Ik zie niet waarom mensen thuis die patch zouden moeten installeren gezien de nadelen.

Patchen is meer iets voor datacenters, zoals bij vps-en.

Omdat er in kernel memory allerlei geheimen (waaronder wachtwoorden) kunnen worden bewaard die o.a. met Javascript vanaf foute websites kunnen worden uitgelezen.

Als je thuis internet-bankiert, bij webshops bestellingen doen en/of (zakelijk) VPN gebruikt, zou ik thuis zeker patchen.
Zakelijke gebruikers van desktops/notebooks raad ik dat ook aan (naast, vanzelfsprekend, servers - vooral met meerdere gebruikers - en VM hosts).

Ik zou zeggen: wacht dan even af of niet een of andere cybercrimineel straks jouw systeem overneemt.

Misschien is patchen zinvol,als er geen langzamere gevolgen voor je systeem door ontstaan.
Voor mensen die hun computer echt steeds up to date houden met al hun geinstalleerde software,is er minder gevaar en kan je er nog wel even mee leven dat dit lek in de processoren zit.
Ik noem maar een voorbeeld,misschien als je ervaring hebt met het gebruiken van VPN,en steeds je antivirusprogramma ook up to date hebt.
Voor mensen die hun computer slecht op zaken hebben,die maar denken ach als het maar werkt,en er verder niks mee doen.
Dat zijn vaak de kwetsbaardere mensen,die wel makkelijker gehackt kunnen worden.

De update van microsoft is er al KB 4056892 voor de mensen thuis

1: Ervaring leert ook dat dit best tegenwoordig wel mee valt. De kans dat dit dus werkelijk gebeurt is niet zo groot. De kans iis groter dat je morgen een aanrijding hebt en dodelijk verongelukt.
2: Het is een valide opmerking. Het grootste probleem zit hem in de virtualisatie omgevingen. Daar is het risico het grootst. En je deze patch wil je overal geïnstalleerd hebben staan vanuit security oogpunt.

"Organisaties doen er verstandig aan om de beveiligingsupdates voor de kwetsbaarheden in moderne processoren zo snel als mogelijk te installeren"

Niet alleen in moderne processoren hoor:

"More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013)."

Oké, dit lek vindt je goed. Wat doe je met het volgende lek en het daaropvolgende lek? Op een bepaald moment moet je toch je computer repareren en imho liefst zo snel mogelijk. Dan maar een trage en veilige computer

Welke nadelen ? En waarom zou je niet willen dat jouw systeem beschermd wordt tegen deze dreiging ?


Spiegeltje nodig ? Je beschrijft namelijk eigenlijk *jouw* houding. Ach, als ik maar slim ben, dan gebeurd mij niets. Denk je dat je beveiligt bent als je via een VPN bijvoorbeeld op een geinfecteerde website komt ? Denk je dat je veilig bent, wanneer je antivirus een nieuw stukje malware dat hier misbruik van maakt, nog niet detecteert ?

Je praat jezelf schijnveiligheid aan, en doet vervolgens denigrerend over mensen die hun zaken *ook* niet op orde hebben - net zoals jijzelf....


Zinnige vraag inderdaad. Maar sommige mensen denken zichzelf te kunnen beveiligen door beveiligingsupdates *niet* te installeren, redelijk hopeloos. Niet veel anders dan de zelfbenoemde security experts die roepen dat ze door hun genialiteit geen antivirus software nodig hebben.

Hoe slechter beveiligd, hoe beter lijkt het mantra van sommigen hier. Zouden ze hun auto gordel ook niet dragen, omdat ze door superieure rijvaardigheden onkwetsbaar zijn geworden ? ;)

Daar heb je erg veel aan wanneer je eenmaal slachtoffer bent. Mijn bankrekening is leeg. Maar ach, de kans dat het zou gebeuren was klein. De kans op een dodelijke aanrijding in het verkeer is inderdaad ook klein, ben je daarom in het verkeer door ervaring roekeloos ? Het valt immers allemaal best mee.

Jouw houding is precies de houding van bestuurders binnen bedrijven, die pas wanneer het fout gaat aandacht willen besteden aan beveiliging. Daarvoor dachten ze ook dat het wel mee zou vallen, naief en laks ;)

Als je het probleem leest lijkt het inderdaad alleen een risico te zijn daar waar shared hardware door ongecontroleerd soorten gebruikers te vermengen. Een dedicated machine is genoemd als iets waar het probleem niet optreed.

In paniek foute zaken doen als reactie op een niet bestaand risico is een groter risico.

Dat is zoiets als een machine die niet aan een publiek toegankelijk extern netwerk als internet hangt,
maar machines van thuisgebruikers staan meestal wel in contact met internet.

Zie ook artikel:
De Duitse overheid heeft via het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, organisaties, aanbieders en eindgebruikers opgeroepen om
de updates ook zo snel als mogelijk te installeren.

Heb ik gezien, ik lees ook de originele teksten van de onderzoekers.
Het zou niet de eerste keer zijn dat iedereen achter elkaar loopt te rennen voor een non issue. Milo vhs recorders met timters en elektronische kookwekkers alles komt tot stilstand want we weten het niet.

Zoals je aangeeft het hangt aan internet en dan gaat er malafide code ineens op je machine draaien die van alles uitspookt.
Dat probleem kennen we is bekend hebben we endpoint security voor. Beter: Je zou niet eens zo maar willekeurige op je machine uitgevoerd willen zien. Gebeurd dat dan heb je zo maar de zoveelste ransomwareinfectie.

Overigens moet je je omgeving voldoende up to date houden. Onderdeel van iso27k richtlijnen. Dat houdt niet in dat je in paniek telekns het laatste van het laatste er snel op moet hebben. Waar is de risico impact overweging?
Verbazend:
a/ met cuda GPU is het niet beschermd zijn van memory al langer bekend. https://arxiv.org/pdf/1305.7383.pdf.
b/ Ik ooit wel eens hier gepost dat het flat memory model van de huidige processors (Intel Arm) het risico meebrengt van het onbedoeld kunnen bereiken door anderen. Nu is dat bewijs er dat ik niet zo verkeerd dacht. Als de memory isolatie een hardware optie is dan is dat niet zo makkelijk.
De aanval op de processor cache zul je blijven houden als risico, het is de schaduwkant van performance winst. Mogelijk zal een quantum computer ook dat soort risico's in zich hebben. Niets gaat voor niets.

Het is ook mogelijk om de aanval uit te voeren met een simpel javascript via de browser.

Daarnaast is het performance verlies bij een standaard werkplek zo minimaal dat je het bij normaal gebruik niet merkt. Gamen is gevoeliger voor dat verlies, maar de meeste games zijn rekenintensief en vragen niet veel interactie met de kernel en zullen dus ook geen merkbaar performance verlies ondervinden.


Diverse leveranciers van endpoint security hebben al aangegeven dat ze deze aanval niet kunnen detecteren. Het enige dat ze zouden kunnen detecteren is als er malware is die deze kwetsbaarheid misbruikt. Maar dan wordt het gedetecteerd op basis van de standaard malware waar dit is ingebouwd.

Een aanval via javascript via een (besmette) website is niet te detecteren.

Peter

Het is gewoon een stukje risico management...... Hoe groot is de kans dat het gebeurt en als het gebeurt hoe groot is dan de impact. Als je er dus voor zorgt dat meerdere bankrekeningen hebt, verdeeld over meerdere banken dan ben je weer redelijk veilig en limiteer je de impact van de hack.

Je kan natuurlijk ook je huis tot een atoombunker verbouwen, en alle mogelijke firewalls / av activeren als je het wilt internetten.
Is het naief? Nee het is ook gewoon realistisch zijn, en niet meteen overal een doemscenario van maken.

Ik zeg ook helemaal niet dat je geen risico loopt, ik zag alleen dat het risico betrekkelijk klein is en dus wel mee valt. Er zijn veel grotere risico's waar je je zorgen om moet maken. Gewoon realistisch zijn....

Moet er wel een patch beschikbaar zijn. MS heeft deze wel beschikbaar gesteld voor 10 maar voor windows 7 wachten ze nog even met beschikbaar stellen. Misschien hopen ze dat al die gebruikers gehackt worden en dat ze dan wel op 10 moeten overstappen.

Het probleem zit hem in de speculatieve mogelijkheden van processors, vooral die van Intel, want die maken daar veel gebruik van.
Speculatief wil zeggen: de processor voert parallel aan de lopende instructie alvast andere instructies uit die mogelijk
de volgende instructie kunnen zijn. In dat geval heeft de processor de uitkomst van volgende instructie al klaar staan.
Maar dit systeem blijkt dus informatie te kunnen lekken.
Haal het speculatieve element eruit en je hebt er geen last meer van.
Maar daar wordt de processor dus wel trager van, omdat uitkomsten van van te voren berekende instructies dan nooit meer reeds klaar zullen staan. Instructies uitvoeren kost tijd namelijk.

Hoewel het probleem op zichzelf geen kwaad kan, wordt dat anders wanneer er malware op je (thuisPC) terecht komt die
deze kwetsbaarheid (langdurig) kan uitbuiten. Hoewel daar wel wat aan te doen is voordat het zover komt.
In de eerste plaats moet je dan je computer goed beveiligen en asap patchen bij kwetsbaarheden om malware zoveel en zo goed mogelijk buiten de deur te houden, en ten tweede moet je zorgen dat je firewall goed dicht zit, zodat "phone home" door te malware wordt bemoeilijkt omdat hij het IP-adres niet zomaar kan bereiken met de hackresultaten.

Het is de werking van endpoint security dat alleen bekende malware ofwel code herkend kan worden. Alles wat nog niet bekend is niet herkend kan worden.

Het data lekken via geluid manipulatie van de ventilator dan wel zichtbare ledjes is ook mogelijk. Speculeer nog wat en je zult er nog wat vinden. Allemaal niet detecteerbaat als de foute software niet kent. Security by design begint aan de andere kant. Geen onbekende code geen gedeelde hardwsre meerdere verdedihingslijnen zonder aannames dat een ander het wel doet.

Dat gaat niet gebeuren want bankrekeningen hebben 2nd-factor authenticatie. Het weten van een wachtwoord van een
bankrekening heeft niet veel nut. Als je wellicht internationaal andere dingen gelezen hebt komt dat omdat dit niet overal
ter wereld goed geregeld is.