Meltdown/Spectre: Het lek dat bijna elke pc- en serverchip treft

Pieterjan Van Leemputten

Alle computers die de afgelopen tien jaar gebruik maakten van Intel-computerchips, zijn kwetsbaar voor hackers. Met de juiste software kan een hacker toegang krijgen tot onder meer wachtwoorden. Maar ook systemen op AMD- en ARM-chips zijn in bepaalde gevallen te misbruiken.

Meltdown

Het gaat om twee gelijkaardige securityproblemen die de naam Meltdown en Spectre meekrijgen. De eerste treft vooral Intel-chips. Het gaat om een ontwerpfout waardoor gevoelige data zoals wachtwoorden en encryptiesleutels uit het geheugen kunnen gehaald worden. Onder meer The Register onthulde dat malware, apps of JavaScript in de browser inhoud uit het private kernel memory kunnen lezen en zo info kunnen onttrekken waar ze normaal geen toegang tot mogen hebben.

Het probleem is dat de bugs niet aan een specifieke versie van Windows, Adobe Flash of Java gelinkt zijn. Maar voorkomen in bijna alle chips van Intel. Aanvankelijk werd gesproken over chips van de laatste tien jaar. Maar volgens The Register zijn zelfs Intel-chips sinds 1995 kwetsbaar. Voornaamste uitzonderingen zijn de Itanium processoren en de Atom-chips die voor 2013 zijn verschenen.

Meltdown treft geen chips van AMD, maar wel enkele modellen van ARM.

Spectre

De andere bug krijgt de naam Spectre me en toe dat apps info van andere of eigen processen bemachtigen. Dat betekent dat kwaadaardige JavaScript-code in een webpagina op zoek kan gaan naar cookies in het geheugen van je browser, om zo inloggegevens van andere sites te stelen. Deze fout zou lastiger te patchen zijn, maar ook lastiger om te misbruiken.

Hier zijn onder meer de Haswell Xeon chips van Intel getroffen, maar ook chips van AMD. Al nuanceert AMD zelf dat haar producten niet vatbaar zijn voor alle varianten van de aanval. De Ryzen-reeks, AMD FX en AMD Pro cores zijn zo te misbruiken.

Lees zeker ook het overzicht bij The Register, dat een vrij volledig overzicht van de impact van Spectre en Meltdown, inclusief de chips die mogelijk kwetsbaar zijn, heeft opgesteld.

Patch kan systeem vertragen

De twee lekken werden ontdekt door onderzoekers van Google Project Zero, de Universiteiten van maryland, Pennsylvania, Adelaide en Graz, Rambus, Data61 en Cyberus Technology. Zowel AMD, Intel als ARM werden al gewaarschuwd in juni en sindsdien werkt de sector aan patches. Dit gebeurde discreet om te voorkomen dat hackers zelf actief op zoek gingen naar de fout.

Intussen zouden er patches zijn voor Linu, Windows en macOS (sinds versie 10.13.2). Maar ook die zijn niet feilloos. Zo zouden ze de getroffen systemen vertragen met vijf tot dertig procent. Al zou dat probleem zich vooral stellen afhankelijk van de workload. Intel zelf zegt dat er ‘voor de doorsnee computergebruiker geen significante vertraging is.” En ook die vertraging zou met de tijd weggewerkt worden.

Cloud

Spectre en Meltdown treffen niet enkel pc’s. Ook servers, waaronder publieke clouds, zijn kwetsbaar. Bij Amazon kregen de Linux-systemen op AWS al een update. Google raadt aan dat virtuele machines gepatcht en herstart worden. Microsoft is momenteel bezig met een oplossing voor Azure.

‘De veiligste ter wereld’

Alles bij elkaar gaat het om een grootschalig wereldwijd securityprobleem waarbij elke gebruiker moet nagaan of hij of zij de laatste patches en updates heeft geïnstalleerd. AMD verduidelijkt vooral dat niet alle scenario’s op haar chips van toepassing zijn. ARM is zeer duidelijk en legt uit welke chips in welke mate getroffen zijn.

Intel, wiens chips het vaakst voorkomen en het vaakst kwetsbaar zijn, blijft opmerkelijk genoeg summier in zijn reactie. Het nuanceert vooral dat ook concurrenten ARM en AMD kwetsbaar zijn, maar verduidelijkt niet welke chips in welke mate kwetsbaar zijn. Mogelijk omdat de lijst bijzonder lang is.

Wel besluit het bedrijf met de enigszins ironische zin “Intel gelooft dat zijn producten de veiligste ter wereld zijn en met de steun van onze partners zorgen de huidige oplossingen voor de beste mogelijke beveiliging voor klanten.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content