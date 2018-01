Die Meltdown- und Spectre-Attacken betreffen alle Prozessoren mit der sogenannten „spekulativen“ Ausführung von Instruktionen, die bei praktisch allen modernen Prozessoren genutzt wird – bei den Power-Prozessoren seit der Einführung von Power3 im Jahr 1998 (mit einzigen Ausnahme des 2007 eingeführten Power6, der mit der sogenannten „In-Order-Execution“ arbeitet). Details dazu haben wir bereits auf IT-Zoom veröffentlicht.

Beruhigend ist angesichts der gravierenden Schwäche einzig und allein, dass diese drei Sicherheitslücken keinen unerlaubten Zugriff auf das System von außen ermöglichen. Erforderlich ist also ein berechtigter User auf dem System ein Schadsoftware installiert, die diese Schwächen ausnutzt und sich fremde Daten beschafft. Das heißt auch: Klassische Appliances, auf denen keine Fremdsoftware installiert werden kann, sind per Definition immun. Das heißt auch: Die klassische Verteidigungslinie der IT in Form von Firewalls und anderen Security-Tools gewinnt an Bedeutung und sollte tunlichst verstärkt werden, falls sie einen brüchigen Eindruck macht oder die Gefahr von Cyber-Attacken für das Unternehmen sehr hoch ist.

Um das Risiko weiter zu entschärfen, empfiehlt IBM: „Complete mitigation of this vulnerability for Power Systems clients involves installing patches to both system firmware and operating systems. The firmware patch provides partial remediation to these vulnerabilities and is a pre-requisite for the OS patch to be effective.“

Firmware-Patches for Power7+, Power8 und jetzt Power9 sind nun via FixCentral erhältlich Power7-Patches sollen am 7. Februar folgen. Auf FixCentral gibt es ebenfalls bereits die ersten Patches für IBM i; weitere sollen ab dem 12. Februar folgen. AIX-Patches gibt es noch nicht; die ersten sind für den 26. Januar, weitere ab dem 12. Februar. Erste Linux-Patches sind ebenfalls verfügbar – und zwar bei den jeweiligen Distributoren Red Hat, Suse und Canonical (für Ubuntu).

Weitere Informationen über diese Patches werden via PSIRT und entsprechende „Security Bulletins“ veröffentlicht.