Beveiligingsonderzoekers hebben onthuld twee nieuwe exploits die tegen moderne processors kunnen worden uitgevoerd. De exploits, die "Meltdown" en "Spectre" worden genoemd, gebruiken vergelijkbare methoden om processors van Intel, AMD en ARM te beïnvloeden op pc's, mobiele apparaten en in de cloud. De onderzoekers leggen uit:
Meltdown en Spectre maken gebruik van kritieke kwetsbaarheden in moderne processors. Door deze hardwarefouten kunnen programma's gegevens stelen die momenteel op de computer worden verwerkt. Hoewel het programma's doorgaans niet is toegestaan om gegevens van andere programma's te lezen, kan een kwaadaardig programma Meltdown en Spectre misbruiken om geheimen te achterhalen die zijn opgeslagen in het geheugen van andere actieve programma's. Dit kunnen uw wachtwoorden zijn die zijn opgeslagen in een wachtwoordbeheerder of browser, uw persoonlijke foto's, e-mails, instant messages en zelfs bedrijfskritische documenten.
Meltdown en Spectre zijn verschillende aanvallen, maar beide stellen aanvallers in staat de isolatie tussen applicaties te doorbreken om toegang te krijgen tot informatie. Het grootste verschil is misschien wel de specifieke processors die door elke aanval worden beïnvloed. Meltdown, zeggen de onderzoekers, is alleen beoordeeld op Intel-processors. Het bereik van mogelijk getroffen processors is echter enorm:
Meer technisch gezien is elke Intel-processor die uitvoering buiten de bestelling implementeert potentieel getroffen, dat is in feite elke processor sinds 1995 (behalve Intel Itanium en Intel Atom eerder 2013). We hebben met succes Meltdown getest op Intel-processorgeneraties die al in 2011 zijn uitgebracht. Momenteel hebben we alleen Kernsmelting geverifieerd op Intel-processors. Op dit moment is het onduidelijk of ARM- en AMD-processors ook worden beïnvloed door Meltdown.
Spectre, aan de andere kant, lijkt een veel groter bereik te hebben. Volgens onderzoekers wordt bijna elk type apparaat beïnvloed door Spectre; het is geverifieerd om te werken met Intel-, AMD- en ARM-processors. Spook is moeilijker te exploiteren dan Meltdown, maar onderzoekers waarschuwen dat het ook moeilijker is om ervoor te waken. De aanvallen werken ook tegen cloudservers, waardoor klantgegevens kwetsbaar kunnen worden.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe onbeperkte lijnen
Gelukkig zijn er in ieder geval enkele fixes in het wild of onderweg. Voor Google heeft het een FAQ een opsomming van de status van zijn producten en hoe deze worden beïnvloed:
- Google zegt het heeft herstelde de kwetsbaarheden in de beveiligingspatch van januari worden vrijgegeven voor Android-apparaten.
- Chromebooks met een Intel-processor en kernel 3.18 of 4.4 zijn hersteld met Chrome OS 63. Chromebooks met oudere kernels zullen in een toekomstige release worden gepatcht via Kernel Page Table Isolation (KPTI). Chromebooks op ARM-processors staan niet bekend als kwetsbaar, maar zullen in een toekomstige update toch KPTI ontvangen.
- Versie 64 van de Chrome-browser, die deze maand uitkomt, "bevat beperkende maatregelen ter bescherming tegen misbruik".
- Google Home, Chromecast, Google Wifi en Google OnHub worden allemaal vermeld als 'geen extra gebruikersactie nodig'.
- G Suite (Google Apps) is opgelost aan de achterkant en vereist geen gebruikersinteractie.
Google beweert ook dat het "niet op de hoogte is van een succesvolle reproductie van dit beveiligingslek waardoor ongeautoriseerde openbaarmaking van informatie op ARM-gebaseerde Android-apparaten mogelijk zou zijn." De de vraag is natuurlijk hoe dat zou kunnen veranderen nu meer details over de exploits zijn onthuld en voordat de talloze Android-fabrikanten beveiligingspatches krijgen vrijgegeven voor hun apparaten.
Voor de echte nerds onder ons, ARM is in detail gegaan over welke typen processors die specifieke ARM-ontwerpen gebruiken, kwetsbaar zullen zijn voor specifieke soorten van deze aanvallen.
Er zijn patches tegen Meltdown voor Linux, Windows en macOS. Spectre is geen gemakkelijke oplossing, zo lijkt het, en de onderzoekers zeggen dat er voortdurend wordt gewerkt aan "verharding software tegen toekomstige exploitatie van Spectre, respectievelijk om software te patchen na exploitatie via Spook."
U kunt meer lezen over Spectre en Meltdown, inclusief meer technische details, in het het volledige rapport van de onderzoekers.
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Leer meer.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Beveilig uw huis met deze SmartThings deurbellen en sloten.
Een van de beste dingen van SmartThings is dat u een hele reeks andere apparaten van derden op uw systeem kunt gebruiken, inclusief deurbellen en sloten. Omdat ze in wezen allemaal dezelfde SmartThings-ondersteuning delen, hebben we ons gefocust op welke apparaten de beste specificaties en trucs hebben om ze toe te voegen aan je SmartThings-arsenaal.