Meltdown & Spectre: So lässt sich das eigene System auf die Sicherheitslücken überprüfen
Nach dem Bekanntwerden der schwerwiegenden Sicherheitslücken "Meltdown" und "Spectre" in zahlreichen Prozessoren und vor allem bei Intel-CPUs sind unter anderem unter Linux und Windows erste Gegenmaßnahmen in Form von Patches freigegeben worden. Ob das eigene Windows-System betroffen ist beziehungsweise inwieweit die ersten Sicherheits-Updates greifen, lässt sich mit einem Gratis-Tool oder per Powershell-Script überprüfen.
Meltdown und Spectre sorgen derzeit für einiges Aufsehen in der IT-Welt, handelt es sich doch um schwerwiegende Sicherheitslücken auf Hardware-Basis in einer Vielzahl von Prozessoren, die ein System umfassend angreifbar machen. Nach den ersten Betriebssystem- und Webbrowser-Updates zur Abschwächung der Problematik gibt es mittlerweile für den Endnutzer auch einfache Methoden selbst zu überprüfen, inwieweit das eigene Windows-System durch die Schwachstellen verwundbar ist, etwa mit dem vom Windows-Experten Alex Ionescu auf Github.com zum Download bereitgestellten Tool "SpecuCheck", das auf die Maßnahmen gegen CVE-2017-5754 (Meltdown; rogue data cache load) und CVE-2017-5715 (Spectre; branch target injection) prüft.
Derweil bietet auch Microsoft auf seinen Support-Webseiten eine Anleitung zur Überprüfung über die Powershell, wo man über den Befehl "PS > Install-Module SpeculationControl" das bereitgestellte Powershell-Script installieren muss. Dieses lässt sich dann über den Befehl "PS > Get-SpeculationControlSettings" ausführen und gibt dann ebenfalls den Stand zu CVE-2017-5754 (Meltdown; rogue data cache load) und CVE-2017-5715 (Spectre; branch target injection) aus. Letztere Lücke lässt sich bekanntlich nur per Firmware-Update in Form von neuem Microcode für die CPU beheben, während das Powershell-Script ebenso wie das oben genannte Tool zur anderen bekannten Spectre-Variante (CVE-2017-5753; bounds check bypass) keine Angaben machen kann, da diese herstellerseitig für jede Anwendung einzeln behoben werden muss.
Quellen: via chip.de & computerbase.de
Nur, weil man davon Jahrzehnte lang nichts wusste, heißt das nicht, dass das Problem ungefährlich ist. Dass das ganze erst jetzt entdeckt wurde, liegt auch daran, dass das Thema IT-Sicherheit vor 20 Jahren längst nicht das Thema war, das es heute ist - das Internet hat sich seitdem massiv weiterentwickelt, und damit auch die real existierenden Bedrohungen.
SpecuCheck v1.0.3 -- Copyright(c) 2018 Alex Ionescu
SpecuCheck | SpecuCheck is a Windows utility for checking the state of the software mitigations against CVE-2017-5754 (Meltdown) and hardware mitigations against CVE-2017-5715 (Spectre) -- @aionescu
-------------------------------------------------------
Your system either does not have the appropriate patch, or it may not support the information class required.
---
Ja, sehr nützlich, das Tool. Sehr guter Programmierer (nicht)
Und der Mist tritt Vorläufig bei Intel Cpu's ab 1995 auf, richtig? * Gut, dass ich auf AMD umgestiegen bin.
kann mir einer dazu was sagen. das gibt meiner aus. ist er nun geschützt oder nicht...
Speculation control settings for CVE-2017-5715
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True
[Ins Forum, um diesen Inhalt zu sehen]