Was die Prozessor-Sicherheitslücken für die User bedeuten
04. Januar 2018, 18:241
Kommentar
Muss man sich jetzt zwischen Sicherheit und Performance entscheiden?
Die wohl schwerwiegendste Lücke stellt "Meltdown" dar. Dazu machen sich die Sicherheitsforscher Intels aggressiven Umgang mit der virtuellen Speicherverwaltung zunutze. Eigentlich sollen Kernel-Prozesse durch das zufällige Zuordnen von virtuellen Speicheradressen geschützt werden - dieser Prozess ist als sogenanntes "kernel address space layout randomization" (KASLR) bekannt. Doch bei "Meltdown" können auch andere Prozesse, die eigentlich über keine Berechtigung verfügen, den geschützten Speicherbereich laden und so auf sensible Daten auf Kernel-Ebene zugreifen.
Diese Sicherheitslücke ist vor allem für Cloud-Computing-Dienste sowie Virtualisierungssoftware (Software, mit der ein Computer in einer Sandbox emuliert werden kann) problematisch. So könnten Angreifer heikle Daten auf Cloud-Computing-Diensten abgreifen. Zahlreiche große Unternehmen setzen Cloud-Computing-Dienste zum Hosting ihrer Dienste ein. Eine Lösung für das Problem wurde mit der sogenannten Kernel Page-Table Isolation (KPTI) gefunden, bei der die Seitentabellen mit den virtuellen Speicheradressen nach Kernel- und Nutzer-Prozessen getrennt werden. Dadurch werden die Prozessoren aber auch erheblich verlangsamt.
"Spectre" ist ähnlich aufgebaut, betrifft aber auch AMD-Prozessoren und ist schwerer auszunutzen. Hierbei wird das sogenannte "speculative execution"-Verfahren ausgenutzt. Dabei führt ein Prozessor bestimmte Operationen "spekulativ" im Vorhinein aus, weil dieser erwartet, dass diese bald benötigt werden könnten. Eigentlich sollten fälschlich ausgeführte Befehle rasch wieder rückgängig gemacht werden und der geschützte Speicher unberührt bleiben. Doch die Sicherheitsforscher haben eine Möglichkeit gefunden, dabei über eine "side channel attack" geschützten Speicher abzurufen. So könnte ein Angreifer mithilfe von JavaScript Passwörter im Browser auslesen, obwohl diese Informationen eigentlich in einem geschützten Speicherbereich liegen.
Im Gegensatz zu "Meltdown" lässt sich dieses Problem nicht auf Betriebssystem-Ebene beheben, sondern muss von den Entwicklern der Software geschlossen werden. Daher rechnen auch die Sicherheitsforscher damit, dass uns "Spectre" noch lange Zeit beschäftigen wird.
Alle Infos dazu stammen von der FZ und der TU Graz
Kurze URL:
Das könnte Dich auch interessieren:
Die Präsidentschaftswahlen in den USA sind immer von großer Bedeutung, nicht nur für das Land selbst, sondern auch für die internationale Gemeinschaft. In diesem Artikel versuche ich mal einen Blick auf die möglichen Auswirkungen einer Wiederwahl von Donald Trump im Vergleich zu einer Präsidentschaft von Kamala Harris und was dies jeweils bedeuten könnte.
Hyundai hat sein neuestes wasserstoffbetriebenes SUV, den Initium, vorgestellt. Der Akku kann auch extern geladen werden.
Ähnliche News:
SynthID: KI-Textwasserzeichen ist Open Source
Geldwäsche-Prozesse nach Betrügereien mit gefälschten SMS häufen sich
Alex fotografiert: Mondsee unter Wasser - Die Überschwemmung 2024
Neuer Generator macht Strom aus Meerwasser
Alaska-Airlines-Pilot auf Pilzen - "Ich verstehe nicht, was real ist. Sie müssen mir die Hände fesse ...
Durchbruch bei Unterwasser-Datenübertragung erreicht
Elon Musks Augen-Implantate dürften nicht halten, was sie versprechen
Mehr als Bezahlen: Was NFC an der Kasse künftig können könnte
Julian Assange Ist Frei. Aber was bedeutet dies nun?
Microsoft verzichtet vorerst auf Rechenzentren unter Wasser
Geldwäsche-Prozesse nach Betrügereien mit gefälschten SMS häufen sich
Alex fotografiert: Mondsee unter Wasser - Die Überschwemmung 2024
Neuer Generator macht Strom aus Meerwasser
Alaska-Airlines-Pilot auf Pilzen - "Ich verstehe nicht, was real ist. Sie müssen mir die Hände fesse ...
Durchbruch bei Unterwasser-Datenübertragung erreicht
Elon Musks Augen-Implantate dürften nicht halten, was sie versprechen
Mehr als Bezahlen: Was NFC an der Kasse künftig können könnte
Julian Assange Ist Frei. Aber was bedeutet dies nun?
Microsoft verzichtet vorerst auf Rechenzentren unter Wasser
Weitere News:
Gesperrt auf Instagram und die SMS für den Einspruch kommt nicht an
aleX fotografiert: Wieder süsse Eichhörnchen
KI-Klage der New York Times: OpenAI löscht versehentlich Beweise
7-Zip-Lücke lässt Angreifer Schadcode ausführen
Whatsapp kann Sprachnachrichten transkribieren
Tesla mit höchster Rate tödlicher Unfälle
Valve: Steam ändert massiv den Umgang mit Season Pass und DLC
aleX fotografiert: Ein Wintermärchen am Obertrumer See
Palo Alto Networks: Rund 2.000 Firewalls von Hackern infiltriert
Lästiger App-Bug: Update und Deinstallation unter Windows 10 nicht möglich
aleX fotografiert: Wieder süsse Eichhörnchen
KI-Klage der New York Times: OpenAI löscht versehentlich Beweise
7-Zip-Lücke lässt Angreifer Schadcode ausführen
Whatsapp kann Sprachnachrichten transkribieren
Tesla mit höchster Rate tödlicher Unfälle
Valve: Steam ändert massiv den Umgang mit Season Pass und DLC
aleX fotografiert: Ein Wintermärchen am Obertrumer See
Palo Alto Networks: Rund 2.000 Firewalls von Hackern infiltriert
Lästiger App-Bug: Update und Deinstallation unter Windows 10 nicht möglich
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(1)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar abgestimmt...
;-)
© by Ress Design Group, 2001 - 2024