Allvarligt designfel i moderna processorer har upptäckts

Ett designfel för processorer som varit oupptäckt i årtionden gör nästan alla moderna processorer sårbara för angrepp.

Under de senaste dagarna har ett allvarligt designfel i moderna processorer uppdagats. Bristerna, som kallas "Meltdown" respektive "Spectre", är hårdvarumässiga designfel som drabbar både x86-baserade processorer från Intel och ARM-baserade processorer, vilket innefattar i stort sett alla moderna enheter.

Meltdown är den första av de två som drabbar Intels processorer baserade på instruktionsuppsättningen X86. Buggen består i en brist i processorernas minneshantering, där det minne som körs i processorns privata minnesutrymme kan göras åtkomligt i bland annat webbläsare. Det privata minnet ligger närmast operativsystemets kärna, och där kan bland annat säkerhetsnycklar och annan känslig information från enhetens lagring befinna sig när processorn hanterar dessa.

Normalt sett ska denna information vara osynlig för kod som körs utanför det privata minnet, men buggen i Intels processordesign exponerar informationen. En webbsida som utrustats med kod som utnyttjar bristen skulle då potentiellt kunna gå igenom känslig information som lagras i det privata minnet och kringgå alla säkerhetsrutiner som operativsystemet har på plats. Vissa modeller av ARM:s Cortex-kärnor lider också av denna brist.

Nedan visar en Twitter-användare hur Meltdown-buggen kan utnyttjas för att hämta lösenord ur processorns privata minneshantering.

Din webbläsare saknar stöd för den här typen av innehåll.

Den andra varianten av buggen, kallad Spectre, påverkar även andra processortillverkare som AMD och olika ARM-baserade processordesigner. Detta innebär att de flesta mobiltelefoner, surfplattor och andra typer av produkter som använder ARM-baserade systemkretsar är utsatta. Spectre-varianterna av denna bugg låter applikationer i användarmiljö komma åt informationen i det privata minnet, vilket innebär att vanliga appar kan hämta information ur processer från andra program eller den egna processen. Det skulle kunna utnyttjas till exempelvis att låta Javascript-kod att hämta inloggningsinformation ur webbläsarens process.

Ett flertal utvecklare och säkerhetsforskare har upptäckt säkerhetsbristen sedan tidigare, men det var i samband med att uppdateringar för Linux-plattformen gjordes tillgängliga som den upptäcktes av medier. Bristen har redan åtgärdats i nya versioner av Linux-kärnan, och även Microsoft har en korrigering på gång som medlemmar i Windows Insider-programmet redan nu kan testa. Apple ska ha åtgärdat problemet i Mac OS från och med version 10.13.2. Hur situationen ser ut för ARM-baserade enheter i exempelvis Android- och IOS-lägret är oklart.

Bristerna kräver att operativsystemens kärnor måste skrivas om så att påverkad minneshantering flyttas ut från det privata minnet till virtuellt externt minne. Detta kan i vissa fall påverka prestanda rejält, men främst i server- och databasrelaterade uppgifter. För arbetsuppgifter i användarmiljö, som gäller de flesta konsumenter, ska prestandaförlusterna vara små.

Meltdown kan åtgärdas helt genom dessa systemuppdateringar, men Spectre kan för närvarande inte åtgärdas då den här sortens minneshantering är en nyckeldel i hur moderna processorer exekverar kod. Spectre-varianterna är dock svårare att utföra jämfört med Meltdown, så de flesta konsumentanvändare bör vara säkra. Risken för datacenter och stora ikoniska företag är däremot desto större.

Uppdaterade operativsystem åtgärdar inte de fundamentala designbristerna i de påverkade processorerna, och detta är ett problem som vi får leva med till de stora processorföretagen designat nya generationer av processorer som ändrar den grundläggande hanteringen av minne i processorn. Det återstår att se hur allvarligt problemet är när mjukvaran har uppdaterats på bred front för att motverka säkerhetsbristerna.

Kommentarer
8 svar

Det må bara midsommar idag och troligen regnar det bara därför – men för att du ska vara redo för resten av sommarens soliga dagar kommer här en repris på hur du enkelt bygger ihop din egen utomhusbiograf.

Den nya appen erbjuder ett snyggt men funktionsmässigt avskalat gränssnitt för den som vill ha sitt podd-lyssnande i snyggt paketerat format.

Den här veckan ställer vi frågor om marknadsföringsfraser eller slogans, både gamla klassiker och mer moderna varianter. Hur många rätt får du?

Steget mot att etablera en enhetlig standard för digitala nycklar till bilar har nu fattats i en grupp som bland annat innefattar Apple, BMW och Samsung.

Se upp i inkorgen! Säkerhetsföretaget Avanan varnar för en typ av bedrägeriförsök som med hjälp av budskap dolda med textstorleken noll tar sig förbi dina skräppostfilter.

Tack till nikka för detta #nyhetstips!

Så här med semestertider på gång för många lyfter vi fram några tips för att undvika att gå i nättrollens fällor. Viktigt att tänka på sinnesfriden och att koppla av. Känn dig fri att också använda tipsen tillbaka i vardagen sedan.