Meltdown en Spectre zijn beveiligingsrisico's die de meerderheid van moderne CPU's beïnvloeden. Praktische exploits voor deze kwetsbaarheden werden in 2017 onafhankelijk ontdekt door onderzoekers van de Graz University of Technology in Oostenrijk en Google's Project Zero in Californië. De kwetsbaarheden werden formeel aangekondigd op 3 januari 2018.

Meltdown is een kwetsbaarheid specifiek voor Intel-CPU's. Wanneer Intel-CPU's wordt gevraagd om vooraf gegevens op te halen, lezen ze de gegevens voordat ze de rechten van de gebruiker controleren. Hoewel geprivilegieerde gegevens niet worden bezorgd aan de onbevoegde gebruiker, werkt de CPU anders op basis van de specifieke gegevens die zijn opgehaald. Een aanvaller kan de prestaties van de processor in een zijkanaal controleren en belangrijke details over de gegevens onderscheiden. Deze informatie verbetert of garandeert de kans dat volgende aanvallen zullen slagen.

Het effect is vergelijkbaar met het zien van iemand die iets beweegt achter een gordijn. Je kunt het ding niet zien, maar als je de vorm en beweging in het gordijn kunt zien, kun je een goed geïnformeerde schatting maken van wat het is. Het wordt 'Meltdown' genoemd omdat de informatiebarrière die geprivilegieerde gegevens beschermt, effectief wordt opgelost door de aanval.

De onderstaande video, gemaakt door onderzoekers die het hebben ontdekt, toont een 'proof-of-concept' aanval tegen meltdown in actie.

Spook

Spectre lijkt op Meltdown, maar in plaats van het eigen gedrag van een chip aan te vallen, richt het zich op de tot nu toe onbekende zwakte van een fundamenteel CPU-ontwerpparadigma.

Het paradigma, uit de hand lopende uitvoering, maakt gebruik van speculatieve uitvoering om te "raden" welke operatie er vervolgens zou moeten plaatsvinden en een deel van dat werk van tevoren te doen. Als de schatting juist is, wordt een grote versnelling bereikt. CPU's met dit ontwerp worden superscalaire processors genoemd. De meeste moderne CPU's zijn superscalair, zoals die op moderne desktops, laptops en mobiele apparaten.

Spectre maakt gebruik van superscalaire processors door hun speculatieve branchevoorspellingen (gissingen) te manipuleren. De aanvaller geeft instructies die zijn gemaakt om onjuiste gissingen door de CPU te veroorzaken, waardoor zijkanaalanalyses mogelijk zijn. Spectre gebruikt deze informatie vervolgens om te manipuleren welke code de CPU vervolgens uitvoert, inclusief de persoonlijke instructies van een ander lopend programma. Dit algemene type aanval wordt vertakkingsdoelinjectie genoemd.

Spectre-aanvallen zijn moeilijk te implementeren, omdat ze specifiek gericht moeten zijn op de software van het slachtoffer. Ze zijn ook moeilijker te voorkomen, omdat ze van invloed zijn op alle superscalaire processors, inclusief die gemaakt door Intel, AMD en ARM.

De kwetsbaarheid wordt "Spectre" genoemd met betrekking tot speculatieve verwerking en omdat dit probleem de computerwereld nog vele jaren zal "achtervolgen".

Waarom zijn ze belangrijk?

Deze kwetsbaarheden bestaan ​​in het fysieke circuit van de CPU, dus ze zijn erg moeilijk te repareren.

Meltdown is van invloed op elke Intel-CPU die de afgelopen twintig jaar is gemaakt. Spectre beïnvloedt een fundamenteel deel van de meeste moderne CPU's.

Afsmeltingsaanvallen kunnen worden gematigd door wijzigingen in het besturingssysteem, wat zal resulteren in tragere prestaties. Voor Spectre-aanvallen is helemaal geen softwarematige beperking mogelijk.

Is mijn apparaat getroffen?

Desktop- en laptopcomputers

Meltdown is van invloed op alle Intel-processors die teruggaan tot minstens 1995. Op dit moment zijn fixes in ontwikkeling voor Microsoft Windows-, MacOS X- en Linux-besturingssystemen. Deze oplossingen beperken de mogelijkheid van aanvallen op kernelniveau, met een geschatte prestatiekost van 5-10%.

Spectre beïnvloedt alle superscalaire processors, waaronder het overgrote deel van de consumenten-CPU's. Scalaire processors worden niet beïnvloed. De Raspberry Pi gebruikt bijvoorbeeld scalaire ARM-processors, die geen speculatieve verwerking toepassen en niet kwetsbaar zijn voor deze aanval.

Mobiele toestellen

Android- en iOS-apparaten, zoals smartphones en tablets, zijn theoretisch gevoelig voor beide aanvallen. De nieuwste versies van Android en iOS bevatten echter updates om afsmelting tegen te gaan; en Spectre-aanvallen zijn, hoewel mogelijk, hoogst onhaalbaar gebleken.

web browsers

Als u Firefox Quantum (versie 57 of hoger) gebruikt, bent u beschermd tegen Meltdown wanneer u code uitvoert, zoals JavaScript, in de browser.

Google heeft aangekondigd dat Chrome-versie 64, met een geschatte releasedatum van 23 januari 2018, Meltdown in de browser zal verminderen.

Microsoft Edge-gebruikers kunnen verwachten dat de browser automatisch wordt gepatcht door Windows Update. Opera heeft ook een aangekondigde beveiligingsupdate aangekondigd om Meltdown te beperken.

Hoe kan ik mijn apparaat beschermen?

Installeer alle updates die momenteel beschikbaar zijn voor uw besturingssysteem om uw apparaat tegen de meltdown-aanval te beschermen.

• Controleer voor Windows 10, 8 en 7 op een nieuwe Windows Update.
• Controleer voor macOS X op nieuwe beveiligingsupdates in de App Store.
• Installeer de Google December 2017-beveiligingsupdate voor Android op uw smartphone of tablet. U kunt updates vinden onder Instellingen, Over apparaat . Nieuwere Pixel-, Nexus- en Galaxy-telefoons komen onmiddellijk in aanmerking voor de beveiligingsupgrade. Raadpleeg uw fabrikant als u niet zeker weet of de update beschikbaar is voor uw apparaat.
• Installeer voor iOS iOS 11.2 of hoger op uw smartphone of tablet. Ga naar Instellingen, Algemeen, Software-update om te controleren op updates.