De oorspronkelijke bedoeling was dat de gaten morgen, tijdens Patch Tuesday, bekend gemaakt zouden worden in een gecoördineerde disclosure van chipfabrikanten, OS-leveranciers en andere softwaremakers. Die konden dan tegelijk met de onthullingen allerlei fixes en work-arounds bekend maken.

Patches rollen uit

Die patches moeten problemen zo goed mogelijk oplossen zonder de hardware zelf te vervangen, wat op sommige plaatsen (zoals bij US-CERT) werd geadviseerd. Het plan om op dinsdag 9 januari de onthulling samen met de patches tegelijk bekend te maken ontspoorde toen er vorige week informatie werd gelekt naar diverse media.

Hoewel de belangrijkste patches afkomstig zijn van chipfabrikanten en besturingssysteemmakers, hebben browser-ontwerpers een niet onbelangrijke rol. Spectre zou namelijk kunnen worden misbruikt door aanvallers die JavaScript-code gebruiken om deze applicaties voor hun karretje te spannen om zo geheugenfouten misbruiken.

Browser-bescherming

Via Spectre kan namelijk de sandbox omzeild worden. Onderzoekers hebben een proof-of-concept geschreven om te laten zien hoe een stukje JavaScript gebruikt kan worden om de adresruimte van een Chrome-proces uit te lezen, zodat bijvoorbeeld inloggegevens die gebruikers net hebben getypt uit het geheugen gestolen kunnen worden.

Enkele van de grootste browsermakers hebben al oplossingen gebouwd en uitgerold naar gebruikers, zodat hun data op het apparaat beschermd kan worden tegen potentiële Spectre-aanvallen. We kijken op de volgende pagina's naar de oplossingen van Chrome, Firefox en IE/Edge.

De patch voor Apple's Safari werd vlak voor het weekend aangekondigd en kan ieder moment verschijnen.

Chrome

Al in december werd een update uitgerold voor Chrome met een nieuwe feature met de naam 'Site Isolation'. Deze is standaard uitgeschakeld bij het uitrollen van Chrome 63 en Google raadt nu aan de feature in te schakelen om Spectre-aanvallen te voorkomen. Dat doe je met een flag (chrome://flags in de adresbalk) genaamd [b]Strict Site Isolation/b].

De nieuwe feature is aan aanpassing van eerdere gescheiden tab-processen en ontworpen om code te blokkeren die in de Chrome-sandbox wordt uitgevoerd die de content van andere tabbladen probeert aan te spreken. Het idee daarvan is dat dergelijke isolatie ervoor zorgt dat aanvallers de data uit het geheugen kunnen plukken van andere, inactieve tabs die RAM bezetten.

Als losse gebruiker kun je de flag inschakelen (zoals in het screenshot hierboven) en IT-beheerders kunnen de aanpassing breed uitrollen via een Group Policy - lees er meer over op deze [ur;x=https://www.chromium.org/Home/chromium-security/site-isolation]Chromium-pagina[/urlx]. Er komen nog meer aanpassingen, onder meer in JavaAcript-engine V8, in de aankomende versie van Chrome. Versie 64 staat gepland voor de week van 21 januari.

Afgelopen vrijdag stelde Google dezelfde beperkingstechnieken in die andere browsermakers, waaronder Microsoft en Mozilla, ook hanteren in de strijd tegen het chipgat. Dit zijn tijdelijke maatregelen die als work-around dienen tot er een betere oplossing volgt. Onder meer het object SharedArrayBuffer is uitgeschakeld en is de API performance.now aangepast om aanvallen te verijdelen.

Internet Explorer en Edge

Microsoft heeft eind vorige week out-of-band updates uitgebracht voor IE en Edge op Windows 10 en IE-patches voor Windows 7 en Windows 8.1. De updates worden sowieso morgen uitgegeven tijdens de eerste Patch Tuesday van 2018, maar als je WSUS gebruikt, kun je ze nu al downloaden vanuit de Update Catalog in de 'security only quality update'.

Verder heeft Microsoft dezelfde stappen genomen als andere browsermakers, wat illustratief is voor de enorme coördinatie die heeft plaatsgevonden om Meltdown en Spectre aan te pakken. Ook hier is SharedArrayBuffer voorlopig uitgeschakeld en zijn de prestatie van performance.now waarmee CPU-caches van browsercontent worden beheerd tijdelijk minder.

Firefox

Mozilla heeft een update uitgebracht naar versie 57.0.4 om dezelfde twee maatregelen (uitschakelen SharedArrayBuffer en aanpassen API performance.now) uit te rollen naar gebruikers. De resolutie van die API, met andere woorden de interval waarop informatie benaderbaar is, is veranderd van 5 microseconden naar 20, zo legt Mozilla uit.

Let op: De Firefox ESR (Extended Support Release) krijgt die aanpassing pas op 23 januari. De ESR wordt gebruikt door organisaties die een zeer stabiele, nauwelijks veranderende versie - met uitzondering van beveiligingspatches - vereisen. De huidige versie daarvan ondersteunt het object SharedArrayBuffer sowieso niet.

Safari

De updates voor macOS en iOS van vorige maand bevatten maatregelen tegen Meltdown, maar de Safari-update die dit weekend verscheen bevat nog geen Spectre-patches. Apple publiceerde dit ondersteuningsdocument vrijdag waar wel een patch wordt aangekondigd die gepland staat voor de komende dagen.

Apple beschreef niet welke maatregelen precies gepland staan voor Safari, maar het gaat vrijwel zeker tenminste om interval-aanpassingen in performance.now en het uitschakelen van JavaScript-object SharedArrayBuffer zoals bij de andere browsers.