht, hier gilt ähnliches wie für Chrome, wenn's nicht ohnehin automatisch startet wenn man den Browser öffnet, mal eben die Einstellungen aufmachen und in "Allgemein" runterscrollen zu den "Firefox-Updates".

Meltdown: Browser mitigation

Fly — Fri, 05 Jan 2018 11:44:32 GMT

chrome://flags/#enable-site-per-process

Meltdown: Browser mitigation

Fly — Fri, 05 Jan 2018 11:44:32 GMT

chrome://flags/#enable-site-per-process

zuschreiben und die strict-site Isolation (1. Option ganz oben) zu aktivieren. Fehler ist das so oder so keiner.

Mozilla hat ebenfalls 'n Update für Firefox rausgebracht, hier gilt ähnliches wie für Chrome, wenn's nicht ohnehin automatisch startet wenn man den Browser öffnet, mal eben die Einstellungen aufmachen und in "Allgemein" runterscrollen zu den "Firefox-Updates".