Onderzoekers hebben in moderne processors, waaronder die van AMD, ARM en Intel, meerdere kwetsbaarheden ontdekt die door kwaadwillenden kunnen worden gebruikt om wachtwoorden en vertrouwelijke gegevens te stelen. De beveiligingslekken hebben de naam "Meltdown and Spectre" gekregen en werden gevonden door onderzoekers van verschillenden universiteiten, Google en twee bedrijven.
De kwetsbaarheden worden veroorzaakt door een techniek genaamd "speculative execution", die processors gebruiken om de prestaties te optimaliseren. Het probleem is al 20 jaar in moderne processorarchitecturen aanwezig en maakt het mogelijk voor een aanvaller om systeemgeheugen uit te lezen dat eigenlijk niet toegankelijk zou moeten zijn. Het gaat dan bijvoorbeeld om wachtwoorden, encryptiesleutels of andere informatie uit applicaties.
Ook ontdekten de onderzoekers dat ze vanuit een virtual machine toegang tot het fysieke geheugen van de host konden krijgen. Vervolgens kon er zo toegang tot het geheugen van een andere virtual machine op dezelfde host worden verkregen. Volgens Google is het probleem aanwezig in allerlei processors, waaronder die van AMD, ARM en Intel, alsmede besturingssystemen die op deze hardware draaien. In het geval van AMD-processors zouden gebruikers alleen risico lopen als ze Linux draaien wanneer er een niet-standaard kernelfeature is ingeschakeld.
Om de kwetsbaarheden te kunnen misbruiken moet een aanvaller al kwaadaardige code op een systeem kunnen uitvoeren. De onderzoekers zeggen dat ze ook een exploit hebben ontwikkeld die via JavaScript kan worden uitgevoerd. In dit geval is een aanval via de browser mogelijk. Hoewel de onderzoekers over "ernstige kwetsbaarheden" spreken, beoordeelt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit de ernst van de kwetsbaarheden op een schaal van 1 tot en met 10 met een 1,5, wat zeer laag is. Het CERT/CC stelt wel dat het probleem lastig is te verhelpen. Doordat de kwetsbaarheden worden veroorzaakt door ontwerpkeuzes in de processorarchitectuur, kan alleen het vervangen van de processor het probleem volledig verhelpen.
De onderzoekers stellen dat misbruik van de kwetsbaarheden in theorie door anti-virussoftware gedetecteerd zou kunnen worden, maar dat dit in de praktijk onwaarschijnlijk is. "In tegenstelling tot normale malware, zijn Meltdown and Spectre lastig van goedaardige applicaties te onderscheiden." Wanneer er malware van de aanval gebruik zou maken en deze malware bekend wordt, kan anti-virussoftware de malware wel detecteren. Het is onbekend of er misbruik van de kwetsbaarheden is gemaakt, aldus de onderzoekers.
Oorspronkelijk zou de aankondiging van de kwetsbaarheden op 9 januari plaatsvinden. Aangezien er de afgelopen dagen al informatie over het probleem naar buitenkwam en er allerlei speculaties plaatsvonden, wat de kans op misbruik volgens Google vergroot, is besloten om details over het probleem nu al naar buiten te brengen.
Google heeft inmiddels voor Android updates uitgebracht. In het geval van het Google-cloudplatform moeten gebruikers verschillende maatregelen treffen, zoals het patchen van hun gastomgeving. Het probleem speelt ook bij gebruikers van het Amazon-cloudplatform en de Xen-virtualisatiesoftware. Microsoft is buiten de vaste patchcyclus om met beveiligingsupdates gekomen, alsmede VMware en RedHat. Microsoft meldt wel dat de updates invloed op de prestaties van het systeem kunnen hebben. Verder laat Microsoft weten dat het aanpassingen aan Edge en Internet Explorer 11 gaat doorvoeren om te voorkomen dat het geheugen kan worden uitgelezen. Mozilla heeft inmiddels beveiligingsmaatregelen voor Firefox 57 ontwikkeld.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid heeft de kans dat er misbruik van de Spectre-aanval wordt gemaakt en de schade die dit kan veroorzaken als "hoog" ingeschat. De schade die de Meltdown-aanval kan veroorzaken is ook als hoog beoordeeld, maar de kans op misbruik is op "gemiddeld" ingeschat. Beveiligingsexpert Robert Graham laat weten dat gebruikers die de updates installeren geen risico lopen. Wel zal het volgens de expert voor een herontwerp van processoren en besturingssystemen zorgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.