Meine Prognose, dass "Spectre" und "Meltdown" nur die Spitze des Eisberges sind, scheint sich zu bestätigen . Aber nur, weil das jetzt erneut Intel-CPUs betrifft, heißt das noch lange nicht, dass dies bei anderen Herstellern nicht auftritt, wie der Artikel ja schon andeutet. Ich denke, dass wir solcherlei Meldungen in Zukunft vermehrt und auch bei Telefonen zu lesen bekommen. Was die Patch-Problematik bei Billig-Telefonen neben dem Umstand, dass diese software-seitig nicht gepflegt werden, noch verschlimmert. Das bedeutet:

- Wir brauchen dringend "Open Hardware" und "Open BIOS"! Das in Kombination mit vollkommen freien und offenen Distributionen ohne BLOBs und sonstigen Müll, wie z.B. Trisquel oder gNewSense.
- Vergesst die Sache mit der Cloud, denn :"Die Cloud ist dort, wo man deine Daten klaut."
- Speichert wirklich wichtige Sachen nur auf Rechnern die von der Installation an konsequent NICHT verbunden sind mit dem Netz und die vollverschlüsselte Datenträger besitzen. Das schützt auch vor anderen "SchnüffelNSAen".
- Und: Überlegt euch, ob der Einsatz dieser "Taschenwanzen" wirklich eine so gute Idee ist. Das deren Software konzeptionell kaputt ist, ist ja nichts neues. Details zu deren zusammen gedengelter Hardware werden sicher nicht lange auf sich warten lassen.

Hallo Dr. Tux,

ich denke, das das Problem hier weniger propritäre Lösungen sind. Mögen sie gut oder weniger gut oder katastrophal sein. Sicherheitslücken gibt es auch zu Hauf in Open Source. Um mal ein paar typische Vertreter der jüngeren Geschichte zu nennen: OpenSSL, Libreoffice, Imagemagic oder neulich der Debian Bug in Beep www.debian.org/security/2018/dsa-4163. Also wo ist da Open Source besser als propritäre Software?

Ich denke propritäre Lösungen sind anders schlimm. Man weiß halt nie was genau da in ihnen vor geht. Und vor allem weiß man nie, ob es nicht doch irgendwo eine Backdoor gibt, die der Hersteller nicht nennt. Oder hanebüchene Konstruktionen, die hinter Fassaden versteckt werden. Und es bedarf schon sehr ausgefeiltem Reverseengeneerings um das mal zu prüfen.
Aber andererseits ich würde mir auch nicht anmaßen zu sagen, das ich genau weiß, was gerade in meinem Linux Kernel so alles vor sich geht, und ob es da frei oder nicht, eventuell Teile gibt die ich nicht gut heiße. Aber zumindest gibt es die Hoffnung, das jemand mit mehr Kenntnissen sich den Code ansieht und gegebenenfalls Fehler meldet.

Ein zweiter Punkt ist, das man von dem Hersteller abhängig ist, der den Fix liefern muss. Aber immerhin gibt es da wenigstens eine Gewährleistung. Bei Open Source ist das eher eine Frage der Coder-Ehre als eine eines Vertragsverhältnises. In der Regel gibts einen Disclaimer.. keine Garantie für nix.
Und wenn der Programmierer gerade keine Lust hat oder sein Sabbatical in Nepal macht... dann muss sich erst mal jemand finden, der die Reperatur übernimmt.
Und hier, genau hier, sehe ich den eigentlichen Vorteil von Open Source: Denn jeder kann zur Not hingehen und das Problem patchen.

Ein weitere Strategie bei propritären Lösungen ist der Vendor-locked-in. Wunderbar bei den Äpfelchenprodukten, aber auch bei vielen anderen zu sehen. Du kaufst Produkt A und musst deshalb unbedingt auch B und C bis Z haben, damit es läuft. Oder schön bequem ist. Oder oder.. Und der Kram den man da ablegt oder gar kauft, kriegt man dann nur mit größter Mühe wieder auf was anderes übertragen, wenn überhaupt.

Im Fall von Sectre und Meltdown allerdings hilft dir Open Hardware leider auch nicht viel weiter. Das Problem ist, dass die Lücke tief im Design der Hardware liegt. Da hilft dann irgendwann nur noch austauschen. Tja, also hau wech den alten Kram

Liebe Grüße,
Klaren

"fefe" würden schreiben: Was wir schon lange nicht mehr hatten ...

... ist eine CPU-Lücke. Also:

I. proudly presents: "ZombieLoad" ( LN , PL )

Und die "Kernelologen" mussten mal wieder flicken. Es ist also höchste Zeit, dass jemand bzw. I. ihnen ein Bier spendiert.