SIKKERHET

De fleste Apple-enheter er berørt av både Meltdown og Spectre

Her får du siste nytt om de alvorlige CPU-sårbarhetene.

Apples produkter er nødvendigvis ikke immune mot de nye CPU-sårbarheten, selv om selskapet allerede har kommet med visse forsvarsmidler.
Apples produkter er nødvendigvis ikke immune mot de nye CPU-sårbarheten, selv om selskapet allerede har kommet med visse forsvarsmidler. Bilde: Apple, meltdownattack.com. Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
5. jan. 2018 - 11:02

Apple bekreftet i går at de fleste av selskapets enheter er berørt av prosessorsårbarhetene som kalles for Meltdown og Spectre.

– Alle Mac-systemer og iOS-enheter er berørt, men det er på det nåværende tidspunkt ingen kjent angrepskode som påvirker kunder, skriver selskapet i en supportartikkel.

Apple har allerede kommet med visse sikkerhetstiltak i oppdateringene iOS 11.2, macOS 10.13.2 og tvOS 11.2, men opplyser at jobben ikke er ferdig med dette og at det nok vil komme flere sikkerhetsoppdateringer i forbindelse med disse sårbarhetene. Apple Watch skal ikke være berørt av Meltdown, kun Spectre. 

Bakgrunn: CPU-problemene gjelder langt fra bare Intel

Retpoline

Meltdown er ifølge Apple og en rekke andre kilder den sårbarheten som er enklest å utnytte. Den har så langt bare vist seg mulig å utnytte på Intels prosessorer, samt enkelt ARM-baserte brikker. Spectre-sårbarhetene skal være langt vanskeligere å utnytte, men samtidig også vanskeligere å gjøre noe med. 

Google har utviklet en teknikk som kalles for Retpoline, som skal kunne beskytte mot  én av de to Spectre-sårbarhetene (CVE-2017-5715). Den kan tas i bruk av operativsystemkomponenter, biblioteker og annen programvare hvor det grunn til å være bekymret for informasjonslekkasje. Det er altså ikke nok med bare en operativsystemoppdatering. Også kompilatorer må få støtte for dette, noe som omtales blant annet på denne siden i forbindelse med LLVM-kompilatorinfrastrukturen. 

Fordelen med Retpoline, er at den i veldig liten grad skal innebære tapt ytelse. 

Utnyttes med JavaScript?

Selv om Spectre-sårbarhetene skal være ekstremt vanskelige å utnytte, kan de ifølge Apple potensielt utnyttes i JavaScript som kjøres i en nettleser. Derfor har alle de store nettleserleverandørene planer om å komme med oppdateringer som reduserer disse mulighetene. 

I løpet av få dager skal selskapet utgi en oppdatert utgave av Safari som har eget forsvar mot utnytte av Spectre-sårbarhetene. Som tidligere omtalt, kommer både Google og Mozilla snart med lignende forsvar i henholdsvis Chrome og Firefox. Microsoft kom med en tilsvarende sikkerhetsoppdatering til Edge og Internet Explorer allerede onsdag denne uken, sammen med andre Windows-relaterte tiltak mot de tre sårbarhetene. Disse Windows-oppdateringene ble altså utgitt nesten en uke før tidspunktet som opprinnelig var planlagt, tirsdag i neste uke.

Intel-oppdateringer

Intel har begynt å utgi fast- eller programvareoppdateringer til de berørte prosessorene. Innen utgangen av neste uke skal det finnes oppdateringer til 90 prosent av prosessorproduktene utgitt de siste fem årene. Men sårbarhetene skal finnes i langt eldre prosessorer enn som så. 

Det betyr ikke at faren er over, i alle fall når det gjelder Spectre-sårbarhetene. I en tidligere utgave av et sikkerhetsvarsel om sårbarhetene, skrev amerikanske IT-sikkerhetsmyndigheter, CERT, at den eneste måten å fjerne sårbarheten på, er å erstatte CPU-en med én som ikke har slike sårbarheter. Selv om dette avsnittet har blitt fjernet fra den nåværende utgaven av sikkerhetsvarselet, tyder alle forbeholdene som programvareleverandørene kommer med, at ting ennå ikke oppleves å være under kontroll.

Ytelsestapet

Mye har blitt sagt om ytelsestapet som sikkerhetsfiksene forårsaker. Det har kommet rapporter om opptil 30 prosent redusert ytelse, men dette gjelder tilsynelatende kun i spesielle tilfeller. Intel har blitt kritisert for å forsøke å glatte over problemene, så selskapets egne uttalelser om ytelsesreduksjonene tas nok med en stor klype salt av mange.

Men både Apple og Google oppgir at reduksjonen i ytelse i de fleste tilfeller vil være fra «ikke målbar» til «neglisjerbar». Dessverre vil det alltid finnes unntak, og forhåpentligvis vil det utvikles mer ytelseseffektive botemidler etter hvert. 

En oversikt over kunngjøringer fra ulike leverandører angående deres tiltak mot Meltdown og Spectre, finnes nesten nederst på denne siden.

Leste du denne? Ble varslet om kritiske sårbarheter allerede i sommer. Da gikk det ikke lang tid før toppsjefen solgte aksjer i selskapet verdt 194 millioner

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.