Blockieren mit Augenmaß
Surfen in Zeiten von Meltdown & Spectre
Die kürzlich entdeckten Prozessor-Sicherheitslücken lassen sich per JavaScript ausnutzen, sodass Browser derzeit zu den Anwendungen mit dem größten Risikopotenzial gehören. Sie können die Gefahr aber reduzieren, wenn Sie bereit sind, dafür etwas zusätzlichen Aufwand in Kauf zu nehmen.
Die aktuellen Sicherheitslücken lassen sich besonders einfach mit ein paar Zeilen JavaScript im Browser ausnutzen: Ein Angreifer muss nur dafür sorgen, dass das Opfer eine Website aufruft, die das schädliche Skript einbettet. Dazu kann er es zum Beispiel mit einer Phishing-Mail auf eine eigens präparierte Seite locken oder versuchen, einer beliebten Site sein JavaScript unterzuschieben – zum Beispiel per Werbekampagne.
Die Browser-Hersteller haben mit ersten Patches auf die Lücken reagiert. Wenn Ihr Browser sich automatisch aktualisiert – was er sollte –, dann surfen Sie schon ein gutes Stück sicherer. Google, Mozilla und Co. sagen aber unisono über ihre Sicherheits-Updates, dass diese die Gefahr „abmildern“ sollen und ausdrücklich keinen verlässlichen Schutz darstellen.
Wer sein Risiko beim Surfen minimieren will, kommt daher um ein wenig zusätzlichen Aufwand nicht herum, und um es gleich deutlich zu sagen: Vollständigen Schutz gibt es auch damit nicht. Als wichtigsten Schritt sollten Sie, falls noch nicht geschehen, Ihr Betriebssystem auf das aktuelle Patch-Level aktualisieren. Sofern neue Versionen verfügbar sind, aktualisieren Sie auch das BIOS sowie alle Anwendungen, die über keinen Auto-Update-Mechanismus verfügen – was genau zu tun ist, haben wir im Titelthema von c’t 3/2018 für alle verbreiteten Mobil- und Desktop-Betriebssysteme zusammengetragen ([1] und darauffolgende Artikel). Was sich seitdem getan hat, lesen Sie auf Seite 16 in dieser Ausgabe.