Spectre und Meltdown | CVE-2017-5753 CVE-2017-5715 CVE-2017-5754

S
S.
User
Es gehen um die bösen Männer in Schwarz und sie bringen uns Schaden für unsere Gerätschaften und unseren Prozessoren mit sich :
https://meltdownattack.com/meltdown.pdf
https://spectreattack.com/spectre.pdf
Zwei Angriffen, bei welchen ausgeführtes JS, aber auch andere Apps, die ungenauigkeiten in der Prediction der Prozessoren nutzen können um geschütze Speicherinhalte auszulesen.
Betroffen sind nahezu alle Prozessoren und Gerätschaften der letzten 10 Jahren. Apple hat ja schon angekündigt auch die iPhone, Tab usw. zu Patchen, wie ihr OS ebenso.
Von Samsung vernehme ich zu dem Thema zur Zeit nichts. Ist in dem Hause Samsung da schon ein Team mit betraut und ist mit einem entsprechenden Patch zu rechnen? Auf einen None-Root System kann ich mich gegen eine JS-Sideattack kaum schützen, da ich in den mitgelieferten Browsern so gut wie keinen Einfluss auf die Ausführung von Code und die ausführung von Modulen nehmen kann.
Ebenso kann ich nicht ohne weiteres das System "Scannen" und überwachen um evtl. Software aufzuspüren, die auf den oben genannten Angriffsvektoren versucht Informationen aus dem System zu erlangen.
Da der Angriff JEDEN Prozessor betreffen kann und JEDE Hardware, welche über Browser / Internet / AppErweiterung müsste hier eigentlich von Samsungseiten auf die Plattformen Mobil, SmartTV, IOT usw. eingegangen werden.
Liegen dort bereits Informationen vor und / oder Patche in Arbeit. Wäre schön wenn dies einmal in Erfahrung gebracht werden kann, da die Nutzung des Geräts hierdurch zu einem Glücksspiel ausarten kann und evtl. schäden in den Bereichen Geld, Privatsspähre aber auch Gerätschaden in Folge entstehen können.

 
K
Kim
Hey,

Das sollte dir weiterhelfen:
Hallo SVL-VLI,
das Thema ist uns bekannt und wir haben bereits Infos bei den zuständigen Kollegen angefragt. Sobald diese vorliegen, teilen wir sie euch mit.
 
Super - dann warten wir mal auf die Developer *:smiling-face:
 
Jetzt habe ich Feedback:
Auf mobilen Geräten von Samsung mit Android-Betriebssystem dämmt das aktuellste Sicherheitsupdate das Sicherheitsrisiko ein. Wir empfehlen allen Kunden, ihre Geräte stets auf die neueste Softwareversion zu aktualisieren.
 
Wo kann ich den neuesten Sicherheitsupdate für mein tab3 SM T113 downloaden???
Bitte helfen Sie mir. Danke.
 
Hallo, mein Tab2 und unsere S3 minis wurden schon bei Hartbleed trotz Garantie und Beschwerde bei Samsung
nicht upgedated. Soll ich das wirklich glauben dass ein Android 4.2.2 wasserdicht ist?
hufnala
 
Ich besitze ein Galaxy Tab S3 und habe dort seit relativ langer Zeit keine Sicherheits-Updates bekommen. Dabei handelt es sich um ein aktuelles Gerät, das Samsung anscheinend alle Jubeljahre mal patcht. Meiner Meinung nach ist es notwendig, dass Samsung eindeutige Informationen veröffentlicht, welches Gerät mit welchem Patchstand verwundbar ist und welches nicht. Darüber hinaus ist ein verlässlicher Fahrplan zur Patchbereitstellung erforderlich.
Ich empfinde diese Antwort als absolut nicht zufriedenstellend.
 
Für alle, welche sich über fehlende Update beschweren.
Das liegt zum großen Teil in der Architektur von Android begraben. Bei jedem Update müssen die bestehenden Treiber der bestehenden Hardware angepasst werden, weswegen alte Gerätschafte oftmals nicht mehr mit Updates versehen werden.
Ein Umstand, den ich im übrigen auch nicht schön finde, aber leider uns noch in diesem und dem nächsten Android begleiten wird.
Google hat dieses Problem ebenso natürlich erkannt und hat daraufhin Treble in Angriff genommen :https://www.golem.de/news/project-treble-google-will-android-updates-revolutionieren-1705-127803.htm...
Treble ist im Prinzip eine entkopplung der Hardwarebasis und dem Betriebssystem. D. h. so etwas wie man es von Direct X her kennt. Dadurch werden die Hersteller in Zukunft es wesentlich leichter haben die Hardware langfristig mit Updates zu versorgen.
Bei alten Gerätschaften habe ich mir leider oftmals auch selbst helfen müssen, in dem ich das Gerät gerooted habe und dann eine alternatives Android aufgespielt habe. Wer diesen arbeitsintensive Vorgang in angriff nehmen möchte : How to root Android smartphones and tablets (and unroot them) | Digital Trends
Entsprechende CustomRom können dann hier eingesehen werden : Die besten Custom-ROMs für Android-Geräte | NextPit
Jedoch weise ich darauf hin das alle diese Vorgänge mit div. Risiken und Problemen versehen sind. Oftmals werden Hardwareeinbindungen für die Gerätschaft so spezielle angepasst, das die Funktionalität nach CustomRom + Root nicht mehr so geben ist, wie vorher.
Ein Paradbeispiel sind z. B. Kameras welche danach nicht mehr die vorherige Bildqualität aber auch z. B. Features wie stabilisierung richtig ausführen.
Alles in allen ist dies jedoch nur ein Weg zur selbsthilfe, wo hingegen die regelmässige Versorgung mit Security Update anzustreben wäre und meiner ansicht nach auch von gesetzlicher Seite fest vorgeschrieben werden müssten.
Ich gehe davon aus das wir binnen der nächsten 4-8 Jahre hier noch änderungen, auch auf gesetzlicher Seite, vorfinden werden, da die bestehenden Hardwaren immer mehr zu einem authentifikation Medium werden. Des weiteren werden inzwischen auch viele elementaren Steuerung für die Häuser und KFZ ( IOT / Carshareing ) usw. über Mobiltelefone abgewickelt.
Leider keine hunderprozentige Hilfe für die betroffenen, aber ein Versprechen auf eine besser Zukunft und eine Anleitung wie man es jetzt "selbst" machen kann, wenn es für notwendig empfunden werden sollte.
 
Hi, die Argumentation kann ich leider gar nicht nachvollziehen:
1) Samsung bringt die Geräte in Verkehr und ist damit "Hersteller".
Wenn Samsung eine Gefahr sieht (gesehen hat) dann hätten Sie das halt klären müssen, und müssen spätestens
jetzt entsprechend reagieren (s. 2.)
2) Die gesetzliche Grundlage ist aus dem Jahr 1984 - also weit vor Android und meinen Geräten,
also hat es auch keine rechtliche Änderung gegeben. Die ersten 3 Sätze im Wikipedia Artikel sagen schon fast
alles aus.
"https://de.wikipedia.org/wiki/Produkthaftung_(Deutschland)" und selbst unter härteren Regeln hier
"http://www.enzyklopaedie-der-wirtschaftsinformatik.de/lexikon/uebergreifendes/Kontext-und-Grundlagen...
Recht/Produkthaftung-bei-Software" kann ich nur entgegen halten dass meine Linuxe, die deutlich vor dem
Smartphone da waren, bereits patchbar waren. Patchen war also bereits vor 2010 "Stand der Technik".
An einen Satz "dieses Gerät nicht für Passwörter verwenden deren abhanden kommen Schäden verursacht" kann ich
mich
a) nicht erinnern
b) würde das ggf. dem "bestimmungsgemäßen Gebrauch" eines Smartphones wiedersprechen, also wertlos sein
3) Das rooten und alternative OS schließen die AGBs für meine Kreditkarte inzwischen explizit aus
wenn ich die Karte im Web verwenden will. Also kann ich entscheiden ein unsicheres (nicht gepatchtes)
oder ein verbotenes Gerät einzusetzen. Da die Kreditkartenfirmen spätestens jetzt aufwachen müssten, da das
Risiko gerade im Steigflug ist, ist auch klar. Ich hoffe die hat jeder diesbzgl. gelesen und verstanden bevor er sie
unterschrieben hat.
4) Ich bin zwar technikaffin, aber rooten und ein alternatives OS aufspielen würde ich erst dann wenn's
egal ist (neues Gerät gekauft) oder ganz ***** kommt.
4) Kaufe ich mir im Regelfall ein Gerät (und ja bei Samsung nicht in der unteren Preisklasse) dass ich
einsetzen kann ohne daran rumzubasteln. Wenn ich basteln will (z.B. Raspi) dann weiß ich das vorher.
Den habe ich übrigens OHNE Software gekauft und bin somit selbst Verantwortlich das der Patchstand passt
und auch der Rest halbwegs im Lot ist (Rechte, Netz, ...). Vielleicht auch etwas das viele Betreiber von
Gaming oder vServern ggf. erst auf die harte Tour lernen mussten als sie den Bot drauf hatten.
Mir ist schon klar, dass das nicht schwarz-weiß ist, Software anfällig für Fehler ist und manchmal erst beim Kunden reift und trotzdem ein Restrisiko bleibt. Andererseits ist aber das patchen relativ einfach (im Vergleich zu brennenden Akkus) und nun echt kein Hexenwerk mehr. Klar muss der Hersteller da ggf. Arbeit rein stecken, aber das ist halt auch seine rechtliche Pflicht und sollte bei 10% Rendite (Samsung) auch drin sein. Wir sprechen ja bei bei der Firma nicht von einer Hinterhofklitsche!
In USA geht's ja schon los mit Sammelklagen gegen die Hersteller, mal sehen was sich in der EU bzgl. Verbraucherschutz tut.
//hufnala
 
Kann man so sehen hufnala *:smiling-face:
Da ich Kunde und nicht bei Samsung beschäftigt bin, kann ich ja auch frei heraus sagen, das ich den Umstand als suboptimal empfinden. Be****** soll man ja nicht sagen!
Was das mit Sammelklagen usw. angeht, sind wir hier in der EU/DE sehr rückständig und ab und an hätte ich mir auch schon mal gerne 200.000 EUR über solcherlei Klagen besorgt.
Fakt ist einfach das hier Hersteller Hardware, Lieferant Software, Lieferant Service dann vor die Gerichte müssten. Denn wir haben es ja schon ein paar mal gehabt das google seine Software sehr zeitnahe gepachted hat, es dann zu Verzögerung in der Auslieferung zum Hersteller Hardware gekommen ist. Da dann wieder Zeit draufgeht bis es gepachted ist und "live" geht und danach die OTA Updates wegen der Mobilfunkanbierter sich verzögert haben.
Wir kennen auch alle den Effekt, das ein z. B. 2 Jahres altes "Premiumgerät" halt schon nicht mehr mit Updates versorgt wird. Einer der Gründ warum ich mir bei der Hardware immer gerne und lange Zeit lasse zum wechseln. Denn meist habe ich die Teile schon aufgebohrt und entsprechenden mit alternativen OS versehen.
Der Faktor Updatepolitik führt zu unmut und ich sage hier ganz entspannt : " Lass die Regierung es endlich mal Regeln" immerhin bezahlten wir die Leute ja. Muss aber halt erst einmal eine neue Regierung da sein und das Thema entsprechend auch durch deren gremien geschleppt werden.
Aber ich bin Felsenfest überzeugt das wir da demnächst Änderungen sehen werden. Denn ein Cell ist inzwischen nahezu wie ein Hausstand + Schlüssel anzusehen. Daten von Banking bis private Kommunikation + div. Schlüssel und zugänge, machen die gerätschaften schon sehr Regelmentierungswürdig.
Der Umstand muss nur eben auch in der Politik bekannt werden und dann entsprechend beachtet werden. I. d. F. hier haben wir es mit einem ziemlich übeln Fehler zu tun.
Zur Zeit werden "nur" PC und ein paar Router, Grafikkarten Hersteller betrachtet. Handy und Co. sind seit gut 2 Tagen mit auf dem Schirm. Bleibt abzuwarten was bei Industriemaschinensteuerungen, SmartTV, IOT - Housecontrols, IOT-Devices, KFZ Computern usw. noch folgen wird.
Die Lücke dürfe in viele Chipsets persitent vorhanden sein und an vielen Stellen wird man mit Patchen kaum eingreifen können.
 
Hallo DavidB.
ich habe gestern bei mein Tab S2 auf aktualisierungen geprüft.
Es wurde kein neues Update gefunden.
Könnten Sie bitte die Standard-Aussage bezüglich der Updates weiter hinterfragen und detailierte Antworten liefern?
Laut dieser Liste ist nicht geplant das 2015 erschiene Premium-Gerät Tab S2 mit einem Update gegen die Meltdown und Spectre-Lücke abzusichern:
https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwiB1v6L58_YA...
Können Sie diese Aussage mit detailierteren Informationen wiederlegen?
Gruß
Neo
 
Hi,
passiert hier noch was? Oder wird dies mit Standard-Antworten totgeschwiegen.
Aktuell wird das Tab S2 trotz Lücke noch regulär verkauft.
Gruß
Neo
 
Die Frage brennt mir auch unter den Nägeln. Habe gestern einen Thread dazu hier eröffnet:
https://eu.community.samsung.com/t5/Mobil/Tab-S2-kein-Sicherheitsupdate-f%C3%BCr-Meltdown-Spectre-ge...
Wenn das Tab S2 nicht mehr mit Updates versorgt würde, fände ich das unverschämt. Dann sollte man auch in den sauren Apfel beißen und das Gerät aus dem Handel nehmen. Angeblich haben die Premiumgeräte einen 2 Jahre andauernden Support. Dieses sollte sich auf das Kaufdatum beziehen und nicht auf das Jahr der Ersteinführung. Immerhin wird das Tab S2 noch für 400€ im Handel verkauft ...
 
Hallo zusammen,
auch für das Samsung Galaxy Tab S2 soll es voraussichtlich ein Sicherheitsupdate geben. Zu konkreten Terminen für Updates können wir keine Aussage treffen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben