Vul hieronder je gebruikernaam en wachtwoord in.

Apple geeft ons meer details over Meltdown en Spectre

010

In de afgelopen dagen werd duidelijk dat er recent veiligheidslekken in veel gebruikte processors gevonden zijn, die mogelijk de grootste uit de geschiedenis van de computer tot nu toe zijn. De twee lekken waar het om gaat kregen de namen Meltdown en Spectre mee, meer daarover is te lezen in dit en dit nieuwsbericht.

De grote open vraag was daarbij hoe het precies voor Apple zat, zijn al Apple's processors ook kwetsbaar, en wat dit voor ons betekent en gaat betekenen. Apple heeft inmiddels antwoord gegeven op deze vragen in een open brief, de volledige tekst daarvan vind je ook onderaan dit nieuwsbericht.

Wat het voor ons betekent

De korte versie is dat het slechte nieuws is dat alle processors die Apple gebruikt kwetsbaar zijn voor deze veiligheidslekken, het goede nieuws is dat Apple iOS 11.2, macOS 10.13.2 en tvOS 11.2 al maatregelen heeft getroffen tegen Meltdown, voor Apple Watch is dat niet nodig. Meer details over wat Apple tot nu toe hieraan gedaan heeft in recente updates zijn te vinden op deze support-pagina.

De komende dagen zal er een update uitkomen voor Safari om ons te beschermen tegen Spectre. Kennelijk is daar toch ook softwarematig wat tegen te doen, eerdere informatie was dat dit niet mogelijk zou zijn.

Volgens Apple is Spectre erg moeilijk te gebruiken door kwaadwillenden, zelfs als ze een app lokaal zouden kunnen installeren. Maar in een browser via JavaScript is het wel mogelijk, daarom krijgt Safari zo snel mogelijk een update. Dat werpt meteen de vraag op of browsers wel scripts op die manier zouden moeten kunnen uitvoeren, dat soort script worden inmiddels bijvoorbeeld ook al misbruikt om van alles over ons te weten te komen.

Nauwelijks vertraging

Eerdere beweringen dat oplossingen hiervoor onze computers merkbaar zouden vertragen blijken ook veel te alarmistisch te zijn geweest. Daar werd gesproken van een vertraging tussen de 17 en 23 procent, terwijl sommige schattingen het zelfs over 30 procent hadden. Apple laat ons nu weten dat het Safari iets zal vertragen, maar dat dit minder dan 2,5 procent zal zijn. Zulke lage waardes zijn wel meetbaar, maar zullen niet merkbaar zijn.

Citaat:

About speculative execution vulnerabilities in ARM-based and Intel CPUs

Security researchers have recently uncovered security issues known by two names, Meltdown and Spectre. These issues apply to all modern processors and affect nearly all computing devices and operating systems. All Mac systems and iOS devices are affected, but there are no known exploits impacting customers at this time. Since exploiting many of these issues requires a malicious app to be loaded on your Mac or iOS device, we recommend downloading software only from trusted sources such as the App Store. Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. Apple Watch is not affected by Meltdown. In the coming days we plan to release mitigations in Safari to help defend against Spectre. We continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Background

The Meltdown and Spectre issues take advantage of a modern CPU performance feature called speculative execution. Speculative execution improves speed by operating on multiple instructions at once-possibly in a different order than when they entered the CPU. To increase performance, the CPU predicts which path of a branch is most likely to be taken, and will speculatively continue execution down that path even before the branch is completed. If the prediction was wrong, this speculative execution is rolled back in a way that is intended to be invisible to software.

The Meltdown and Spectre exploitation techniques abuse speculative execution to access privileged memory-including that of the kernel-from a less-privileged user process such as a malicious app running on a device.

Meltdown

Meltdown is a name given to an exploitation technique known as CVE-2017-5754 or "rogue data cache load." The Meltdown technique can enable a user process to read kernel memory. Our analysis suggests that it has the most potential to be exploited. Apple released mitigations for Meltdown in iOS 11.2, macOS 10.13.2, and tvOS 11.2. watchOS did not require mitigation. Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6.

Spectre

Spectre is a name covering two different exploitation techniques known as CVE-2017-5753 or "bounds check bypass," and CVE-2017-5715 or "branch target injection." These techniques potentially make items in kernel memory available to user processes by taking advantage of a delay in the time it may take the CPU to check the validity of a memory access call.

Analysis of these techniques revealed that while they are extremely difficult to exploit, even by an app running locally on a Mac or iOS device, they can be potentially exploited in JavaScript running in a web browser. Apple will release an update for Safari on macOS and iOS in the coming days to mitigate these exploit techniques. Our current testing indicates that the upcoming Safari mitigations will have no measurable impact on the Speedometer and ARES-6 tests and an impact of less than 2.5% on the JetStream benchmark. We continue to develop and test further mitigations within the operating system for the Spectre techniques, and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.



met dank aan forumlid 'VwVanFan', die dit nieuws als eerste meldde op ons forum



Reacties

05 januari 2018 Gevorderd Lid

Misschien toe te voegen dat er voor macOS Sierra 10.12.6 en OS X El Capitan 10.11.6 blijkbaar ook Meltdown fixes gedaan zijn in de Security Updates die tegelijkertijd verschenen met de High Sierra 10.13.2 update.

Quote uit About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan

Citaat: Kernel
Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Impact: An application may be able to read kernel memory
Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.
CVE-2017-5754: Jann Horn of Google Project Zero, Werner Haas and Thomas Prescher of Cyberus Technology GmbH, and Daniel Gruss, Moritz Lipp, Stefan Mangard and Michael Schwarz from Graz University of Technology
Entry added January 4, 2018


05 januari 2018 Redactielid

@ rt: had even onderaan moeten zetten dat er nog aan dit nieuwsbericht geschreven werd. Inmiddels is het klaar, en de link die jij geeft staat er ook bij, want inderdaad essentieel.

De link in het nieuwsbericht verwijst trouwens naar de Nederlandse versie van deze informatie, leest waarschijnlijk makkelijk voor sommigen van ons...

05 januari 2018 Gevorderd Lid

@Robert: kon niet zien dat je nog aan het schrijven was, sorry!
De Nederlandse versie van de support/help pagina is nog niet bijgewerkt mbt CVE-2017-5754 Meltdown (Vrijdag 5 januari 2017 10:45 uur). Komt vast nog wel. Kan men het tot dan met de Engelse versie doen ;-)

Een vraag zou kunnen zijn, welke CVE oplossingen er nog meer allemaal 'verstopt' in OS en Security updates zitten en zaten. 21 december zijn er ook informatie toevoegingen gedaan mbt CVE's die behandeld zijn. Heeft iemand dat opgemerkt? Je leest die dingen op het moment dat er een software update is, dat ze later nog informatie toevoegen wist ik niet.
Kan er niet mee zitten, vind het wel grappig dat we met velen onbewust mogelijke snelheid veranderingen door de patches getest hebben :-)
Hier niks van gemerkt.

05 januari 2018 Een ware MacFreak!

"De komende dagen zal er een update uitkomen voor Safari om ons te beschermen tegen Spectre. Kennelijk is daar toch ook softwarematig wat tegen te doen, eerdere informatie was dat dit niet mogelijk zou zijn."
Kennelijk heeft Firefox er nu meteen al wat aan gedaan :Speculative execution side-channel attack ("Spectre")
tekst


Firefox 57.0.4 :update

06 januari 2018 Een ware MacFreak!

Citaat: bacon om 11:23, 05-01-2018
"De komende dagen zal er een update uitkomen voor Safari om ons te beschermen tegen Spectre.


Binnenkort kan de alarmfase weer afblazen worden want er komt nog meer. Zie: https://tweakers.net/nieuws/133557/apple-brengt-binnenkort-software-updates-voor-spectre-kwetsbaarheid-uit.html?nb=2018-01-05&u=2200

citaat uit de link
"Volgens Apple zijn er nog geen exploits verschenen die Meltdown of Spectre inzetten bij aanvallen op Mac- of iOS-systemen. Exploits zouden veelal een kwaadaardige app vereisen die gebruikers dan zouden moeten installeren, dus Apple raadt aan alleen software vanuit betrouwbare bronnen zoals de App Store te installeren."

06 januari 2018 MacFreak Verslaafde

Citaat: Refresh that support document again. Apple updated it again today to remove the references to 10.11 and 10.12 updates covering CVE-2017-5754. This was a change from what they posted yesterday.



Zelfs osx 10.13.3 beta is nog kwetsbaar...

Er is een relatief makkelijke fix, maar die zou resulteren in driekwart van de appstore apps doen crashen.

Citaat: So.... One individual in Internet pieced together and inadvertently exposed this massive problem on their day off because they were bored that day. A problem that The Industry had on super-silent lockdown for months. There are state sponsored groups whose _only job_ is to look for this kind of stuff. I know the talking point has been "there are no known exploits"... but still. Am I being alarmist? Has no one really heard anything different? I don't dabble in the "dark web", but it seems incredible to me that there really isn't an active exploit out there already



Citaat: this was pieced together by reversing linux kernel patches committed without comments and connecting the dots, so it's not that the guy figured it out blindly



Met andere woorden: de Linux gemeenschap wist dit al maanden. Wat deed Apple ondertussen? Microsoft stond klaar met patches voor Windows 7 tot 10. XP en Vista volgen mogelijk nog.

06 januari 2018 MacFreak Verslaafde

Als je het nieuwsitem daadwerkelijk leest, inclusief het citaat van Apple, zie je wat Apple ondertussen deed..
Analyseren, updates uitbrengen (die voor Spectre volgt binnen enkele dagen middels een Safari update) met zo min mogelijke performance hit (niet onbelangrijk..).
Wat is de performance hit van de uitgebrachte Linux en Microsoft fixes?

07 januari 2018 MacFreak Verslaafde

Bij Apple rent men rond als kippen zonder kop...

De performance van Debian is alleen wat minder voor database toepassingen. Bij slordig gemaakte dingen (veelal php, maar bv. ook python) is dat minder dan 10%.

Ik denk wel dat bv. Photoshop veel zwaarder getroffen gaat zijn.

't is ook niet de performance die je grootste zorg is, maar updates...

07 januari 2018 Een ware MacFreak!

Voor MacOS 10.11 en 10.12 is een update uitgebracht. Opvallend of niet, komt die update er dan ook voor iOS 9 en 10?

08 januari 2018 MacFreak Verslaafde

Citaat: Als je het nieuwsitem daadwerkelijk leest, inclusief het citaat van Apple, zie je wat Apple ondertussen deed..



Als je 't NU leest wel. De misleidende tekst is door Apple TWEE keer veranderd. Zelfs een webpagina publiceren lijkt niet meer te lukken...

Nu nog afwachten of de patches werken en redelijk bugvrij zijn, want ze zijn niet in een brede beta getest. En de eerste major goof is al gemeld:

https://openradar.appspot.com/radar?id=5004358571786240

De gepatchte Safari zou er trouwens ook al moeten zijn.

Reageer

Je moet ingelogd zijn om te kunnen reageren. Als je nog geen lid bent van MacFreak kan je je hier registreren.