[BIJGEWERKT Maandag 8 januari met Apple-patches tegen Spectre, antiviruscompatibiliteit.]
De drie grote bugs in Intel-, AMD- en ARM-chips die afgelopen woensdag (3 januari) zijn bekendgemaakt, zijn behoorlijk angstaanjagend, omdat ze malware of andere indringers gegevens kunnen laten stelen uit de kern van het besturingssysteem (voor op Intel gebaseerde systemen) of van andere applicaties (voor alle apparaten). Er zijn een aantal stappen die u kunt nemen om deze problemen op te lossen of te verminderen, maar u moet ook een paar dingen weten.
1) Geen van deze kwetsbaarheden is nog in het wild uitgebuit, dus geen paniek. Op het moment van schrijven is er geen malware die deze actief gebruikt om computers of smartphones aan te vallen. De "Spectre"- en "Meltdown"-aanvallen waarover u hoort, zijn academische oefeningen om te bewijzen dat de kwetsbaarheden bestaan, en de manieren waarop die aanvallen werken, zijn niet volledig onthuld.
2) Voordat u uw systeem patcht, moet u ervoor zorgen dat uw computer of smartphone antivirussoftware gebruikt, indien mogelijk (sorry, iPhone-gebruikers) en dat uw webbrowsers volledig up-to-date zijn, met Java- en Flash-plug-ins gedeactiveerd.
De Meltdown-aanval op basis van een van de fouten kan alleen lokaal werken - d.w.z. de aanval moet van binnenuit de beoogde machine komen. Dat betekent dat het eerst op de machine moet komen, en de beste manier om op de machine te komen is met reguliere vormen van via internet verspreide malware, die antivirussoftware blokkeert. (Er zijn compatibiliteitsproblemen met sommige soorten antivirussoftware van Windows. Zie hieronder.)
De Spectre-aanvallen kunnen zowel lokaal werken als via een kwaadaardig JavaScript in een webbrowser, die technisch lokaal is, maar een veel groter aanvalsoppervlak biedt. Antivirussoftware kan mogelijk de payloads van sommige op JavaScript gebaseerde aanvallen blokkeren, maar de JavaScript-implementatie in moderne browsers moet worden bijgewerkt om alle Spectre-aanvallen te voorkomen. (Microsoft's Edge en Internet Explorer 11-browsers zouden veilig moeten zijn om te gebruiken nadat u de Windows-update van deze week hebt toegepast, en de huidige versie van Firefox zal zichzelf automatisch bijwerken.)
MEER: Hoe u uw identiteit, persoonlijke gegevens en eigendommen kunt beschermen
3) Van de drie gebreken heeft de eerste alleen betrekking op Intel-chips, mobiele Apple-chips en ten minste één ARM-chip. Helaas omvat dat alle Intel-CPU's die sinds 1995 zijn gemaakt, behalve Atom-chips vóór 2013 en Itanium-chips.
Meltdown heeft ook invloed op Apple's A7-t/m A11 ("Bionic") lijn van mobiele systemen-op-een-chip die de laatste jaren gebruikt werd op iPhones, iPads en iPod Touches. Ook beïnvloed is de ARM Cortex-A75-chipset, die zal worden gebruikt in de komende Qualcomm Snapdragon 845 system-on-a-chip voor de volgende generatie Android-vlaggenschiptelefoons.
De Meltdown-aanval die misbruik maakt van deze fout, maakt het voor gebruikersgebaseerde toepassingen mogelijk om het kernelgeheugen te lezen, en dus elk beschermd proces op de machine. Uw geheimen - wachtwoorden, creditcardnummers, gevoelige documenten - zijn niet langer veilig.
De andere twee fouten zijn gerelateerd en laten gebruikersgebaseerde applicaties elkaars geheugen lezen. Nogmaals, je geheimen zijn niet langer veilig, maar de Spectre-aanval met betrekking tot deze gebreken is moeilijker uit te voeren dan de Meltdown-aanval. Helaas zijn deze fouten ook moeilijker op te lossen en kunnen ze in de toekomst herontwerpen van de chip afdwingen. De gebreken zijn van invloed op sommige AMD- en veel ARM-chips, evenals op de meeste Intel-chips.
4) Er zijn berichten dat het toepassen van deze correcties uw machine aanzienlijk zal vertragen. Dat is meestal ongegrond. Processen die voornamelijk binnen applicaties plaatsvinden of zwaar leunen op grafische kaarten - zoals gaming - worden niet beïnvloed. Wat zal vertragen zijn processen die zwaar op de kernel leunen, zoals, nou ja, kunstmatige prestatietests.
5) Er zijn berichten dat het toepassen van de Windows-update computers met oudere AMD Athlon II-CPU's zou kunnen blokkeren. Als je zo'n processor hebt, wacht dan met het toepassen van de updates en schakel "Automatische updates" uit in je Windows-instellingen.
6) Er zijn berichten dat de Meltdown-patch in ontwikkelaarskringen werd aangeduid als "Forcefully Unmap Complete Kernel With Interrupt Trampolines" of F***WIT. We kunnen bevestigen dat dit waar is.
Nu dat voorbij is, is het belangrijkste dat u kunt doen om uzelf te beschermen tegen Meltdown- en Spectre-aanvallen, het toepassen van software- en firmwarepatches, die nog steeds worden uitgerold. Dit is wat er tot nu toe beschikbaar is:
Microsoft: Fixes voor Windows 7, Windows 8.1 en Windows 10 zijn afgelopen woensdagavond naar buiten geduwd.
Maar hou vol! Het blijkt dat de patches niet compatibel zijn met veel antivirusproducten. Negatieve interacties kunnen een "stop"-fout veroorzaken, d.w.z. een Blue Screen of Death. Microsoft heeft antivirusfabrikanten gevraagd om een wijziging in het Windows-register bij hun updates op te nemen om te bevestigen dat de software compatibel is. Zonder die registersleutel wordt de update niet eens gedownload.
In zijn oneindige wijsheid heeft Microsoft niet gezegd welke AV-producten wel en niet compatibel zijn. Als Windows Update de updates voor uw machine niet ophaalt, moet u ervan uitgaan dat uw AV-software mogelijk incompatibel is.
We moeten beveiligingsonderzoeker Kevin Beaumont bedanken voor het maken van een voortdurend bijgewerkte online spreadsheet met een overzicht van de compatibiliteit van AV-software met de Windows-patches.
Vanaf maandag zei Beaumont dat de meeste antivirusfabrikanten voor consumenten hun software hadden bijgewerkt om zowel compatibel te zijn met de updates als de register-update uit te voeren die nodig is om alles soepel te laten verlopen. De meeste fabrikanten van endpoint-antivirussen hadden hun software ook compatibel gemaakt, maar lieten het aan IT-personeel over om de registeraanpassingen uit te voeren.
Als je zowel ongeduldig bent als echt vertrouwen hebt in je technische vaardigheden, kun je je register handmatig bijwerken om compatibele software te maken die het register niet bijwerkt. (We raden aan te wachten.)
Er is nog een addertje onder het gras: de Windows-update werkt de firmware op uw CPU niet bij, die ook een oplossing nodig heeft om deze problemen volledig op te lossen. Je zult moeten wachten tot Lenovo, Dell, HP of wie dan ook je laptop of pc heeft gemaakt om een firmwarepatch uit te brengen. Gebruikers van Microsoft Surface, Surface Pro en Surface Book krijgen die firmware-update nu.
Android: De beveiligingspatch van januari die Google dinsdag (2 januari) naar zijn eigen Android-apparaten heeft gepusht, repareert de fouten op de getroffen apparaten. Eigenaren van niet-Google-apparaten zullen enige tijd moeten wachten voordat de patches op hun telefoons of tablets verschijnen, en sommige Android-apparaten zullen de patches nooit krijgen. Zorg ervoor dat u Android-antivirus-apps gebruikt en schakel 'Onbekende bronnen' uit in uw beveiligingsinstellingen.
macOS: Na 24 uur radiostilte bevestigde Apple donderdag dat Macs in december waren gepatcht tegen Meltdown met de macOS High Sierra 10.13.2-update en bijbehorende reparaties voor Sierra en El Capitan. Als u deze update nog niet hebt toegepast, klikt u op het Apple-pictogram in de linkerbovenhoek, selecteert u App Store, klikt u op Updates en selecteert u de macOS-update.
Met betrekking tot Spectre heeft Apple op maandag 8 januari een update voor macOS High Sierra geleverd.
iOS: Zoals verwacht bevestigde Apple dat iPhones en iPads kwetsbaar waren voor de Spectre-aanvallen. De verrassing was dat ze ook kwetsbaar waren voor Meltdown. (Dit kan zijn omdat de A7-chip en zijn nakomelingen deels gebaseerd zijn op Intel-chips.) Net als bij Macs werd het Meltdown-probleem in december gepatcht, in dit geval met iOS 11.2, dat kan worden geïnstalleerd door Instellingen te openen, op Algemeen te tikken en op te tikken Software-update.
Wat betreft Spectre, dat kan worden geactiveerd door kwaadaardig JavaScript in een webbrowser, heeft Apple op maandag 8 januari updates voor iOS uitgebracht.
Linux: Linux-ontwikkelaars werken al maanden aan deze fixes en veel distributies hebben al patches beschikbaar. Zoals gewoonlijk zijn de updates afhankelijk van uw distributie. Linux-pc's zullen waarschijnlijk ook de CPU-firmware moeten bijwerken; kijk op de website van degene die het moederbord van je systeem heeft gemaakt.
Chrome-besturingssysteem: Dit is op 15 december gepatcht met Chrome OS-versie 63.
Google Chrome-browser: Dit zal op 23 januari op alle platforms met Chrome 64 worden gepatcht. Als je je zorgen maakt, kun je een optionele functie inschakelen op desktop- en Android Chrome-browsers genaamd Site Isolation, wat het geheugengebruik kan verhogen. (Site-isolatie is standaard ingeschakeld in ChromeOS.)
Mozilla Firefox-browser: De nieuwe "Quantum" Firefox-browser is bijgewerkt naar 57.0.4 om Spectre-aanvallen te voorkomen. Updates zouden automatisch moeten gebeuren. Firefox 52, een versie met uitgebreide ondersteuning van de vorige browser die compatibel is met oudere Firefox-add-ons en -extensies, is al gedeeltelijk beschermd tegen Spectre.
Microsoft Internet Explorer 11 en Microsoft Edge-browsers: Gepatcht met de bovengenoemde Microsoft-updates.
Apple Safari-browser: Apple heeft iOS- en macOS-versies van Safari gepatcht met de bovengenoemde updates van 8 januari en Safari op macOS Sierra en OS X El Capitan diezelfde dag.
Intel: Nogmaals, alle Intel-chips die sinds 1995 zijn gemaakt, met uitzondering van Itanium- en Atom-chips van vóór 2013, zijn kwetsbaar. Intel maakt firmware die wordt doorgegeven aan apparaatfabrikanten en vervolgens aan eindgebruikers.
AMD: AMD zei woensdag eerst dat het niet was getroffen, maar kwam toen terug nadat Google had aangetoond dat sommige chips kwetsbaar waren voor Spectre-aanvallen. In een geposte verklaring zegt AMD dat het probleem zal worden "opgelost door software/OS-updates die beschikbaar worden gesteld door systeemverkopers en fabrikanten."
ARM: Cortex-A75-chips, die nog niet publiekelijk beschikbaar zijn, zijn kwetsbaar voor zowel de Spectre- als de Meltdown-aanvallen. Andere Cortex-chips die in deze ARM-posting worden vermeld, zijn alleen kwetsbaar voor Spectre-aanvallen. (Nogmaals, wacht met het updaten van Windows op Athlon II-CPU's totdat Microsoft erachter is wat sommige van die machines verplettert.)
NVIDIA: Het bedrijf plaatste een verklaring: "We zijn van mening dat onze GPU-hardware immuun is voor het gemelde beveiligingsprobleem en werken onze GPU-stuurprogramma's bij om het CPU-beveiligingsprobleem te helpen verminderen. Wat betreft onze SoC's met ARM-CPU's, we hebben ze geanalyseerd om te bepalen welke worden beïnvloed en bereiden passende maatregelen voor."
Afbeelding tegoed: Shutterstock
- Koopgids voor antivirussoftware
- Bescherm uw computer met deze ene simpele truc
- Hoe u de firmware van uw router kunt bijwerken