Meltdown en Spectre kwetsbaarheid

Meltdown en Spectre kwetsbaarheid in 2018

Zoals u wellicht al hebt gehoord of gelezen zijn er twee beveiligingslekken bekendgemaakt die een potentieel gevaar vormen voor vrijwel alle apparaten die direct of indirect in je bezit zijn. Denk hierbij aan je laptop en smartphone tot aan de server waar uw website op draait. Op dit moment is er nog weinig bekend over Meltdown en Spectre. Overal ter wereld zijn ontwikkelaars bezig om zo snel mogelijk de kwetsbaarheden te dichten.

Het security-jaar is turbulent van start gegaan. Op het blog Python Sweetness verscheen op 1 januari een post waarin de auteur een aantal berichten en patches in de Linux-kernel aan elkaar knoopt. Hij concludeert dat er waarschijnlijk sprake is van een grootschalige kwetsbaarheid in processors.

Na enkele dagen van speculatie is op 4 januari de officiële documentatie over de kwetsbaarheden aan het publiek gepresenteerd. Hierin is duidelijk gemaakt dat de kwetsbaarheden misbruik maken van zogenaamde “Speculative Execution”; een optimalisatiestap die vrijwel alle moderne processors gebruiken om geheugendata uit te lezen die niet bereikbaar hoort te zijn.

consequenties en wat je eraan kan doen

Verschillende onderzoekers hebben inmiddels Proof of Concepts gepresenteerd die misbruik maken van deze kwetsbaarheden. Zo is het bijvoorbeeld mogelijk geheugen uit te lezen en wachtwoorden te stelen. Voor de kwetsbaarheden zijn nog maar beperkt maatregelen beschikbaar. De patches die wel beschikbaar zijn, hebben mogelijk sterke impact op de snelheid van systemen.

Meltdown en Spectre maken beiden gebruik van kwetsbaarheden in hardware. Ontwikkelaars werken op dit moment aan updates voor de verschillende besturingssystemen. Het is verstandig de komende tijd extraalert te zijn op OS-updates, firmware-updates van je processor en software-updates van bijvoorbeeld je browser.

Meltdown

De Meltdown-aanval zorgt ervoor dat de scheiding tussen gebruikersapplicaties en het operating system (OS) kan worden gecompromitteerd. Hierdoor krijgt een aanvaller volledige toegang tot het geheugen van een systeem, en bereikt daarmee gevoelige gegevens van het OS en andere programma’s.

Op dit moment zijn praktisch alle Intel-processors kwetsbaar voor de Meltdown-aanval. Voor AMD- en ARM-processors is dit nog niet duidelijk. Er zijn softwarepatches beschikbaar om de kwetsbaarheid op te lossen. Deze zullen de komende weken door de verschillende OS-uitgevers worden gedistribueerd.

Spectre

Bij de Spectre-aanvallen kan worden geforceerd dat code uit een ander programma wordt gedraaid die onder normale omstandigheden niet zou worden uitgevoerd, waardoor vertrouwelijke informatie kan worden gelekt.

Zowel Intel- als AMD- en ARM-processors zijn kwetsbaar voor Spectre. Een aanval die moeilijker is uit te voeren dan Meltdown en daarnaast ook moeilijker is af te wenden. De beschikbare maatregelen zijn zeer beperkt en beschermen alleen bij specifieke aanvallen.

APOODesign

Alle ontwikkelingen houden we nauwlettend in de gaten. We zijn daarnaast in direct contact met onze leveranciers over kernel-, firmware- en microcode-updates en voeren benodigde updates zo spoedig mogelijk uit op onze platforms. Deze week nog komen de officiële security-updates voor de Linux-kernel uit, die we direct zonder downtime voor de klanten zullen doorvoeren.

 

Meltdown & Spectre tot dusver

10 januari 2018:

Voor Ubuntu en Linux Mint zijn updates verschenen die gebruikers tegen de Meltdown- en Spectre-kwetsbaarheden moeten beschermen. Aangezien ondersteuning voor Ubuntu 17.04 op 13 januari 2018 stopt, zijn de updates alleen bedoeld voor versie 17.10.

8 januari 2018:

In de meest recente update van macOS wordt Safari geüpdatet. Hierin zitten mitigaties voor de JavaScript-aanvallen die gebaseerd zijn op de Spectre-kwetsbaarheid. Deze update is beschikbaar voor 10.11 El Capitan, 10.12 Sierra en 10.13 High Sierra. Bekijk de supportpagina van Apple voor meer informatie.

5 januari 2018:

In drie verschillende staten in Amerika zijn class-actionrechtszaken gestart tegen Intel. De aanklagers noemen de kwetsbaarheden zelf, de trage reactie van Intel en de negatieve impact van de fixes op de snelheid van systemen die gebruikmaken van Intel-processors.

Apple had aanvankelijk aangegeven dat zowel macOS High Sierra als macOS Sierra en OS X El Capitan fixes bevatten tegen Meltdown. De laatste twee zijn echter weer verwijderd uit het overzicht.

De oprichter van Raspberry Pi geeft aan dat Raspberry Pi's niet kwetsbaar zijn voor Spectre of Meltdown.

4 januari 2018:

De update van Microsoft blijkt in sommige gevallen te leiden tot crashes van systemen. De boosdoeners? Antivirussoftware

3 januari 2018:

Er wordt meer duidelijk over de kwetsbaarheden en er stroomt steeds meer nieuws binnen. Duidelijk is in ieder geval dat laptops en Android-telefoons kwetsbaar zijn. Het is nog niet zeker of er een iOS-update moet komen.

 

  • Microsoft heeft een update vrijgegeven voor Windows 10 onder de noemer KB4056892. Deze update bevat onder andere mitigaties tegen Meltdown

 

  • Google Chrome krijgt een update waarin maatregelen zijn genomen tegen Meltdown om ervoor te zorgen dat programma’s geen toegang krijgen tot het systeemgeheugen

 

  • Mozilla laat weten te werken aan een fix voor de browser vanaf de eerstvolgende update

 

  • Intel komt met een persbericht

 

 

  • De security-onderzoeker van Google Project Zero, Jann Horn, komt naar buiten met nieuws over de kwetsbaarheid.