Meltdown en Spectre: ernstig beveiligingslek in processors
Beveiligingsexperts hebben ernstige kwetsbaarheden in processors van Intel, AMD en ARM gevonden waardoor gevoelige informatie als wachtwoorden gestolen kunnen worden. De bugs in het ontwerp van de processors hebben de namen Meltdown en Spectre gekregen.
Beveiligingsonderzoekers hebben twee soorten kwetsbaarheden in moderne processors ontdekt en deze namen Meltdown en Spectre meegegeven. De onderzoekers hebben papers over zowel Meltdown (pdf) als Spectre (pdf) gepubliceerd.
Kwetsbaarheden
Meltdown dat ook bekendstaat als CVE-2017-5754 is alleen van toepassing op Intel-processors en is een bug in de in Intel-processors gebruikte techniek speculative excecution. Hiermee proberen processors te voorspellen welke instructies mogelijk in de toekomst uitgevoerd worden en deze instructies voor tijdswinst alvast uit te voeren. De bug zorgt ervoor dat de isolatie tussen gebruikersapplicaties en het besturingssysteem doorbroken kan worden waardoor programma’s toegang hebben tot het kernelgeheugen van het besturingssysteem. Hierdoor hebben programma’s in het geheugen toegang tot informatie die niet toegankelijk zou moeten zijn zoals wachtwoorden.
De tweede ontdekte kwetsbaarheid Spectre, die ook bekendstaat als CVE-2017-5753 en CVE-2017-5715, is aanwezig in processors van Intel, AMD en ARM. Niet alleen computers, maar ook mobiele apparaten als smartphones en tablets worden getroffen door Spectre. De kwetsbaarheid maakt net als Meltdown gebruik van speculative execution. Spectre stelt applicaties in staat om informatie uit het geheugen van andere applicaties uit te lezen. Spectre is volgens beveiligingsonderzoekers lastiger om uit te buiten, maar is tegelijkertijd ook lastiger op te lossen.
Voor zover bekend zijn zowel Meltdown als Spectre nog niet in het wild misbruikt. Wel zijn de kwetsbaarheden in zogenoemde proof of concepts door bijvoorbeeld onderzoekers van Google aangetoond. Behalve voor individuele systemen hebben de kwetsbaarheden ook invloed op bijvoorbeeld cloudproviders waarbij verschillende gebruikers één processor delen. In theorie zou data van een andere gebruiker gestolen kunnen worden.
Patches
Fabrikanten werken momenteel aan oplossingen voor Meltdown en Spectre. Voor Linux-besturingsystemen is inmiddels een update voor Meltdown beschikbaar. Ook voor macOS is inmiddels een update tegen Meltdown beschikbaar.
Microsoft heeft vandaag beveiligingsupdates voor Windows 7, 8.1 en 10 vrijgegeven die systemen beschermt tegen Meltdown. Op Windows 10 worden deze updates automatisch uitgerold, terwijl de patch op Windows 7 en 8.1 vooralsnog handmatig geïnstalleerd moet worden. Microsoft meldt dat sommige antivirusproducten niet compatibel zijn met de patch die Meltdown verhelpt. In een Google-spreadsheet kun je precies zien welke antivirussoftware compatibel is. De beveiligingsupdates worden daarom alleen geïnstalleerd op systemen waarop compatibele antivirussoftware staat. Microsoft heeft een PowerShell-script gemaakt waarmee je na installatie kunt controleren of de kwetsbaarheid is opgelost.
De patches zouden de prestaties van een processor wel verlagen, afhankelijk van de toepassing kan een processor 5 tot 30 procent langzamer worden. Mogelijk zijn voor een sluitende beveiliging ook firmwarepatches voor je systeem noodzakelijk. Spectre is lastiger op te lossen en hier zijn nog geen patches voor beschikbaar.