Meltdown (it-sikkerhedssårbarhed)

For alternative betydninger, se Meltdown. (Se også artikler, som begynder med Meltdown)

Meltdown er en sikkerhedssårbarhed i Intels mikroprocessorer, der blev offentliggjort 3. januar 2018 sammen med den nært beslægtede sikkerhedssårbarhed Spectre.

Sårbarheden betyder at der er en risiko for datalækager fra operativsystemets kerne til en brugerproces, som kan udnyttes af ondsindede programmer til at opfange følsomme oplysninger såsom adgangskoder, kryptografiske nøgler og kreditkortnumre. I januar 2018 var der endnu ikke nogle kendte eksempler på ondsindet kode, der udnytter sårbarheden. Informationslækager kan være svære at opdage og det er ikke sikkert at de kan forebygges med anti-virus software, fordi den ondsindede kode ikke nødvendigvis opfører sig som en traditionel computervirus.

Sårbarheden rammer hovedsagelig Intels mikroprocessorer, men også mikroprocessorer fra Qualcomm^[1] og ARM er ramte.

Historik

Sårbarheden blev opdaget uafhængig af hinanden, af tre institutioner: forskere fra Googles sikerhetslaboratorium Project Zero, Technische Universität Graz og virksomheden Cyberus Technology. De berørte firmaer blev informeret af Google i juli 2017.^[2] Den oprindelige planen var at Meltdown og Spectre skulle blive offentliggjort 9. januar 2018^[3] hvor Linux operativsystemsudviklere ville foretage en koordineret præsentation af deres sikkerhedsopdateringer. I stedet blev sårbarheden offentliggjort 3. januar 2018.

For at modgå Meltdown er sikkerhedsopdateringer til Microsoft og Apples operativsystem^[4] blevet udsendt siden slutningen af 2017 og flere opdateringer forventes at være på vej.

Der har været fremført bekymringer for at enhedernes ydeevne ville forringes mærkbart af disse sikkerhedsopdateringer, eftersom de betyder at skift mellem processer bliver langsommere,^[3] men de første målinger har næsten ikke vist nogen forringelse.^[5][6][7]

Operativsystemernes sikkerhedsopdateringer, der adresserer Meltdown (men ikke Spectre), bruger en teknologi der i en Linux-sammenhæng kaldes Kernel Page Table Isolation (KPTI eller PTI) der skjuler kernens hukommelse for brugerprocesser.^[8]

Beskrivelse

Informationslækager kan opstå når oplysninger fra ulovlige instruktioner, som af processoren udføres på forhånd (spekulativ udførelse), lagres i processorens cache. Meltdown indebær at de oplysninger der er i cachen kan læses, inden de  nulstilles, hvilket den gør når processoren registrerer at de instruktioner der blev udført på forhånd, var ulovlige.

Sårbarheden opstår i en kombination af processoroptimeringsteknikerne out-of-order execution, spekulativ udførelse og CPU-caching. Sideeffekter af de berørte processorers optimeringstekniker omgår adresserumsbeskyttelsen for virtuel hukommelse, hvilket muliggør adgang til utilgængelig kernelhukommelse fra brugerprogrammer.

Se også

• Spectre (it-sikkerhedssårbarhed)

Referencer

1. Coppock, Mark (6. januar 2018). "Qualcomm is working on patches to address Meltdown and Spectre flaws". digitaltrends.com. Hentet 12. januar 2018.
2. Gibbs, Samuel (4. januar 2018). "Meltdown and Spectre: 'worst ever' CPU bugs affect virtually all computers". the Guardian. Hentet 26. januar 2018.
3. John Leyden, Chris Williams (2. januar 2018). "Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign". theregister.co.uk. Hentet 12. januar 2018.
4. Wuerthele, Mike (3. januar 2018). "Apple has already partially implemented fix in macOS for 'KPTI' Intel CPU security flaw". AppleInsider. Hentet 12. januar 2018.
5. "Industry Testing Shows Recently Released Security Updates Not Impacting Performance in Real-World Deployments". Intel. 4. januar 2018. Hentet 12. januar 2018. {{cite web}}: Teksten "Intel Newsroom" ignoreret (hjælp)
6. Larabel, Michael (2. januar 2018). "Initial Benchmarks Of The Performance Impact Resulting From Linux's x86 Security Changes - Phoronix". www.phoronix.com. Hentet 12. januar 2018.
7. Larabel, Michael (2. januar 2018). "Linux Gaming Performance Doesn't Appear Affected By The x86 PTI Work - Phoronix". www.phoronix.com. Hentet 12. januar 2018.
8. Bright, Peter (5. januar 2018). "Meltdown and Spectre: Here's what Intel, Apple, Microsoft, others are doing about it". arstechnica.com. Hentet 26. januar 2018.

Eksterne henvisninger

• Meltdown and Spectre, websted for information om sårbarhederne (fra Technische Universität Graz)
• "Meltdown og Spectre gør computere og cloud-tjenester sårbare verden over". fe-ddis.dk. Center for Cybersikkerhed. 10. januar 2018. Arkiveret fra originalen 12. januar 2018. Hentet 11. januar 2018.
• Google Project Zero opsummering
• CVE-2017-5754 på National Vulnerability Database
• Am I Affected by Meltdown - Værktøj fra udvikleren Raphael S. Carvalho hvormed man kan afgøre om et system er sårbart.