Meerdere groepen beveiligingsonderzoekers hebben twee grote kwetsbaarheden gevonden in vrijwel alle processorchips voor computers en smartphones. De beveiligingsexperts noemen de lekken Meltdown en Spectre en bundelen informatie over de kwetsbaarheden op een speciale website.
Door de kwetsbaarheden is het mogelijk om data die momenteel door de processor verwerkt wordt te stelen. Het kan gaan om persoonlijke documenten, zoals foto’s en en e-mails, maar ook om wachtwoorden en bedrijfsgeheimen.
Of de kwetsbaarheden in het verleden door hackers zijn misbruikt, is onbekend.
Meltdown
De kwetsbaarheid Meltdown heeft deze naam gekregen omdat het lek ervoor zorgt dat het barrières naar het kernel-geheugen zogenaamd ‘wegsmelt’. Het kernel-geheugen is een speciaal, beschermd onderdeel van het geheugen dat dient als kern van het besturingssysteem. Normaal gesproken voorkomt de processor van een computer dat software (zoals een app) het kernel-geheugen kan uitlezen of aanpassen.
Meltdown is geen kwetsbaarheid in de software, maar in de hardware van moderne processorchips van Intel. Kwaadwillenden kunnen bepaalde code op de processor uitvoeren, om vervolgens de hele chip te kunnen uitlezen.
Omdat de kwetsbaarheid in de hardware zit, kunnen fabrikanten het probleem niet met een software-update oplossen. Om het lek compleet weg te nemen, moet Intel de kwetsbare apparaten eigenlijk voorzien van nieuwe chips. Wel hebben Microsoft, Linux en Apple inmiddels updates uitgebracht die Meltdown minder schadelijk maken.
Of de chips van fabrikanten ARM en AMD ook vatbaar zijn voor Meltdown, is volgens de onderzoekers nog onduidelijk.
Spectre
Voor de andere kwetsbaarheid, met de naam Spectre, is nog geen oplossing gevonden. Naast computers en laptops zijn ook smartphones, tablets en IoT-apparaten kwetsbaar voor het lek. Spectre is teruggevonden op chips van Intel, ARM en AMD.
Het lek zorgt ervoor dat de chips denken dat zij een bepaalde taak moeten uitvoeren. Aanvallers kunnen die functie misbruiken om toegang te krijgen tot het computergeheugen. Het lek is het gevolg van de focus van fabrikanten om veiligheid in te leveren ten behoeve van de prestaties van hun chips, schrijven de onderzoekers. Zij adviseren dan ook om deze focus te herzien.
Misbruik maken van Spectre is niet makkelijk, maar het lek is ook niet makkelijk te herstellen. De onderzoekers verwachten daarom dat Spectre hen de komende tijd nog zal blijven achtervolgen.
Meltdown en Spectre zijn ontdekt door beveiligingsonderzoekers van Google Project Zero en onderzoekers van de Technische Universiteit Graz in Oostenrijk. Ook onderzoekers van het Duitse beveiligingsbedrijf Cyberus, de Universiteit van Pennsylvania, Maryland en Adelaide onderzochten de ene dan wel de andere kwetsbaarheid.