Alles wat je moet weten over de processorbug

104 reacties
Inhoudsopgave
  1. 1. Inleiding
  2. 2. Wat houdt het lek in?
  3. 3. Hoe bescherm je jezelf tegen het lek?
  4. 4. Beïnvloedt de patch de prestaties van cpu's?
  5. 104 reacties

Wat houdt het lek in?

Feitelijk bestaat 'de bug' uit drie verschillende lekken, die allemaal te maken hebben met de beveiliging van gegevens die door de processor worden verwerkt. Ze zijn allemaal gebaseerd op de speculative execution feature van moderne processors. Als er voor een berekening een waarde nodig is die op dat moment nog wordt berekend of nog onderweg is vanuit het geheugen, doet een processor middels branch prediction een gok wat de uitkomst (ongeveer) gaat zijn en rekent daarmee verder. Op het moment dat die gok fout blijkt te zijn wordt hij weggegooid, maar op dat moment wordt de daarvoor gegenereerde cache benaderbaar door elk willekeurig programma op je computer.

In het kort houden de lekken het volgende in:

  • Meltdown (CVE-2017-5754): Met deze kwetsbaarheid is het voor programma's zonder adminrechten mogelijk om bij data te komen die dat wel vereisen. Specifiek gaat het om het kerneldata die kan lekken naar reguliere software. De patch die nu voor diverse besturingssystemen beschikbaar komt verhelpt dit lek, doordat er niet langer gecombineerd wordt gespeculeerd over kernel- en userdata. In theorie verlopen berekeningen met kerneldata hierdoor iets langzamer, bijvoorbeeld taken waarbij veel i/o-verkeer noodzakelijk is.

  • Spectre 1 & 2 (CVE-2017-5753 + CVE-2017-5715): Deze twee lekken werken volgens een iets ander principe dan Meltdown. Dit lek is lastiger te benutten, maar maakt het bijvoorbeeld ook mogelijk voor virtuele machines om de data van een andere VM of het host-OS te bekijken. Vooral voor servers die VM's draaien is dit lek daardoor erg gevaarlijk. Tevens is dit lek moeilijk op te lossen, behalve door de speculative execution uit te schakelen voor alle gevoelige instructies, maar dat lijkt bijna onbegonnen werk. Tegen specifieke exploits van Spectre kan wel worden gepatcht.

Vooralsnog is Meltdown alleen werkend gedemonstreerd op Intel-processors, maar cpu's van AMD en ARM zijn ook vatbaar voor Spectre.

0
*