[Gelöst] Atom CPU von FB6490 o.ä. verwundbar durch Meltdown/Spectre?

vaxinf

Mitglied
Mitglied seit
17 Feb 2016
Beiträge
217
Punkte für Reaktionen
11
Punkte
18
Nachdem in der Liste der verwundbaren CPUs auch Atom CPUs auftauchen, stellt sich mir die Frage, ob auch die FB6490 und andere betroffen sind?

Natürlich wäre es wohl schwerer in einem geschlossenen System diese Lücke auszunutzen, aber wer weiß!

Leider finde ich im Netz nicht den genauen Intel CPU Typ, den AVM einsetzt. Wer weiß mehr?
 
Eine XSS Atacke auf...
http://192.168.178.1/flash.html
...und "play" auf irgendner Tastatur eingetippt führt "Tetris" nicht mehr aus ?
Bei mir geht das aber noch ( 7560, 6.92 ).
Ach so...
AVM schrieb:
Derzeit sehen wir darin keine neuen Angriffsmöglichkeiten auf das Sicherheitskonzept von AVM-Produkten.
...die Brille die bei Gefahr undurchsichtig wird.
 
[OFF TOPIC]
Die Weihnachtsmänner (Nikoläuse) sind noch nicht mal ganz aufgegessen, und hier gibt es schon die Eastereggs... :rolleyes::)
[/OFF TOPIC]
 
Das Ei ist ja schon ganz schön alt, geht sogar auf einer 7112/7113.
...gucke aber immer beim/nach Update, obs noch da ist.
:rolleyes:
 
Zuletzt bearbeitet:
Der Provider ?
 
lt. Intel sind folgende ATOMs betroffen:
  • Intel® Atom™ Processor C Series
  • Intel® Atom™ Processor E Series
  • Intel® Atom™ Processor A Series
  • Intel® Atom™ Processor x3 Series
  • Intel® Atom™ Processor Z Series
welche ATOM-version ist eigentlich in den FB's?
 
Da hat AVM aber auch sehr umsichtig und genau formuliert und hier kann man ihnen auch nicht den Vorwurf machen, daß sie auf Fragen geantwortet hätten, die gar keiner stellt.

Die FRITZ!Box lädt nun mal wirklich keinen Code von irgendeinem anderen Gerät, der als "Malware" auf der Box ausgeführt werden könnte. Wenn man solchen Code dort zur Ausführung bringt, interessiert Meltdown und Spectre nicht mehr die Spur - wer das hinbekommt, ist automatisch schon "root "und braucht keine Kopfstände, um Daten aus fremden Prozessen und Speicherbereichen auszulesen, er darf das dann "ganz offiziell" (über /proc/kmem).

Es gibt auch keinen Prozess auf der FRITZ!Box, der fremden Skript-Code o.ä. ausführt (m.W. nicht einmal beim ULE/HAN-FUN) und damit bliebe als Ursprung eines entsprechenden Programms nur noch AVM selbst ... und exakt das hat AVM zum Ausdruck gebracht:
Code:
Um die Schwachstellen auszunutzen, müsste ein Angreifer in der Lage sein, seine Anwendung auf dem AVM-Produkt zur Ausführung zu bringen. Anders als bei Systemen mit offener Architektur und Zugang zum Betriebssystem ist es für unsere Produkte prinzipiell nicht vorgesehen, Anwendungen Dritter auszuführen.
Da sehe ich (persönlich) jetzt auch keine Ausflüchte oder irgendwie bewußt vage formulierte Aussagen wie noch bei KRACK vor kurzem, wo das halt nur die halbe Wahrheit war, wenn betont wurde, daß Boxen im DSL-Router-Modus nicht betroffen sind, was kein normaler Kunde (und an den richtet sich die Box ja in erster Linie) korrekt interpretieren kann.

Auf der (unbehandelten) Box kommt nur AVM-Firmware zum Einsatz. Punkt. Alles andere ist ohnehin eigenes Risiko des Kunden/Besitzers, wobei ich schon einigermaßen lange überlegen müßte, bis mir eine Anwendung einfiele, bei der auf dem Router fremder Code ausgeführt wird (das meint jetzt welchen, den nicht der Besitzer selbst dort laufen lassen will).

Im Browser eines Benutzers ist das heutzutage Usus (via JS, daher sind auch die Browser-Updates gg. Spectre sinnvoll, wenn wohl auch nur Pflaster, es fehlen ja noch viele Infos - mal sehen, was heute noch dazukommt, wenn "patch-day" ist) ... wie das auf die Box kommen sollte, wüßte ich im Moment nicht bzw. dann wäre eben nicht der Prozessor das Problem, sondern die Tatsache, daß da überhaupt etwas zur Ausführung gelangt.

Das sind ja Rechteausweitungen bzw. das Ausspionieren anderer Prozesse, welche die Ursache für die derzeitigen Prozessor-Probleme bilden ... solche Konzepte (getrennte Rechte-Domains) gibt es bei AVM ohnehin nicht im FRITZ!OS, da ist alles "root":
Code:
# ps w | wc -l
108
# ps w | grep -v root
  PID USER       VSZ STAT COMMAND
#
und niemand muß sich Gedanken machen, wie er seinem eigenen Code höhere Rechte verschaffen kann.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.