Meerdere kwetsbaarheden in AMD- en Intel-processors ontdekt
Onderzoekers hebben in moderne processors, waaronder die van AMD, ARM en Intel, meerdere kwetsbaarheden ontdekt die door kwaadwillenden kunnen worden gebruikt om wachtwoorden en vertrouwelijke gegevens te stelen. De beveiligingslekken hebben de naam "Meltdown and Spectre" gekregen en werden gevonden door onderzoekers van verschillenden universiteiten, Google en twee bedrijven.
De kwetsbaarheden worden veroorzaakt door een techniek genaamd "speculative execution", die processors gebruiken om de prestaties te optimaliseren. Het probleem is al 20 jaar in moderne processorarchitecturen aanwezig en maakt het mogelijk voor een aanvaller om systeemgeheugen uit te lezen dat eigenlijk niet toegankelijk zou moeten zijn. Het gaat dan bijvoorbeeld om wachtwoorden, encryptiesleutels of andere informatie uit applicaties.
Ook ontdekten de onderzoekers dat ze vanuit een virtual machine toegang tot het fysieke geheugen van de host konden krijgen. Vervolgens kon er zo toegang tot het geheugen van een andere virtual machine op dezelfde host worden verkregen. Volgens Google is het probleem aanwezig in allerlei processors, waaronder die van AMD, ARM en Intel, alsmede besturingssystemen die op deze hardware draaien. In het geval van AMD-processors zouden gebruikers alleen risico lopen als ze Linux draaien wanneer er een niet-standaard kernelfeature is ingeschakeld.
Om de kwetsbaarheden te kunnen misbruiken moet een aanvaller al kwaadaardige code op een systeem kunnen uitvoeren. De onderzoekers zeggen dat ze ook een exploit hebben ontwikkeld die via JavaScript kan worden uitgevoerd. In dit geval is een aanval via de browser mogelijk. Hoewel de onderzoekers over "ernstige kwetsbaarheden" spreken, beoordeelt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit de ernst van de kwetsbaarheden op een schaal van 1 tot en met 10 met een 1,5, wat zeer laag is. Het CERT/CC stelt wel dat het probleem lastig is te verhelpen. Doordat de kwetsbaarheden worden veroorzaakt door ontwerpkeuzes in de processorarchitectuur, kan alleen het vervangen van de processor het probleem volledig verhelpen.
De onderzoekers stellen dat misbruik van de kwetsbaarheden in theorie door anti-virussoftware gedetecteerd zou kunnen worden, maar dat dit in de praktijk onwaarschijnlijk is. "In tegenstelling tot normale malware, zijn Meltdown and Spectre lastig van goedaardige applicaties te onderscheiden." Wanneer er malware van de aanval gebruik zou maken en deze malware bekend wordt, kan anti-virussoftware de malware wel detecteren. Het is onbekend of er misbruik van de kwetsbaarheden is gemaakt, aldus de onderzoekers.
Oorspronkelijk zou de aankondiging van de kwetsbaarheden op 9 januari plaatsvinden. Aangezien er de afgelopen dagen al informatie over het probleem naar buitenkwam en er allerlei speculaties plaatsvonden, wat de kans op misbruik volgens Google vergroot, is besloten om details over het probleem nu al naar buiten te brengen.
Updates
Google heeft inmiddels voor Android updates uitgebracht. In het geval van het Google-cloudplatform moeten gebruikers verschillende maatregelen treffen, zoals het patchen van hun gastomgeving. Het probleem speelt ook bij gebruikers van het Amazon-cloudplatform en de Xen-virtualisatiesoftware. Microsoft is buiten de vaste patchcyclus om met beveiligingsupdates gekomen, alsmede VMware en RedHat. Microsoft meldt wel dat de updates invloed op de prestaties van het systeem kunnen hebben. Verder laat Microsoft weten dat het aanpassingen aan Edge en Internet Explorer 11 gaat doorvoeren om te voorkomen dat het geheugen kan worden uitgelezen. Mozilla heeft inmiddels beveiligingsmaatregelen voor Firefox 57 ontwikkeld.
Update
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid heeft de kans dat er misbruik van de Spectre-aanval wordt gemaakt en de schade die dit kan veroorzaken als "hoog" ingeschat. De schade die de Meltdown-aanval kan veroorzaken is ook als hoog beoordeeld, maar de kans op misbruik is op "gemiddeld" ingeschat. Beveiligingsexpert Robert Graham laat weten dat gebruikers die de updates installeren geen risico lopen. Wel zal het volgens de expert voor een herontwerp van processoren en besturingssystemen zorgen.
Reacties (54)
04-01-2018, 10:13 door
Krakatau
The Register heeft een uitgebreid en informatief artikel hierover:
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
Oorspronkelijk zou de aankondiging van de kwetsbaarheden op 9 januari plaatsvinden.
Hier hoor ik verschillend over. Via andere kanalen hoor ik een einde van het embargo op 4 januari om 12:00 UTC.
beoordeelt het CERT Coordination Center (CERT/CC) (...) de ernst van de kwetsbaarheden (...) met een 1,5
Het is waarschijnlijk zo laag omdat je op de betreffende machine iets moet kunnen draaien voordat je deze kwetsbaarheid kunt misbruiken. Daarnaast heb ik ze de score in het verleden ook aan zien passen als er extra informatie, zoals een PoC en live misbruik, beschikbaar komt.
Peter
Op de site van CERT/CC is nu niet terug te vinden welk CVE nummer nu bij een bepaalde kwetsbaarheid behoord.
Deze site toont het wel: https://spectreattack.com/
CVE-2017-5753 and CVE-2017-5715 are the official references to Spectre
CVE-2017-5754 is the official reference to Meltdown
Deze site toont het wel: https://spectreattack.com/
CVE-2017-5753 and CVE-2017-5715 are the official references to Spectre
CVE-2017-5754 is the official reference to Meltdown
Onofficiële berichten melden dat bij Apple een deel van de kwetsbaarheden gepatcht zouden zijn in MacOS 10.13.2 en dat de volgende upgrade nog meer kwetsbaarheden zou aanpakken. Omdat Apple niet van te voren hierover communiceert is het dus gissen geblazen over wat precies wel en niet aan de hand is. Men verwacht dat in de eerst komende week meer informatie en eventueel een patch gaat verschijnen.
Ik vraag mij af hoeveel risico virtuele omgevingen lopen. Is dan alleen b.v. de host kwetsbaar of ook de VM zelf.?
Dit is natuurlijk heel vervelend, want zelf heb ik een Alcatel (Android) smartphone met een ARM-processor. De laatste patch was op 1 juni 2016 en ik verwacht niet dat de fabrikant nog een update gaat uitgeven. Concreet betekent dit dat nogal wat Android smarphones kwetsbaar zullen blijven. Met dank aan die fabrikanten die patchen niet zo belangrijk vinden!
Door Anoniem: Dit is natuurlijk heel vervelend, want zelf heb ik een Alcatel (Android) smartphone met een ARM-processor. De laatste patch was op 1 juni 2016 en ik verwacht niet dat de fabrikant nog een update gaat uitgeven. Concreet betekent dit dat nogal wat Android smarphones kwetsbaar zullen blijven. Met dank aan die fabrikanten die patchen niet zo belangrijk vinden!
Er is eigenlijk maar e e n merk smartphone die dat netjes op orde heeft, een 2e merk komt voor de high end toestellen in de buurt en de rest heeft wel een relatief goedkope telefoon maar helaas zelden of nooit patches.
Door Anoniem: Super toch
Alles open
En we hebben niets te verbergen
Dus geen probleem
Ja en ook alles regelen met de computer zeker zo veilig, hoewel ze eerst in je computer moeten komen.Alles open
En we hebben niets te verbergen
Dus geen probleem
Ja vanaf welk processortype,en welk jaar van uitgave van de getroffen fabrikanten is dit lek?.
Het zou wel fijn zijn als dat ook naar buiten gebracht zou worden,zodat men weet welke maatregelen ze moeten nemen,straks is dit helemaal softwarematig niet op te lossen met een patch,en moet je maar een nieuwe computer kopen met een nieuwe processor om er helemaal geen last meer van te hebben,waar de fabrikanten die fout op de chipset hebben verholpen.
Het zou wel fijn zijn als dat ook naar buiten gebracht zou worden,zodat men weet welke maatregelen ze moeten nemen,straks is dit helemaal softwarematig niet op te lossen met een patch,en moet je maar een nieuwe computer kopen met een nieuwe processor om er helemaal geen last meer van te hebben,waar de fabrikanten die fout op de chipset hebben verholpen.
Door Anoniem: Champagneglazennieuws!
Voor de voorstanders van de hackwet.
Voor de voorstanders van de hackwet.
Wat moeten we hier nu toch mee? (13:55 uur idem dito)
Helemaal niets, nog geen -10, maar toch maar even stellen dat sommigen ze ook compleet zien vliegen. Zij hebben zelfs geen nieuwjaarsborrel nodig om roze olifanten te zien fladderen.
Door Anoniem: Dit is natuurlijk heel vervelend, want zelf heb ik een Alcatel (Android) smartphone met een ARM-processor. De laatste patch was op 1 juni 2016 en ik verwacht niet dat de fabrikant nog een update gaat uitgeven. Concreet betekent dit dat nogal wat Android smarphones kwetsbaar zullen blijven. Met dank aan die fabrikanten die patchen niet zo belangrijk vinden!
Die fabrikanten wilen dan ook graag dat je een nieuw (duur) toestel koopt, (Waarvan de update-cyclus bijna afgelopen is bij aankoop)
Als alternatief kun je er natuurlijk ook voor kiezen om je toestel niet meer gebruiken voor alles waar je wachtwoorden of encryptie-sleutels voor nodig hebt.
Door Anoniem: Dit is natuurlijk heel vervelend, want zelf heb ik een Alcatel (Android) smartphone met een ARM-processor. De laatste patch was op 1 juni 2016 en ik verwacht niet dat de fabrikant nog een update gaat uitgeven. Concreet betekent dit dat nogal wat Android smarphones kwetsbaar zullen blijven. Met dank aan die fabrikanten die patchen niet zo belangrijk vinden!
Ook met patch - als je malicuous software op je telefoon draait heb je op heel veel manieren een probleem.
Storm in aan glas water.
Als je als gebruiker geïnfecteerde applicaties download/draait heeft deze al toegang tot alle data in de user-space. Het stiekem lezen van geheugen is dan niet heel nuttig.
Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Ach, nu hebben de clickbait sites weer wat traffic.
Als je als gebruiker geïnfecteerde applicaties download/draait heeft deze al toegang tot alle data in de user-space. Het stiekem lezen van geheugen is dan niet heel nuttig.
Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Ach, nu hebben de clickbait sites weer wat traffic.
Door Anoniem: Onofficiële berichten melden dat bij Apple een deel van de kwetsbaarheden gepatcht zouden zijn in MacOS 10.13.2 en dat de volgende upgrade nog meer kwetsbaarheden zou aanpakken. Omdat Apple niet van te voren hierover communiceert is het dus gissen geblazen over wat precies wel en niet aan de hand is. Men verwacht dat in de eerst komende week meer informatie en eventueel een patch gaat verschijnen.
Volgens de site Webwereld (Computerworld) zou de KTPI-feature zijn aangepakt in de patchcyclus van 6 december vorig jaar. Dus het gaat hier om MacOS versie 10.13.2. Als het correct is zou er nog meer moeten volgen in versie 10.13.3.http://computerworld.nl/security/102753-5-brandende-vragen-over-gevaarlijk-chipgat-meltdown/pagina-2
https://support.apple.com/nl-nl/HT201222
Door Aha:
Wat moeten we hier nu toch mee? (13:55 uur idem dito)
Helemaal niets, nog geen -10, maar toch maar even stellen dat sommigen ze ook compleet zien vliegen. Zij hebben zelfs geen nieuwjaarsborrel nodig om roze olifanten te zien fladderen.
Door Anoniem: Champagneglazennieuws!
Voor de voorstanders van de hackwet.
Voor de voorstanders van de hackwet.
Wat moeten we hier nu toch mee? (13:55 uur idem dito)
Helemaal niets, nog geen -10, maar toch maar even stellen dat sommigen ze ook compleet zien vliegen. Zij hebben zelfs geen nieuwjaarsborrel nodig om roze olifanten te zien fladderen.
Gewoon accepteren net zoals wij jou moeten accepteren.
Je verteld continue geen ervaring te hebben met computers en iT, en toch moeten we respect hebben omdat je perfect Nederlands praat en beweert op leeftijd te zijn.
04-01-2018, 15:00 door
Bitwiper
Door Anoniem: Ik vraag mij af hoeveel risico virtuele omgevingen lopen. Is dan alleen b.v. de host kwetsbaar of ook de VM zelf.?
In https://googleprojectzero.blogspot.nl/2018/01/reading-privileged-memory-with-side.html kun je lezen dat er een PoC (Proof of Concept code) is ontwikkeld voor "Variant 2: branch target injection (CVE-2017-5715)" waarmee:3. A PoC for variant 2 that, when running with root privileges inside a KVM guest created using virt-manager on the Intel Haswell Xeon CPU, with a specific (now outdated) version of Debian's distro kernel [5] running on the host, can read host kernel memory at a rate of around 1500 bytes/second, with room for optimization.
Dus een guest to host kwetsbaarheid - reden voor shared hosting providers om zich suf te patchen (althans dat zouden ze op dit moment moeten doen - voor zover dat nog niet gebeurd is).De kwetsbaarheden werken ook binnen een VM en op een fysieke PC: kernelgeheugen is toegankelijk vanuit "user space" (uitlezen van geheime info en/of privilege escatation tot het hoogst mogelijke niveau). Elke server die user-provided code en/of scripts verwerkt loopt dus risico's.
04-01-2018, 15:16 door
Tha Cleaner
Door Aha:
Wat moeten we hier nu toch mee? (13:55 uur idem dito)
Helemaal niets, nog geen -10, maar toch maar even stellen dat sommigen ze ook compleet zien vliegen. Zij hebben zelfs geen nieuwjaarsborrel nodig om roze olifanten te zien fladderen.
Helemaal mee eens. Dit zijn posts die echt helemaal niets toevoegen.Door Anoniem: Champagneglazennieuws!
Voor de voorstanders van de hackwet.
Voor de voorstanders van de hackwet.
Wat moeten we hier nu toch mee? (13:55 uur idem dito)
Helemaal niets, nog geen -10, maar toch maar even stellen dat sommigen ze ook compleet zien vliegen. Zij hebben zelfs geen nieuwjaarsborrel nodig om roze olifanten te zien fladderen.
Door Anoniem: Storm in aan glas water.
Als je als gebruiker geïnfecteerde applicaties download/draait heeft deze al toegang tot alle data in de user-space. Het stiekem lezen van geheugen is dan niet heel nuttig.
Maar met de bug is er ook juist in eens toegang tot de kernel geheugen.Als je als gebruiker geïnfecteerde applicaties download/draait heeft deze al toegang tot alle data in de user-space. Het stiekem lezen van geheugen is dan niet heel nuttig.
Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Wie denk je dat de meeste lezers hier zijn? Thuis gebruikers? Of ICTers zie bij bedrijven werken?Wat dacht je dat de impact van deze bug is bij bedrijven? Daar is het meeste tegenwoordig virtueel. Van servers tot virtuele desktops tot webservers. Als dit toevallig allemaal op 1 virtuele omgeving draait, dan heb je nu een mega groot probleem. Dat is geen clickbait, dat is snel een actie plan maken.
Daarnaast..... Kan dit ook nog eens aan capaciteit probleem meteen opleveren. Wat dacht je als je in eens 30% CPU power verliest? Dit mag dan wel maximale theoretisch zijn. Maar was als je 140 VDI servers heb draaien waar je bedrijf op werkt? Dat betekend dat ik misschien in worsecase in eens 42 extra servers nodig heb in mijn omgeving. Die heb ik niet op de plank liggen, of in mijn budget zitten.
Ach, nu hebben de clickbait sites weer wat traffic.
Waarom? Dit is geen clickbait, dit is gewoon een mega security issue met grote impact.Door Anoniem: Ik vraag mij af hoeveel risico virtuele omgevingen lopen. Is dan alleen b.v. de host kwetsbaar of ook de VM zelf.?
De kwetsbaarheid is op Kernel/BIOS niveau, dus helaas pindakaas.
"Wat dacht je als je in eens 30% CPU power verliest?" Misschien kan ik u geruststellen. Ik heb een puur rekenprogramma gedraaid en dat bleek na de Windows 10 update van vanochtend 5% meer tijd nodig te hebben dan nodig was vóór die update.
Door Anoniem: Ik vraag mij af hoeveel risico virtuele omgevingen lopen. Is dan alleen b.v. de host kwetsbaar of ook de VM zelf.?
RTFM ! "Ook ontdekten de onderzoekers dat ze vanuit een virtual machine toegang tot het fysieke geheugen van de host konden krijgen. Vervolgens kon er zo toegang tot het geheugen van een andere virtual machine op dezelfde host worden verkregen."
Door Anoniem: Ja vanaf welk processortype,en welk jaar van uitgave van de getroffen fabrikanten is dit lek?.
Het zou wel fijn zijn als dat ook naar buiten gebracht zou worden,zodat men weet welke maatregelen ze moeten nemen,straks is dit helemaal softwarematig niet op te lossen met een patch,en moet je maar een nieuwe computer kopen met een nieuwe processor om er helemaal geen last meer van te hebben,waar de fabrikanten die fout op de chipset hebben verholpen.
Vrijwel alle Intel CPU's sinds 1995 (m.u.v. enkele Atoms uit 2013) zijn kwetsbaar. En CERT meldt inderdaad dat de CPU hardware vervangen moet worden: http://www.kb.cert.org/vuls/id/584653Het zou wel fijn zijn als dat ook naar buiten gebracht zou worden,zodat men weet welke maatregelen ze moeten nemen,straks is dit helemaal softwarematig niet op te lossen met een patch,en moet je maar een nieuwe computer kopen met een nieuwe processor om er helemaal geen last meer van te hebben,waar de fabrikanten die fout op de chipset hebben verholpen.
Cert geeft als oplossing het verwijderen van alle onveilige CPU's.
https://www.kb.cert.org/vuls/id/584653
Inderdaad, helaas pindakaas...
https://www.kb.cert.org/vuls/id/584653
Inderdaad, helaas pindakaas...
Door Anoniem: "Wat dacht je als je in eens 30% CPU power verliest?" Misschien kan ik u geruststellen. Ik heb een puur rekenprogramma gedraaid en dat bleek na de Windows 10 update van vanochtend 5% meer tijd nodig te hebben dan nodig was vóór die update.
Zoals je overal hebt kunnen lezen varieert de impact - weinig syscalls (puur userland programma) weinig impact, meer syscalls impact van tientallen procenten .
'puur rekenprogramma' is een type gebruik dat weinig impact zal hebben.
Er zijn wat mensen met postgres (database) aan het benchmarken en die zijn veel meer impact - met name als de CPU geen pcid support heeft.
Bij Mozilla zijn ze ook bezig om met het oog op dit soort aanvallen Firefox te versterken
om te beginnen met de eerste "short term mitigations" in FF57.
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
om te beginnen met de eerste "short term mitigations" in FF57.
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
04-01-2018, 17:19 door
Tha Cleaner
Door Anoniem: "Wat dacht je als je in eens 30% CPU power verliest?" Misschien kan ik u geruststellen. Ik heb een puur rekenprogramma gedraaid en dat bleek na de Windows 10 update van vanochtend 5% meer tijd nodig te hebben dan nodig was vóór die update.
Het is ook een theoretisch maximum, maar zal heel erg van je workload afhangen. Op een virtualisatie server zou ik dit namelijk veel hoger inschatten.Persoonlijk vind ik 5% op een fysieke host al een behoorlijk vertraging.
Ik neem aan dat we van intel binnenkort een nieuwe processor krijgen toegestuurd? Lijkt me wel mogelijk met die winsten die ze maken.
04-01-2018, 17:40 door
-karma4
Door Anoniem: Ik neem aan dat we van intel binnenkort een nieuwe processor krijgen toegestuurd? Lijkt me wel mogelijk met die winsten die ze maken.
Kom nou... Denk ook aan het milieu!
Door Anoniem: Storm in aan glas water.
Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Dus omdat thuisgebruikers er volgens jou niet zo veel last van hebben is het een storm in een glas water? De meeste data van gebruikers staat tegenwoordig niet alleen meer op pctjes van thuisgebruikers maar opgeslagen bij bedrijven. O en de lekken bestaan sinds 1995 of langer omdat het ontwerp van de processors zo oud is of zelfs ouder. Heel geruststellend is het dus niet dat nu pas dit lek publiek bekend is.Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Wat ook geen storm in een glas water is zijn vragen die deze kwetsbaarheden oproepen. Waarom in fundamentele ontwerpen in het verleden weinig prioriteit lijkt te zijn gegeven aan security of waarom we ontwerpen van 20 jaar of ouder nog accepteren als we bij nieuwe ontwerpen security wel of meer prioriteit geven. Vliegtuigen en schepen gaan heel lang mee maar moeten wel blijven voldoen aan moderne eisen maar de core van hardware of het internet daar blijven we zonder regulering graag vasthouden aan oude ontwerpen die herhaaldelijk securitygebreken hebben.
Door Anoniem: "Wat dacht je als je in eens 30% CPU power verliest?" Misschien kan ik u geruststellen. Ik heb een puur rekenprogramma gedraaid en dat bleek na de Windows 10 update van vanochtend 5% meer tijd nodig te hebben dan nodig was vóór die update.
30% of 5% is een groot verschil, maar in verhouding kan 5% ook niet klein genoemd worden. 5% minder performance op miljarden hardware is al een kostenpost met een astronomisch bedrag.
04-01-2018, 17:53 door
Krakatau
De officiële pagina: https://meltdownattack.com
Door Anoniem: Ik neem aan dat we van intel binnenkort een nieuwe processor krijgen toegestuurd? Lijkt me wel mogelijk met die winsten die ze maken.
Misschien in de USA, als je kan aantonen dat bedrijven als Intel, AMD of ARM bewust gekozen hebben voor performance boven beveiliging en de updates je nu schade opleveren, maak je kans op een compensatie in de kosten. 20 jaar zijn miljarden stuks hardware verkocht en verdiept praktisch geen enkele koper zich in de vraag of het ontwerp wel veilig genoeg is. Het zou niet logisch zijn om die kopers dan nieuwe hardware te geven die niet voldoet aan de eisen van het jaar 2038.
Door Anoniem:
Volgens de site Webwereld (Computerworld) zou de KTPI-feature zijn aangepakt in de patchcyclus van 6 december vorig jaar. Dus het gaat hier om MacOS versie 10.13.2. Als het correct is zou er nog meer moeten volgen in versie 10.13.3.
Is dit gerelateerd aan dat verhaal dat laatst circuleerde dat Apple hun spullen met opzet trager gemaakt had in verbandVolgens de site Webwereld (Computerworld) zou de KTPI-feature zijn aangepakt in de patchcyclus van 6 december vorig jaar. Dus het gaat hier om MacOS versie 10.13.2. Als het correct is zou er nog meer moeten volgen in versie 10.13.3.
met de veiligheid, en niet om gebruikers te bewegen nieuwere modellen te kopen?
De Windows patches worden dus niet aangebracht als de Anti-virus niet compatible is.
Deze waarde moet dan in de Registry staan:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Hier is een lijst terug te vinden of een Anti-virus compatible is of niet.
https://i.imgur.com/JcCMIuy.jpg
https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
Deze waarde moet dan in de Registry staan:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Hier is een lijst terug te vinden of een Anti-virus compatible is of niet.
https://i.imgur.com/JcCMIuy.jpg
https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
Door Anoniem:
met de veiligheid, en niet om gebruikers te bewegen nieuwere modellen te kopen?
Door Anoniem:
Volgens de site Webwereld (Computerworld) zou de KTPI-feature zijn aangepakt in de patchcyclus van 6 december vorig jaar. Dus het gaat hier om MacOS versie 10.13.2. Als het correct is zou er nog meer moeten volgen in versie 10.13.3.
Is dit gerelateerd aan dat verhaal dat laatst circuleerde dat Apple hun spullen met opzet trager gemaakt had in verbandVolgens de site Webwereld (Computerworld) zou de KTPI-feature zijn aangepakt in de patchcyclus van 6 december vorig jaar. Dus het gaat hier om MacOS versie 10.13.2. Als het correct is zou er nog meer moeten volgen in versie 10.13.3.
met de veiligheid, en niet om gebruikers te bewegen nieuwere modellen te kopen?
Nee.
Wel vermakelijk om te lezen, de experts die het probleem ontdekt hebben weten nog niet eens de volledige impact maar de betweters hier hebben de mond alweer vol en weten weer wat er moet gebeuren en hoe het zover heeft kunnen komen.
04-01-2018, 20:14 door
karma4
Door Anoniem: Storm in aan glas water.
Als je als gebruiker geïnfecteerde applicaties download/draait heeft deze al toegang tot alle data in de user-space. Het stiekem lezen van geheugen is dan niet heel nuttig.
Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Ach, nu hebben de clickbait sites weer wat traffic.
Ik denk je dat je gelijk hebt. Als je als gebruiker geïnfecteerde applicaties download/draait heeft deze al toegang tot alle data in de user-space. Het stiekem lezen van geheugen is dan niet heel nuttig.
Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Ach, nu hebben de clickbait sites weer wat traffic.
Er moet code op jouw machine draaien. Die code kan al bij al jouw data komen. Dat is een groter probleem dan dat hij bij al jouw data kan komen via een processor cache lek.
In een shared machine omgeving kan je op die manier bij andermans data op dezelfde machine komen. Een groot probleem voor de Cloud waar men vele gebruikers op 1 machine zet omdat de cpu en ander hardware toch nauwelijks gebruikt wordt.
Voor thuis zou ik me ook om de gpu zorgen maken. Het memory daar wordt niet eens beschermd wegens de performance en single user veronderstelling.
Door Tha Cleaner:
Persoonlijk vind ik 5% op een fysieke host al een behoorlijk vertraging.
In de meeste gevallen zal je er weinig van merken. Tenzij je software draait die veel van de processor vergt.Door Anoniem: "Wat dacht je als je in eens 30% CPU power verliest?" Misschien kan ik u geruststellen. Ik heb een puur rekenprogramma gedraaid en dat bleek na de Windows 10 update van vanochtend 5% meer tijd nodig te hebben dan nodig was vóór die update.
Het is ook een theoretisch maximum, maar zal heel erg van je workload afhangen. Op een virtualisatie server zou ik dit namelijk veel hoger inschatten.Persoonlijk vind ik 5% op een fysieke host al een behoorlijk vertraging.
Denk bijv. aan bepaalde videobewerkingen, en geluidsbewerkingen met grote bestanden, en processorintensieve games.
Daarentegen hoef je echt niet langzamer te typen omdat anders de processor het niet meer bijhoudt. ;)
Door karma4:Er moet code op jouw machine draaien. Die code kan al bij al jouw data komen. Dat is een groter probleem dan dat hij bij al jouw data kan komen via een processor cache lek.
De omstandigheden varieren. Een van de kwetsbaarheden werkt al met javascript van een website om bijvoorbeeld wachtwoorden van een webbrowser te achterhalen. En wat dacht je van een minder vriendelijke app op je mobiel die nu toch de gegevens van andere processen kan uitlezen? Niemand maakt de wereld van clients veiliger door vast te houden aan het idee dat het een simpele single user omgeving is en je met malware op een client al de jackpot hebt. Versimpelt denken als excuus om risico's te bagatelliseren maakt de wereld niet veiliger.Voor thuis zou ik me ook om de gpu zorgen maken. Het memory daar wordt niet eens beschermd wegens de performance en single user veronderstelling.
Ook weer foute versimpeling door grijpen naar valse veronderstellingen en halve waarheden. Security is onlosmakelijk verbonden aan de werking en kenmerken van de hardware en tref je aan in zowel de hardware als de software. Het is gezwets dat een GPU geen bescherming van geheugen heeft. Als je het aan kan tonen dan mag je nu ter stond aankloppen bij bedrijven als NVIDEA om bug bounty rewards te claimen.Stel...Dat ze dit bij de veiligheidsdiensten allang wisten.
Of erger...
Dan zijn ze een feature kwijt
Of erger...
Dan zijn ze een feature kwijt
Door Anoniem: De Windows patches worden dus niet aangebracht als de Anti-virus niet compatible is.
Deze waarde moet dan in de Registry staan:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Deze waarde moet dan in de Registry staan:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Het klopt dat Microsoft deze informatie verschaft op:
https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
Ik denk dat Microsoft met hun instructie de nodige verwarring zaait, want een registry key van het type "REG_DWORD" kan de aangegeven waarde (value) niet bevatten.
Wat men als value aangeeft betreft eigenlijk de value name van de key. De value datadie de key heeft moet hebben is 0. (default bij aanmaken)
Overigens vond ik op Reddit handige Powershell code. Bron:https://www.reddit.com/r/PowerShell/comments/7o3yx5/meltdown_spectre_registry_key_management_via/
Om te checken of de key reeds bestaat:
If ((Get-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat -Name 'cadca5fe-87d3-4b96-b7fb-a231484277cc' -EA 0).'cadca5fe-87d3-4b96-b7fb-a231484277cc' -eq '0') { $true } Else { $false }
Om de key in te stellen:
If (-not (Test-Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat') ) {
New-Item 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat'
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat' -Name 'cadca5fe-87d3-4b96-b7fb-a231484277cc' -PropertyType DWord -Value '0x00000000'
(uitvoeren als administrator)New-Item 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat'
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat' -Name 'cadca5fe-87d3-4b96-b7fb-a231484277cc' -PropertyType DWord -Value '0x00000000'
Door Anoniem: De Windows patches worden dus niet aangebracht als de Anti-virus niet compatible is.
Deze waarde moet dan in de Registry staan:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Hier is een lijst terug te vinden of een Anti-virus compatible is of niet.
https://i.imgur.com/JcCMIuy.jpg
https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
Ik gebruik kaspersky en norton als virusscanners.Deze waarde moet dan in de Registry staan:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Hier is een lijst terug te vinden of een Anti-virus compatible is of niet.
https://i.imgur.com/JcCMIuy.jpg
https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
De computers met Kaspersky krijgen helemaal geen update's.
Computers met norton wordt er maar een van geupdate dit is alleen maar kb 4056892 verder geen updates.
De oorzaak weet ik niet, denk dat ik gewoon zelf de register waarde er in zet.
Door karma4:
Er moet code op jouw machine draaien. Die code kan al bij al jouw data komen. Dat is een groter probleem dan dat hij bij al jouw data kan komen via een processor cache lek.
Door Anoniem: Storm in aan glas water.
Als je als gebruiker geïnfecteerde applicaties download/draait heeft deze al toegang tot alle data in de user-space. Het stiekem lezen van geheugen is dan niet heel nuttig.
Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Ach, nu hebben de clickbait sites weer wat traffic.
Ik denk je dat je gelijk hebt. Als je als gebruiker geïnfecteerde applicaties download/draait heeft deze al toegang tot alle data in de user-space. Het stiekem lezen van geheugen is dan niet heel nuttig.
Dit zijn security issues voor banken, virtual host aanbieders etc. Thuis gebruikers? No so much.
Ach, nu hebben de clickbait sites weer wat traffic.
Er moet code op jouw machine draaien. Die code kan al bij al jouw data komen. Dat is een groter probleem dan dat hij bij al jouw data kan komen via een processor cache lek.
Nu is juist dat laatste ook wel regelmatig het geval; malware, virussen, etc. 1 van de maatregelen die daartegen genomen worden is juist het draaien van bijv. JavaScript in containers, en als je door dit soort bugjes buiten die container kunt komen, dan is het toch een serieus probleem, ook voor thuisgebruikers.
Manuele hack/crack pogingen zijn ouderwets we gebruiken hier AI.
Gaat een stuk rapper.
Gaat een stuk rapper.
De BID nummers van SecurityFocus staan nog niet geregistreerd bij Mitre. Dit zijn de referenties:
CVE-2017-5754
http://www.securityfocus.com/bid/102378
CVE-2017-5715
http://www.securityfocus.com/bid/102376
CVE-2017-5753
http://www.securityfocus.com/bid/102371
CVE-2017-5754
http://www.securityfocus.com/bid/102378
CVE-2017-5715
http://www.securityfocus.com/bid/102376
CVE-2017-5753
http://www.securityfocus.com/bid/102371
05-01-2018, 11:34 door
Tha Cleaner
Door Anoniem:
Denk bijv. aan bepaalde videobewerkingen, en geluidsbewerkingen met grote bestanden, en processorintensieve games.
Door Tha Cleaner:
Persoonlijk vind ik 5% op een fysieke host al een behoorlijk vertraging.
In de meeste gevallen zal je er weinig van merken. Tenzij je software draait die veel van de processor vergt.Door Anoniem: "Wat dacht je als je in eens 30% CPU power verliest?" Misschien kan ik u geruststellen. Ik heb een puur rekenprogramma gedraaid en dat bleek na de Windows 10 update van vanochtend 5% meer tijd nodig te hebben dan nodig was vóór die update.
Het is ook een theoretisch maximum, maar zal heel erg van je workload afhangen. Op een virtualisatie server zou ik dit namelijk veel hoger inschatten.Persoonlijk vind ik 5% op een fysieke host al een behoorlijk vertraging.
Denk bijv. aan bepaalde videobewerkingen, en geluidsbewerkingen met grote bestanden, en processorintensieve games.
Klopt.... Maar als de gebruikte applicatie op een fysieke host al 5% vertraging heeft, waarbij dit volgens mij alleen maar rekenkracht gebruikt, dan vind ik dit al een vrij fors verlies.
Ik heb een aantal CAD desktops, die zeer zwaar CPU/Memory/Disk/GPU gebruiken.Ik maak mij dan best wel zorgen om de perfomance.
Maar het snelheids verlies is erg applicatie afhankelijk..... Of eigenlijk IO afhankelijk.
05-01-2018, 17:45 door
Tha Cleaner
Door sabofx:
Om de key in te stellen:
Om de key in te stellen:
If (-not (Test-Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat') ) {
New-Item 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat'
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat' -Name 'cadca5fe-87d3-4b96-b7fb-a231484277cc' -PropertyType DWord -Value '0x00000000'
(uitvoeren als administrator)New-Item 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat'
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat' -Name 'cadca5fe-87d3-4b96-b7fb-a231484277cc' -PropertyType DWord -Value '0x00000000'
Heel gevaarlijk..... Aangezien je eerst moet uitzoeken of je antivirus ondersteuning biedt op deze Microsoft Patch.
07-01-2018, 02:52 door
Legionnaire
Het lek zit niet in je CPU, geheugen, OS, HDD, maar in de 'communicatie chip' van elke hardware.
Volgens mij heeft iedereen het 'grote' nieuws gemist.
Ik lees hier nergens wat er momenteel gaande is, maar wel op andere fora en zelfs op het Journaal en RTLZ is het geweest.
' Qualcomm is eindelijk met het nieuws naar buiten gekomen, dat door een onverhelpbare design fout in hun communicatie chip, alle pc's en smartphones reeds gehackt zijn en de hackers volledige toegang hebben tot alle systemen '.
En echt alle je hardware systemen, van PC, Notebook,smartphone, routers, modems, smart tv's, slimme meters, gameconsoles, thermostaat, mp4 speler, externe HDD enz..enz...
Waar ze software op kunnen installeren, hebben ze alang de volle controle over of anders gebruiken ze het als een data opslag, om zo de besmetting te verspreiden.
Gezien elke hardware fabrikant, gebruik maakt van Qualcomm chips en vaak met de naam voorzien worden van de chipsetfabrikant, bv Intel of Nvidia, denkt men dat het geen Qualcomm is.
Er worden wel updates uitgebracht en patches, maar deze verhelpen het probleem niet of nauwelijks.
Of geadviseerd om de chip te vervangen...hoe dan? Zit vast gesoldeerd...is geen CPU...sukkels.
Het enige advies dat wordt gegeven is; schaf geen hardware meer aan en moet wachten totdat de systemen voorzien zijn van de nieuwste chips.
Tot dan wachten en gewoon door knutselen.
https://nos.nl/artikel/2210445-chips-in-de-computers-smartphones-vatbaar-voor-ernstige-lekken.html
https://nos.nl/artikel/2210668-veiligere-chips-laten-nog-zeker-maanden-op-zich-wachten.html
Succes...
Volgens mij heeft iedereen het 'grote' nieuws gemist.
Ik lees hier nergens wat er momenteel gaande is, maar wel op andere fora en zelfs op het Journaal en RTLZ is het geweest.
' Qualcomm is eindelijk met het nieuws naar buiten gekomen, dat door een onverhelpbare design fout in hun communicatie chip, alle pc's en smartphones reeds gehackt zijn en de hackers volledige toegang hebben tot alle systemen '.
En echt alle je hardware systemen, van PC, Notebook,smartphone, routers, modems, smart tv's, slimme meters, gameconsoles, thermostaat, mp4 speler, externe HDD enz..enz...
Waar ze software op kunnen installeren, hebben ze alang de volle controle over of anders gebruiken ze het als een data opslag, om zo de besmetting te verspreiden.
Gezien elke hardware fabrikant, gebruik maakt van Qualcomm chips en vaak met de naam voorzien worden van de chipsetfabrikant, bv Intel of Nvidia, denkt men dat het geen Qualcomm is.
Er worden wel updates uitgebracht en patches, maar deze verhelpen het probleem niet of nauwelijks.
Of geadviseerd om de chip te vervangen...hoe dan? Zit vast gesoldeerd...is geen CPU...sukkels.
Het enige advies dat wordt gegeven is; schaf geen hardware meer aan en moet wachten totdat de systemen voorzien zijn van de nieuwste chips.
Tot dan wachten en gewoon door knutselen.
https://nos.nl/artikel/2210445-chips-in-de-computers-smartphones-vatbaar-voor-ernstige-lekken.html
https://nos.nl/artikel/2210668-veiligere-chips-laten-nog-zeker-maanden-op-zich-wachten.html
Succes...
Door Legionair: Het lek zit niet in je CPU, geheugen, OS, HDD, maar in de 'communicatie chip' van elke hardware.
De kwetsbaarheid zit expliciet wel in je CPU, specifiek in de branche prediction en je cache. Vrijwel iedere high performance processor kent een variant van dit mechanisme en daarom is de kwetsbaarheid zo wijdverbreid.
10-01-2018, 03:22 door
Legionnaire
Door Anoniem:
De kwetsbaarheid zit expliciet wel in je CPU, specifiek in de branche prediction en je cache. Vrijwel iedere high performance processor kent een variant van dit mechanisme en daarom is de kwetsbaarheid zo wijdverbreid.
Door Legionair: Het lek zit niet in je CPU, geheugen, OS, HDD, maar in de 'communicatie chip' van elke hardware.
De kwetsbaarheid zit expliciet wel in je CPU, specifiek in de branche prediction en je cache. Vrijwel iedere high performance processor kent een variant van dit mechanisme en daarom is de kwetsbaarheid zo wijdverbreid.
Deels heb je gelijk, dat ze gebruik maken van de CPU...
Maar nu de vraag; Via welke weg krijgt men toegang tot de CPU?
10-01-2018, 12:32 door
Eric-Jan H te D
Dell heeft inmiddels voor een aantal systemen een BIOS update uitgebracht welke noodzakelijk is om de MS Windows patch volledig te laten werken. Na de bios-update en de Windows-update voldoet het systeem dan de Meltdown en Spectre test.
Ik ben zeer benieuwd of er voor systemen ouder dan vijf jaar ook nog Bios-updates uitgebracht worden.
Ik ben zeer benieuwd of er voor systemen ouder dan vijf jaar ook nog Bios-updates uitgebracht worden.
12-01-2018, 00:38 door
Legionnaire
Door Eric-Jan H te A: Dell heeft inmiddels voor een aantal systemen een BIOS update uitgebracht welke noodzakelijk is om de MS Windows patch volledig te laten werken. Na de bios-update en de Windows-update voldoet het systeem dan de Meltdown en Spectre test.
Ik ben zeer benieuwd of er voor systemen ouder dan vijf jaar ook nog Bios-updates uitgebracht worden.
Ik ben zeer benieuwd of er voor systemen ouder dan vijf jaar ook nog Bios-updates uitgebracht worden.
Klopt, Dell en HP werken nauw samen met Microsoft en krijgen daarom voorrang.
Het zal het probleem niet verhelpen, alleen de risico verminderen, want het kwaad is al geschiet.
Daarom lees je ook dat Microsoft AMD en andere niet meer ondersteund...het is dwijlen met de kraan openen.
Straks allemaal nieuwe hardware aanschaffen met de nieuwe chip en de rest weggooien.
Gr. Legionair
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
