CPU-Gate: Intel warnt Industrie, VMware warnt auch, Apple wird verklagt

Die einen strampeln sich noch damit ab, für die Prozessorlücken Meltdown und Spectre Patches zu entwickeln oder einzuspielen, die andern bemühen die Anwälte: Zwei iPhone-Besitzer verklagen Apple in Kalifornien. Sie beschuldigen den Konzern, er habe Geräte wissentlich verkauft, obwohl der ARM-basierte Prozessor "defekt" sei, weil er ein Sicherheitsrisiko für Nutzer darstelle. Und eine "richtige Reparatur" gebe es auch nicht, da die Patches zu Leistungseinbussen führen können, wie Apple auch zugibt.
 
Etwas lösungsorientierter sind andere am Werk. 'Bleeping Computer' inventarisiert auf einer Liste BIOS-Updates. Und 'Techarp' glaubt, eine vollständige Liste von betroffenen CPUs bieten zu können.
 
Und die Hersteller sind aktiv, da sowohl AMD- wie Intel-CPUs gegen Spectre (CVE-2017-5715) ein Microcode-Update benötigen. AMD folgt in diesen Tagen mit einem Patch, so eine Ankündigung.
 
Hersteller von Industrie-Steuerungs-Lösungen warnen
Intel hat damit begonnen, Microcode zu veröffentlichen für Linux-CPUs. Aber aufgepasst!, warnt Intel nun vor dem eigenen Update, wenn man Haswell- und Broadwell-Prozessoren hat, denn dann steht auch laut Herstellern von Industrie-Steuerungs-Lösungen Ärger ins Haus. Auch VMware warnt, wenn VMware ESXi "im Spiel" ist, vor Updates mit Microcode.
 
Dass das Patchen nicht in jedem Falle reibungslos verlaufen wird, war rasch klar. 'The Register' schreibt, dass die Patches für die Meltdown-Lücke in industriellen Steuerungssystemen Stabilitätsprobleme zur Folge haben sollen. Offenbar stehen SCADA-Systeme im Fokus des Ärgers, das gelte auch für Linux-Versionen. US-CERT hat eine Liste mit mehr Detailinfos aus dem Industriebereich von "ABB" bis "Siemens".
 
Oracle lässt immer noch nichts Konkretes von sich hören, auch der Schweizer Country Leader Hanspeter Kipfer hat auf Anfrage keine Präzisierungen zu bieten.
Nichts Neues haben wir zu 32-Bit-Betriebssystemen gefunden, die laut 'Heise' bislang als Prio-2 in der Patch-Entwicklung behandelt wurden.
 
Bei den ganzen Patch-Aktivitäten sollten IT-Verantwortliche die Business-Handys und -Tablets nicht vernachlässigen, warnt die britische Website 'Computing'. Der Bericht begründet dies damit, dass die Security-Firma Bridgeway herausgefunden habe, dass mindestens in Grossbritannien bislang erst vier Prozent der Devices gepatcht worden seien, die man hätte patchen können.
 
Das ist alles sehr unerfreulich, insbesondere da sich viele Experten einig sind, dass insbesondere die Meltdown-Lücke die Kreativität von Hackern geweckt hat. Seit einigen Tagen kursieren falsche Meltdown- und Spectre-Patches, bislang aber offenbar primär in Deutschland. (Marcel Gamma)