Som digi.no skrev i går, finnes det en alvorlig sårbarhet i mange av Intels prosessorbrikker. Samtidig understreket vi at mye av informasjonen angående denne sårbarheten, ennå ikke var blitt frigjort. Derfor var mye av det som ble oppgitt av kildene i saken, basert på antakelser og spekulasjoner.
Nå viser det seg at flere av påstandene var feil.
Bakgrunn: Alvorlig designfeil i Intel-prosessorer kan rettes i programvare
Ikke bare Intel
Den mest feilaktige påstanden var den om at dette kun berører Intels prosessorer, og ikke for eksempel prosessorer fra AMD. Dette stemmer ikke helt. Det dreier seg nemlig ikke bare om én sårbarhet eller angrepsmetode, men tre. Totalt sett berører disse tre angrepene mange prosessorer fra både Intel og AMD, samt en del ARM-baserte prosessorer. Men graden av sårbarhet varierer.
Red Hat skriver for øvrig at det finnes tilsvarende angrepskode til blant annet IBM System Z, Power8 og Power9, uten å gå nærmere i detalj.
Spectre og Meltdown
To av de tre sårbarhetene kalles samlet for Spectre, mens den siste kalles for Meltdown.
Meltdown omgår mekanismen som hindrer applikasjoner i å få tilgang til vilkårlig systemminne, mens Spectre narrer andre applikasjoner i å aksessere vilkårlige lokasjoner i deres eget minne.
Spectre berører både Intel-, AMD- og ARM-prosessorer, men skal være vanskeligere å utnytte enn Meltdown. Samtidig skal ikke sikkerhetsforskerne ha greid å utnytte Meltdown i AMD- og ARM-baserte prosessorer.
Det sistnevnte kan være bakgrunnen for påstandene om at problemet bare berører Intel-prosessorer. For inntil i går kveld var det ikke kjent at det var snakk om mer enn én sårbarhet.
(Artikkelen fortsetter under)
Dette betyr trolig at i alle fall alle pc-er og x86-baserte servere, er berørt av sårbarhetene. Men trolig også mange smartmobiler, nettbrett, smart-tv-er og andre enheter som benytter ARM-baserte prosessorer.
Project Zero
Det er ansatte i Googles Project Zero, med sikkerhetsforskeren Jann Horn i spissen, som har oppdaget sårbarhetene. I en detaljert rapport opplyses det hvilke prosessorer Project Zero har testet, men dette ble tilsynelatende gjort allerede i første halvår i fjor, for sikkerhetsforskerne varslet AMD, ARM og Intel allerede den 1. juni. I ettertid har nok mange flere prosessorer blitt testet av disse og andre leverandører.
Som digi.no antydet i går, er sårbarheten knyttet til spekulativ kjøring av kode, en teknikk som benyttes av stort sett alle moderne prosessorer. I et blogginnlegg skriver Google at det hele startet ved at Jann Horn demonstrerte at ondsinnede kunne utnytte spekulativ kjøring til å lese systemminne som ikke skal være tilgjengelig for prosessen.
Det skal gjør det mulig for uautoriserte parter å få tilgang til passord, krypteringsnøkler eller sensitiv informasjon som er åpen i andre applikasjoner.
Også virtuelle maskiner
Det har også vist seg mulig å utføre angrepet fra en virtuell maskin, som ved å få tilgang til systemets fysiske minne, kan lese innholdet i minnet til andre virtuelle maskiner på den samme verten. Dette berører alle nettskytjenester og delte servere.
I utgangspunktet skulle informasjonen om sårbarhetene først offentliggjøres den 9. januar, trolig fordi det er da Microsoft vil komme med sikkerhetsoppdateringene til Windows i Windows Update*. Men den økende mengden av mer eller mindre lekkede rapporter og spekulasjoner førte til at Google og andre aktører gikk ut med opplysningene allerede i går kveld.
Googles egne tiltak
Mange av Googles egne produkter har vært eller er fortsatt berørt av sårbarhetene. En statusoversikt finnes her. Verst stilt er muligens de mange Android-enhetene som sjelden eller aldri blir oppdatert av de respektive leverandørene, selv om Google kom med sikkerhetsoppdateringer denne uken som reduserer faren. Selskapet oppgir også at selskapet ikke kjenner til noen vellykket reproduksjon av sårbarhetene som vil åpne for uautorisert avsløring av informasjon på ARM-baserte Android-enheter.
I tilegg skal i alle fall Chrome skal få et ekstra beskyttelseslag i den kommende versjon 64. Brukere kan også vurdere å skru på den eksperimentelle funksjonen Strict site isolation, som gjør at innhold fra ulike nettsteder gjengis i separate prosesser.
Mozilla har på sin side planer om å gjøre endringer i Firefox, fra og med versjon 57, som skal gjør det vanskeligere for angripere å utnytte angrep de omtalt i saken, til å lese webinnhold på tvers av ulike opphav.
Intel har nok følt et stort behov for å forklare seg etter at alt skytset i går ble rettet mot selskapet og dets prosessorer. I en pressemelding understreker selskapet at det ikke er alene om å være berørt av disse problemene.
Ytelsestapet
Mens det fram til i går hadde kommet flere rapporter om at sikkerhetsfiksene vil føre til betydelig ytelsestap, avviser Intel dette.
– I motsetning til det som går fram av enkelte rapporter, er all påvirkning på ytelse avhengig av arbeidsbyrden, og skal ikke være betydelig for den gjennomsnittlige bruker, skriver Intel. Det loves også at ytelsestapet vil bli redusert over tid, antagelig gjennom optimalisering av de løsningene som nå innføres.
Ifølge Intel vil det bli utgitt både programvareoppdateringer og fastvareoppdateringer den kommende uken. Det er viktig at alle brukere av berørte systemer installerer disse oppdateringene så snart de er tilgjengelige, selv om det nok kan ta noe tid før sårbarhetene eventuelt blir utnyttet av ondsinnede.
Ifølge Google er det ikke gitt at sikkerhetsfiksene som kommer neste uke, vil løse hele problemet. De tre ulike angrepstypene krever hver sin form for beskyttelse.
– Mange leveredører har patcher tilgjengelig for én eller flere av disse angrepene, skriver selskapet.
Som digi.no skrev i går, har forskere ved Graz University of Technology bidratt til å løse disse problemene. Universitet har opprettet et eget nettsted hvor det blant annet legges ut oppdatert sikkerhetsinformasjon fra berørte aktører.
* Det er mulig å laste ned og installere Windows-oppdateringene manuelt allerede nå, fra denne siden. For de fleste vil det likevel være tryggest å vente til oppdateringene gjøres tilgjengelig i Windows Update.
