Összefoglaló
A modern mikroprocesszorok spekulatív végrehajtás algoritmusának hardveres implementációját érintően sérülékenységek (Meltdown és Spectre) váltak ismertté, melyeket kihasználva egy felhasználó ún. mellékcsatornás támadásokat (side channel attacks) hajthat végre és jogosulatlanul érzékeny adatokhoz férhet hozzá.
Leírás
Az eddig rendelkezésre álló információk szerint a biztonsági rések befoltozására megkerülő megoldás nem ismert, a szoftveres javítások pedig nem nyújtanak száz százalékos védelmet, ugyanakkor ezek telepítése szükséges. Mind a hardware, mind a különböző operációs rendszer gyártók folyamatosan jelentetik meg a biztonsági frissítéseket.
Az US-CERT figyelmeztető jelzést adott ki, melyben megtalálható egy összefoglaló táblázat különböző, a sérülékenységben érintett gyártók, valamint közvetve érintett felhő szolgáltatók, az esettel kapcsolatban tett közleményeiről, köztük javítási információkról.
A Microsoft a 2018.01.09-én esedékes havi biztonsági frissítése előtt, soron kívül az alábbi termékekhez már adott ki javítást [1,2], amelyek automatikus frissítésen keresztül elérhetőek:
Windows 10, Windows 8.1, Windows 7 SP1, Windows Server, version 1709 (Server Core Installation), Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2
A frissítések telepítésével kapcsolatban azonban a Microsoft felhívja a figyelmet arra, hogy a javítások egyes antivírus (AV) szoftverekkel inkompatibilitási problémákat okozhatnak, ami a frissítés telepítése után a rendszer újraindulásakor annak kifagyását eredményezi.
A probléma elkerülése érdekében a Windows Update csak abban az esetben engedi telepíteni a hibajavítást, amennyiben az adott rendszeren megtalálható egy registry bejegyzés, amely az AV szoftver kompatibilitását jelzi, ellenkező esetben meg sem jelenik a frissítési opció. A népszerű AV termékek kompatibilitásáról a gyártók weboldalán vagy egy folyamatosan frissülő táblázatban találhat információt.
Microsoft közzétett egy PowerShell szkriptet, amivel felhasználók maguk is ellenőrizhetik, hogy a hibajavítás engedélyezett-e számukra: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
2018. január 9-én a Microsoft átmenetileg felfüggesztette a Windows operációs rendszer legújabb biztonsági frissítéseit az AMD processzoros eszközökre, mivel a frissítést követően azok működésképtelenné válhatnak.
Továbbá a sérülékenység kiküszöbölésének mellékhatása, hogy a processzor teljesítménye visszaesik melynek mértéke függ a futtatott számítási feladat típusától – ez a teljesítmény csökkenés 5% és 30% között is lehet.
A Microsoft által közzétett információk szerint a teljesítménycsökkenésben legkevésbé a Skylake, Kabylake – vagy ezeknél újabb – mikroarchitektúrájú PC-ken futó Windows 10 rendszerek érintettek, ennél régebbiek esetében azonban szignifikáns a teljesítmény romlás.
Frissítés:
- Az Apple is kiadott javítást (de csak a Meltdown-ra), mely a iOS 11.2, macOS 10.13.2 és a tvOS 11.2 verziókban érhető el. Az Apple Watch-ot nem érinti a hiba.
- A Google is adott ki javításokat az Androidhoz, a következő támogatott eszközeihez: Nexus 5X, Nexus 6P, Pixel C, Pixel/XL, and Pixel 2/XL. A Chrome-hoz majd csak január 23-án lesz frissítés.
- A Linux x86-os kernelhez is adtak ki javításokat (szintén csak a Meltdown-ra), amely a 4.4.110, 4.9.75 és a 4.14.12-es verziókban érhető el.
- Az Intel folyamatosan ad ki javításokat a processzoraihoz. Azt ígérik, hogy január első hetének végére az elmúlt 5 évben kiadott processzorok 90%-ához adnak ki javítást.
Frissítés (2018.01.09.):
Az Apple javítást adott ki a Spectre sérülékenységre, amely az iOS 11.2.2, macOS 10.13.2 és a Safari 11.0.2 verziókban érhető el.
Frissítés (2018.01.11.):
Az Ubuntu Xenial 16.04-et használók is bootolási problémákat tapasztalnak a 4.4.0-108-as verziójú kernel kapcsán, amely egy – többek között a Meltdown sérülékenység miatt kiadott – biztonsági frissítés részeként vált elérhetővé.
Időközben a 4.4.0-109-es verzió is elérhetővé vált.
Frissítés (2018.01.12.):
Az Intel CPU mikrokódokat jelentetett meg Linux operációs rendszerekhez a Spectre/Meltdown sérülékenységek megkerülő megoldásaként. A mikrokódok 40 különböző Linux disztribúción alkalmazhatók, mintegy 2 371 Intel processzort érintően.
Frissítés (2018.01.17):
Több gyártó is módosított BIOS/UEFI-t tartalmazó frissítést adott ki termékeihez.
Frissítés (2018.02.14):
A Microsoft a Spectre/Meltdown kapcsán végzendő adminisztrátori feladatok támogatásához az ingyenesen elérhető Windows Analytics programját az alábbi hasznos funkciókkal egészítette ki:
- AV szoftver kompatibilitásának ellenőrzése, amely azt segít eldönteni, hogy a telepített AV szoftver kompatibilis-e a Microsoft operációs rendszerhez kiadott biztonsági frissítéssel.
- Nyomon követhetővé vált a telepített operációs rendszer biztonsági frissítések állapota, illetve az is megállapítható, hogy van-e javítás letiltott állapotban.
- Valamint – jelenleg még csak Intel – CPU firmware státusz lekérdezése, amelyből megállapítható, hogy az biztosítja-e a védelmet.
Megoldás
Telepítse a javítócsomagokatMegoldás
Mivel a sérülékenységet hardver architektúra tervezési hibák okozzák, a sérülékenység teljes kiküszöböléséhez a processzor cseréje szükséges, azonban az operációs rendszerekhez elérhető javítások nagymértékben csökkentik a hibás hardverelemek sérülékenység elleni kitettségét.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.apple.com
Gyártói referencia: support.microsoft.com
Gyártói referencia: support.microsoft.com
Gyártói referencia: support.apple.com
Gyártói referencia: support.google.com
Gyártói referencia: newsroom.intel.com
Gyártói referencia: cloudblogs.microsoft.com
Gyártói referencia: downloadcenter.intel.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: meltdownattack.com
Gyártói referencia: git.kernel.org
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: www.kb.cert.org
Egyéb referencia: portal.msrc.microsoft.com
Egyéb referencia: www.us-cert.gov
Egyéb referencia: kroah.com
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: usn.ubuntu.com
Egyéb referencia: usn.ubuntu.com
Egyéb referencia: www.bleepingcomputer.com
Gyártói referencia: blogs.windows.com
CVE-2017-5753 - NVD CVE-2017-5753
CVE-2017-5715 - NVD CVE-2017-5715
CVE-2017-5754 - NVD CVE-2017-5754