Wat is er mis met CPU's?

Metltdown en Spectre maken gebruik van een kwetsbaarheid in de architectuur van CPU's en de feature speculatative execution. Dat proces komt erop neer dat de processor sneller kan werken door te voorspellen welke geheugenadressen door software worden gebruikt, zodat hij CPU meerdere instructies kan verwerken en niet per se in chronologische volgorde.

Om prestaties te verbeteren, voorspelt de CPU welke branch in de uitvoer hoogstwaarschijnlijk pakt en speculatitive execution speelt daarop in nog voor de branch wordt uitgevoerd. Als de voorspelling niet klopt, wordt speculatative excution teruggerold, maar dat moet onzichtbaar zijn voor andere software.

Makkelijk te misbruiken

Helaas gaat het daar mis en kunnen applicaties geheugen uitdelen. Dat gaat, zoals in het geval van Meltdown, zelfs om kernelgeheugen, waarin gegevens met zeer hoge rechten worden bewaard. In het geval van Spectre kan applicatiedata worden uitgelezen, waardoor malware in principe veel geheime data kan oppikken.

Meltdown is makkelijker te misbruiken, maar beter te patchen. Spectre is een grotere uitdaging voor aanvallers, maar helaas lastiger te repareren. We hebben nog geen exploits en malware gezien, maar dat is waarschijnlijk een kwestie van tijd. Apple heeft inmiddels aangegeven dat alle apparaten in principe kwetsbaar zijn, hoewel de Apple Watch niet vatbaar is voor Meltdown.

Download updates

Apple heeft al updates uitgebracht die helpen tegen Meltdown-bug (wat meer schadebeperkende patches zijn). De bescherming is toegevoegd aan iOS 11.2, macOS 10.13.2 en tvOS 11.2. Apple heeft nog niets gezegd over de bescherming van oudere systemen - in mijn optiek is een backport naar eerdere versies vereist.

Er is gisteren ook een update verschenen voor Safari die Spectre en Meltdown-aanvallen moet voorkomen (versie 11.0.2). De update die afgelopen zaterdag verscheen staat daar los van. Zorg er verder voor dat je de komende tijd updates toepast zodra ze verschijnen. Je kunt ervan uitgaan dat er meerdere updates verschijnen die een exploit van deze kwetsbaarheid steeds grondiger aanpakken.

Jailbreak niet

Jaibreaking op iOS is niet meer zo gebruikelijk als enkele jaren geleden, om verschillende redenen. Niet in de minste plaats omdat apparaten die gejailbreakt zijn kwetsbaarder zijn voor malware. Vanwege de nieuwe gaten die op processorniveau bestaan is het al helemaal niet aan te raden dat je buiten Apple omgaat. In plaats daarvan:

Gebruik de App Store

Apple wijst erop dat veel van de Meltdown en Spectre-issues misbruikt kunnen worden als een malafide app op je Mac of iOS-apparaat wordt geïnstalleerd. Het bedrijf raadt daarom aan om alleen software te downloaden uit een betrouwbare bron, te weten de App Store.

Dat is wat beveiliging betreft altijd een aanrader, maar er zijn incidenten geweest waarin officiële apps uit de App Store malware uitdeelden. Vooral de apps die met Xcode Ghost verschenen zijn gebruikers bijgebleven. Dit soort ellende is gelukkig zeldzaam, in de regel biedt Apple prima bescherming tegen malware-besmettingen.

Werk Safari bij

Het is mogelijk om via JavaScript een aanval uit te voeren. De grote browsers hebben daarom updates toegepast om een specifiek JavaScript-element uit te schakelen en om een API aan te passen die misbruik anders mogelijk maakt. Hierover lees je meer in ons artikel van gisteren. Een geplande update voor Safari doet hetzelfde.

Klik niet op links

Het aloude advies is uit de informatiebeveiliging is vandaag even nóg actueler, zolang nog niet alle beschermingsmaatregelen zijn doorgevoerd en snoodaards potentiële exploits opzetten: klik niet op linkjes van mensen die je niet kent. Klik sowieso niet op links naar vreemde plekken.

Hoe zit het met clouddiensten?

Iedereen die hardware gebruikt ondervindt hinder en dat geldt ook voor cloudproviders. Bedrijven als Amazon, Citrix, Google, en Microsoft hebben allemaal ondersteuningsdocumenten opgesteld waarin wordt uitgelegd welke oplossingen ze hebben toegepast.

Hoe zit het met de impact op prestaties?

Volgens Apple zorgen de fixes voor de processorfouten niet voor een meetbare impact op de prestaties van apparaten. Maar je kunt een kleine vertraging bemerken in de prestaties van browser Safari.

Nieuwe apparaten

Als je apparaten in een zakelijke IT-omgeving gebruikt, of het nu een grootzakelijke organisatie of MKB is, moet je systemen aan een audit onderwerpen. Je moet ervoor zorgen dat oudere (ongepatchte) systemen geïsoleerd worden van de rest van het netwerk en geen vertrouwelijke gegevens bevatten. Het is hoog tijd om die databases uit het XP-tijdperk en andere legacy-technologieën te dumpen.

En nu?

De gevolgen hiervan gaan we waarschijnlijk gedurende een langere periode bemerken, vrees ik. De uitdaging zit hem in vrijwel alle moderne systemen en ongepatchte legacy-systemen. Dit levert vooral problemen op de komende jaren in kritieke infrastructuren met systemen die niet eens zo oud zijn die risico's kunnen opleveren.