Meltdown en spectre

Het lek dat bijna elke pc- en serverchip treft!

Odoo afbeelding en tekstblok

Meltdown

Het gaat om twee gelijkaardige securityproblemen die de naam Meltdown en Spectre meekrijgen. De eerste treft vooral Intel-chips. Het gaat om een ontwerpfout waardoor gevoelige data zoals wachtwoorden en encryptiesleutels uit het geheugen kunnen gehaald worden. Onder meer The Register onthulde dat malware, apps of JavaScript in de browser, inhoud uit het private kernel memory kunnen lezen en zo info kunnen onttrekken waar ze normaal geen toegang tot mogen hebben.

Het probleem is dat de bugs niet aan een specifieke versie van Windows, Adobe Flash of Java gelinkt zijn, maar dat ze voor komen in bijna alle chips van Intel. Aanvankelijk werd gesproken over chips van de laatste tien jaar, maar nu vermoedt men zelfs datalle Intel-chips sinds 1995 kwetsbaar zijn. Voornaamste uitzonderingen zijn de Itanium processoren en de Atom-chips die voor 2013 zijn verschenen.

Meltdown treft geen chips van AMD, maar wel enkele modellen van ARM.

Spectre

De andere bug krijgt de naam Spectre mee en maakt het mogelijk dat apps de info van andere of de eigen processen bemachtigen. Dat betekent dat kwaadaardige JavaScript-code in een webpagina op zoek kan gaan naar cookies in het geheugen van je browser, om zo inloggegevens van andere sites te stelen. Deze fout zou lastiger te patchen zijn, maar ook lastiger om te misbruiken.

Hier zijn onder meer de Haswell Xeon chips van Intel getroffen, maar ook chips van AMD. Al nuanceert AMD zelf dat haar producten niet vatbaar zijn voor alle varianten van de aanval. De Ryzen-reeks, AMD FX en AMD Pro cores zijn zo te misbruiken.

 

Odoo afbeelding en tekstblok
Odoo afbeelding en tekstblok

Patch kan systemen vertragen

Zowel AMD, Intel als ARM werden al gewaarschuwd in juni en sindsdien werkt de sector aan patches. Dit gebeurde discreet om te voorkomen dat hackers zelf actief op zoek gingen naar de fout.

Intussen zouden er patches zijn voor Linu, Windows en macOS (sinds versie 10.13.2). Maar ook die zijn niet feilloos. Zo zouden ze de getroffen systemen vertragen met vijf tot dertig procent. Al zou dat probleem zich vooral stellen afhankelijk van de workload. Intel zelf zegt dat er 'voor de doorsnee computergebruiker geen significante vertraging is." En ook die vertraging zou met de tijd weggewerkt worden.

Cloud

Spectre en Meltdown treffen niet enkel pc's. Ook servers, waaronder publieke clouds, zijn kwetsbaar. Bij Amazon kregen de Linux-systemen op AWS al een update. Google raadt aan dat virtuele machines gepatcht en herstart worden. Microsoft is momenteel bezig met een oplossing voor Azure.