Meltdown en Spectre, iedereen is kwetsbaar

Afgelopen week was het breeduit op het nieuws dat er twee grote kwetsbaarheden zijn ontdekt in de hedendaagse processors door Project Zero van Google. Deze hebben de namen Meltdown en Spectre gekregen. De eerste speelt hoofdzakelijk bij Intel-processors, de tweede raakt ook AMD en ARM (vooral gebruikt in mobieltjes, tablets en IoT-apparaten).

Meltdown en Spectre, wat doen ze

Meltdown en Spectre, iedereen is kwetsbaar

Door keuzes in het ontwerp van processors is het mogelijk om bij gedeeltes van het geheugen te komen waar je normaal gesproken niet bij kunt. Dit kan gebeuren door de manier waarop processors de opdrachten verwerken te misbruiken. Het verschil tussen de twee kwetsbaarheden is dat Meltdown het uitlezen van kerngeheugen toelaat, terwijl Spectre dat doet voor processen onderling.

Oplossingen in hard- en software

Intel heeft aangegeven de problemen met de hardware snel op te lossen door nieuwe firmware uit te brengen. Dit zal in veel gevallen moeten worden gedaan door bijwerken van het BIOS. Dit is een lastige, technische aangelegenheid. Gelukkig dragen ook alle grote leveranciers van besturingssystemen hun steentje bij. Zij brengen updates uit die in de meeste gevallen automatisch geïnstalleerd zullen worden. onder andere Microsoft, Apple en de ontwikkelaars van de Linux kernel hebben al gereageerd op deze kwetsbaarheden. Daarnaast brengen ook ontwikkelaars van andere software extra beveiligingen aan. Zo zijn er maatregelen genomen in Firefox versie 57 en Chrome versie 64.

Prestatieverlies na oplossingen

De kwetsbaarheden maken misbruik van technieken die de prestaties verbeteren. Daarom zullen de oplossingen impact daarop hebben. Sommige ontwikkelaars voorspellen prestatieverlies van 5% tot wel 30%. Anderen melden dat dit bij dagelijks gebruik wel mee zal vallen. Prestaties van software zijn afhankelijk van vele factoren, met name de manier van gebruik. Daarom zal het verschil voor iedereen anders zijn en zal het uit de praktijk moeten blijken.

Kwetsbaarheid van 1A-servers (on-premise en cloud)

Wij nemen betrouwbare beveiliging erg serieus. Daarom zijn we direct in de materie gedoken. Gelukkig bleek dat deze ernstige bugs alleen misbruikt kunnen worden als er op het systeem zelf code wordt uitgevoerd. Daardoor is de vatbaarheid voor misbruik van Meltdown en Spectre op de 1A-server zeer klein. Toch zullen we, in het kader van voorkomen is beter dan genezen, voor Meltdown binnenkort alle 1A-servers bijwerken. Daarvoor is echter wel een herstart nodig. Voor Spectre is nog geen afdoende oplossing voorhanden, aangezien het behoorlijk complexe materie is. Beschikbare nieuwe oplossingen zullen zo snel mogelijk worden getest en uitgerold.

Auteur

Richard de Vroede

Een perfectionistische alleskunner die al zijn passie in zijn werk gooit.

Facebooktwittergoogle_pluslinkedin

Facebooklinkedinrssyoutube