"Meltdown&Spectre" Sicherheitslücken

Meltdown Spectre de

15.01.2018 - Informationen zu den "Meltdown/Spectre" Sicherheitslücken

Wie Sie vielleicht schon einschlägigen Medien entnehmen konnten, wurden kürzlich Sicherheitslücken (CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754) bekannt, welche durch spekulative out-of-order Befehlsexekution in modernen Prozessoren mehrerer Hersteller verursacht werden. 

Diese Sicherheitslücken können nur dann ausgenutzt werden, wenn Schadsoftware lokal auf dem betroffenen PC ausgeführt wird. Angriffe von außen sind über diese Sicherheitslücken nicht direkt möglich. Auch werden keine RAM Speicherbereiche geschrieben, es kann lediglich lesend zugegriffen werden.

Als Maßnahme gegen diese Probleme hat Microsoft Sicherheitsupdates bereitgestellt und auch die Hersteller der Web Browser haben entsprechende Updates veröffentlicht.
Aufgrund der vorhandenen Informationen wurde unsere Software geprüft und es wurden keine negativen Auswirkungen in atvise® scada festgestellt.

Im Einzelnen bedeutet das:

• Die Ausführung von Fremdcode in der Scripting Engine von atvise® scada ist nicht möglich und somit können von Dritten ungewollt keine Daten ausgelesen werden.
• Durch das Einspielen des Microsoft Sicherheitsupdates sind keine negativen Auswirkungen in Bezug auf Stabilität und Performance zu erwarten.
• Bei den Tests wurde festgestellt, dass einige Hersteller von OPC COM Servern Probleme mit den bereitgestellten Updates haben. Diese Probleme liegen nicht an atvise® scada und wir empfehlen unseren Kunden vor dem Update Kontakt mit dem Hersteller des entsprechenden Servers aufzunehmen.

Certec wird dieses Thema weiter beobachten und empfiehlt seinen Kunden die empfohlenen Maßnahmen der Browser- und Betriebssystemhersteller auf den Systemen durchzuführen.