Stellungnahme von SONY zum Thema „Spectre“ und „Meltdown“

 

Die kürzlich bekannt gewordenen Sicherheitslücken „Spectre“ und „Meltdown“ die nahezu alle erdenklichen CPU’s betreffen, haben natürlich auch SONY mit ihren Qualcomm bzw. MTK Prozessoren erwischt. SONY hat dazu jetzt eine Stellungnahme abgeben die zeigen soll das SONY aktiv hinter einem Fix für diese Leaks sucht und diese Fehler so schnell wie möglich Ausmerzen will.

 

 

Sony Mobile treats the security and privacy of customer data with the utmost seriousness. We are aware of “Spectre” and “Meltdown” and would like to reassure our users that protective patches have been provided as part of our ongoing Security Update Programme – patched devices will have Android Security Patch dated 2018-01-05 or later.

In addition to keeping device software up to date, users can also take extra steps to protect themselves by only downloading trusted applicati

ons from reputable stores and by keeping all apps updated to the latest versions.

Was macht „Spectre“ nun genau? Die Spectre-Sicherheitslücke nutzt zwei Schwachstellen aus, welche unter den CVE-Nummern CVE-2017-5715 und CVE-2017-5753 geführt werden.

Die Sicherheitslücke umgeht implementierte Sicherheitsmechanismen wie Sandboxing oder die Trennung zwischen Programmcode und vom Benutzer bereitgestelltem Code (z. B. Interpreter vs. Skript). Während der Out-of-order execution des Prozessors wird vorläufig der Inhalt einer Speicherzelle aus dem eigenen Adressraum ausgelesen, auf die der aufrufende Prozess normalerweise nicht zugreifen könnte. Dieses „vorläufige Auslesen“ hinterlässt im Cache eine von außen bemerkbare Spur, auch nachdem das Ergebnis der spekulativen Ausführung verworfen wurde. (Quelle: Wikipedia)

 

 

Anzeige

 

Meltdown ist eine Hardware-Sicherheitslücke in Mikroprozessoren, über die ein unautorisierter Zugriff auf den Speicher fremder Prozesse möglich ist. Die Anfälligkeit für diese

Sicherheitslücke wurde für eine Reihe von Prozessoren der Herstellers Intel und des (noch nicht erhältlichen) Cortex-A75-Prozessor-Designs von ARM bestätigt, wohingegen AMD-Prozessoren derzeit nicht betroffen sind. Die Meltdown-Sicherheitslücke wird unter der CVE-Nummer CVE-2017-5754 geführt.

Die Sicherheitslücke besteht konkret darin, dass im Rahmen der Out-of-order execution der Prozessor vorläufig den Inhalt einer Speicherzelle ausliest und weiterverarbeitet, obwohl der aufrufende Prozess für diesen Speicherabschnitt keine Rechte hat. Dies hinterlässt im Cache eine von außen bemerkbare Spur, auch nachdem das Ergebnis der spekulativen Ausführung verworfen wurde. (Quelle: Wikipedia)

Diese beiden Sicherheitslücken spielen sich also gegenseitig in die Hand und sind in Kombination ein wirklich Ernst zu nehmendes Problem und tatsächlich auch für Android die erste Sicherheitslücke die potentiell großflächigen Schaden anrichten könnte, würden die Hersteller nicht reagieren. Da aber die meisten Hersteller wie auch SONY eiligst daran arbeiten einen Fix für dieses Problem zu finden, sollte ein potentieller Schaden durch Angriffe sehr gering ausfallen.

Anzeige

 

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.