Gisteren kon je hier al lezen over gevonden beveiligingsproblemen in Intel-processors en hoe dat mogelijk onze Macs zou kunnen gaan vertragen. Inmiddels is er veel meer over naar buiten gekomen, en blijkt het probleem veel breder te zijn.

Ten eerste blijkt het niet om één grote bug te gaan, er zijn twee verschillende bugs gevonden, die de namen Meltdown en Spectre hebben meegekregen. Onder de namen van de bugs vindt je links naar beide papers die inmiddels hierover gepubliceerd zijn, er is inmiddels ook een aparte website waar je meer over beide bugs kan lezen.



Meltdown

Meltdown is op te lossen via software, en Apple was er dit keer erg snel bij, want in macOS High Sierra 10.13.2 blijkt al een gedeeltelijke oplossing daarvoor te zitten. Een verdergaande oplossing zou 10.13.3 moeten gaan brengen. Meltdown staat trouwens ook bekend als CVE-2017-5754.

Spectre

Het echte probleem is Spectre, ook wel CVE-2017-5753 en CVE-2017-5715 genoemd. Daarbij zit het probleem diep in de processor zelf, en op het moment lijkt het vervangen van de processor de enige oplossing voor dit probleem. Mogelijk dat hier toch ook nog iets op bedacht wordt, maar op het moment lijkt het dat dit niet mogelijk is. Als er toch een oplossing voor komt, dan zal dat in ieder geval niet op de korte termijn zijn.

Alle Intel 64-bits processors zijn hier kwetsbaar voor, Apple begon die te gebruiken rond 2006. Intel heeft hier inmiddels deze open brief over gepubliceerd, daar staat dat andere processors ook dit probleem hebben. Wat in directe tegenspraak is met wat AMD schrijft, die zeggen geen last te hebben van Spectre, alleen van Meltdown (wat dus softwarematig op te lossen is).

AMD maakt ook duidelijk dat er op dit moment in ieder geval nog geen reden tot grote zorgen is:

• The research described was performed in a controlled, dedicated lab environment by a highly knowledgeable team with detailed, non-public information about the processors targeted.
  
  
• The described threat has not been seen in the public domain.
  
  

ARM

Alsof dit allemaal nog niet genoeg is, ook de Cortex-A ARM processors zijn de klos. Daarbij is het nog niet duidelijk of dat ook voor Apple's A-processors geldt, die hebben tenslotte gedeeltelijk een andere architectuur. Op Cortex-M chip van ARM, die te vinden zijn in Internet of Things apparaten, heeft Spectre geen invloed.

I can confirm that ARM have been working together with Intel and AMD to address a side-channel analysis method which exploits speculative execution techniques used in certain high-end processors, including some of our Cortex-A processors. This method requires malware running locally and could result in data being accessed from privileged memory. Please note our Cortex-M processors, which are pervasive in low-power, connected IoT devices, are not impacted.

We are in the process of informing our silicon partners and encouraging them to implement the software mitigations developed if their chips are impacted.

We blijven dit natuurlijk erg goed in de gaten houden, als er meer bekend wordt over de consequenties die dit voor ons heeft of kan hebben, dan zal dat hier te lezen zijn. Mocht je meer technische details over deze beveiligingslekken willen lezen, dat kan in deze blog-post van de onderzoekers van Google's beveiligingsproject.

Wat een ellende. Die PowerPC was nog niet zo gek, jammer dat IBM daar begin deze eeuw niet meer moeite in heeft gestoken!

ja daar heb ik nog wel een traantje om gelaten.

Ik heb daarover hier bij MF nog vragen gesteld omtrent de veiligheid en de unieke apple indentiteit die door de PPC was gegarandeerd.  Mij werd verzekerd dat door de overstap dit niet zou veranderen.

Wel, we zijn enige jaren verder en zie, de vraag is nu, was dit ook gebeurd met de PPC van IBM, misschien dat iemand met verstand van zaken hier antwoord op kan geven.

De PowerPC architectuur lijkt ook onderhevig aan de security-flaws:
www.ibm.com/blogs/psirt/potential-impact-processors-power-family...
www.ibm.com/blogs/psirt/potential-cpu-security-issue...

 

Apple heeft nog geen fix. Ook niet in de laatste High Sierra. En ook niet voor Safari. Browsers zijn het snelst exploiteerbaar via 't net.

Firefox en Chrome hebben al patches, of een nieuwe versie.

Linux en Windows hebben patches. Daardoor wordt het embargo niet meer gerespecteerd. Dat was normaal tot maandag 9 januari.

Dan is er nog dit:

https://www.csoonline.com/article/3245037/security/researcher-drops-15-year-old-macos-zero-day-that-leads-to-full-system-compromise.html

Goede info van Google:

https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

Google's cloud is op dit moment al gepatcht.

Algemene info over deze twee exploits hier:

https://meltdownattack.com/

Van Apple zelf: NIKS.

Ondertussen deze reactie van Apple:

https://support.apple.com/en-us/HT208394

Analysis of these techniques revealed that while they are extremely difficult to exploit, even by an app running locally on a Mac or iOS device, they can be potentially exploited in JavaScript running in a web browser. Apple will release an update for Safari on macOS and iOS in the coming days to mitigate these exploit techniques.

edit:

en een patch is uit voor 12.12 en 10.13:

https://support.apple.com/en-us/HT208331

(Bewerkt door cyrano om 15:26, 5-01-2018)

@cyrano ik ben zeer nieuwsgierig: lees jij wat er eerder op MF is geplaatst, of hou jij hier een interne monoloog?

Ik lees wat er door testers gevonden wordt. Er zijn twee statements van Apple die niet beide kunnen waar zijn. Dit was het antwoord van Tim Cook:

Thank you for contacting Apple regarding this issue.  For the protection of our customers, Apple does not disclose, discuss, or confirm security issues until a full investigation is complete and any necessary patches or releases are available. Apple distributes information about security issues in its products through security advisories.

You can sign up to receive these advisories as they are published through Apple’s security-announce mailing list, available here: https://lists.apple.com/mailman/listinfo/security-announce/

Kind Regards,
Tim Cook

Dit is een antwoord aan een instituut met meer dan 1.000 Macs en zeer strikte regels wat betreft security.

Apple has done this before in the past - releasing security content notes that mention OS versions that upon initial release were not accurate and were later updated.

Goe bezig, zeker?

De spin doctors zijn weer aan 't werk.

n dit is waar we staan:

Available for: macOS High Sierra 10.13.1
Impact: An application may be able to read kernel memory
Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.
CVE-2017-5754: Jann Horn of Google Project Zero, Werner Haas and Thomas Prescher of Cyberus Technology GmbH, and Daniel Gruss, Moritz Lipp, Stefan Mangard and Michael Schwarz from Graz University of Technology
Entry updated January 5, 2018

Dus nog niks voor 10.11 en 10.12...

Dit stonde er tevoren:

Kernel

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read kernel memory

Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.

CVE-2017-5754: Jann Horn of Google Project Zero, Werner Haas and Thomas Prescher of Cyberus Technology GmbH, and Daniel Gruss, Moritz Lipp, Stefan Mangard and Michael Schwarz from Graz University of Technology

Entry added January 4, 2018

Valse berichtgeving is VEEL erger dan een gat...

BTW: Apple's eigen messaging system is een uur geleden ingestort onder de massa berichten hierover.

En nog eens: de twee gaten zijn zeker niet makkelijk exploiteerbaar. Maar dit gaat een enorm aantal applicatie updates veroorzaken. Daarom moet dit overal nog getest worden.

Het zou dus wel eens kunnen dat er echte paniek is bij Apple. Niet om osx, of zelfs niet om ios. Wel om de cloud. Hoe herstart je een cloud die ALLES verbindt?

against individual machines?

it's a waste of time

way better bugs for that

it's way more interesting for cloud VMs

that's where the juice yes

Zelfs de Apple system engineers worden in het duister gehouden. De ene heeft er weet van, de andere niet.

Test code:

https://github.com/raphaelsc/Am-I-affected-by-Meltdown

Ook Safari heeft nog steeds geen update. En dat is waar een grootschalige exploit zou beginnen.

"There are so many other vulnerabilities in prior OS versions, that you have more to worry about than Spectre/Meltdown"

@Cyrano bericht van 21:43. Dank je wel voor je antwoord, duidelijk.
Ik vroeg het eigenlijk omdat de info met links die jij geeft in jouw berichten vanaf 15.00, in de meeste gevallen al vanochtend hier op MF zijn geplaatst. Jouw opmerking dat Apple niks deed, zal voor de meeste lezers hier en elders wat vreemd over gekomen zijn...
De bug met exploit via de HIDManager gevonden door Siguza, is hier dagen geleden ook al gemeld en besproken.
Vroeg me af wat je aan het doen was.

Onder tussen:

Apple has done this before in the past - releasing security content notes that mention OS versions that upon initial release were not accurate and were later updated.

Ze hebben vanmiddag de referenties naar Sierra en El Capitan mbt CVE-2017-5754 (Meltdown) verwijderd. Zie https://support.apple.com/en-us/HT208331 De info update was 4 jan en nu 5 jan.

Hou mij/ons alsjeblieft op de hoogte wat die testers vinden! Dank je.

(je bericht hierboven van 22:21 heb ik niet gezien toen ik dit schreef, vandaar dubbele informatie)