Het nieuws lijkt op het eerste gezic­ht verontrustend: onderzoekers van onder meer Nvidia hebben een heel nieuwe manier gevonden om de CPU-gaten die bekend staan onder de namen Meltdown en Spectre te misbruiken. De nieuwe aanvallen worden MeltdownPrime en SpectrePrime genoemd en ze laten zien dat de oorspronkelijke exploit-methoden niet de enige manieren zijn om de kwetsbaarheden in de hardware te benutten.

De nieuwe methode maakt gebruik van de meerdere kernen in een moderne CPU en maakt vervolgens gebruik van de manier waarop geheugen wordt gecachet in multicore-systemen.

De samenvatting en uitleg van The Register is een goede plek om te kijken naar de technische details, mocht je die willen. Net als met de andere CPU-lekken kunnen aanvallers gevoelige informatie uit het werkgeheugen stelen, zoals wachtwoorden.

Maar er is ook goed nieuws: de exploitcode is ten eerste niet openbaar gemaakt, zodat aanvallers zelf op zoek zullen moeten. Maar nog beter is dat de patches die zijn gepland voor Meltdown en Spectre ook tegen deze varianten moeten beschermen.

Alle grote OS'en hebben inmiddels patches, alhoewel dit vaak lompe oplossingen zijn. Voor een grondige aanpak zijn hardwarematige verbeteringen nodig en de nieuwe methode levert wat dit betreft een extra probleem op.

Ook al zijn er CPU-patches beschikbaar, na een misser vorige maand die pc's instabiel maakte en wordt er low-level ingegrepen, is het beschermen niet zo rechttoe rechtaan als het lijkt. Dat komt doordat de processorkwetsbaarheid elk proces van een pc raakt. Onderzoekers zien al de eerste malware verschijnen die gebruik maakt van de gaten, dus het wordt tijd om je gegevens veilig te stellen.

MeltdownPrime en SpectrePrime zijn dus momenteel niet zo'n groot probleem, maar maken de toekomst een stukje ingewikkelder. De nieuwe hardware die AMD en Intel momenteel bouwr beschermt niet tegen de nieuwe multicore-methode, zo melden de onderzoekers (PDF). "Ze gebruiken de optie van één core om een gegeven in de cache van een andere core te overschrijven", zo staat te lezen in de paper.