Cornucopia?

Aktuellt

Höstregn nu förbeställbar hos Bokus och Adlibris

Min kommande techno-thriller Höstregn, den andra och avslutande delen av Höstsolserien är nu förbeställbar hos Adlibris för 189:- SEK och B...

2018-01-05 13:32

Apples produkter redan patchade för Meltdown

Apples operativsystem för iPhone, iPad, AppleTV och Macdatorer är redan patchade för Meltdown om man sedan tidigare har installerat senaste versionen av operativsystemen. Spectre-säkerhetshålet kommer patchas i Apples webläsare Safari inom kort. Så länge finns det några enkla sätt att utesluta risker med Spectre. Tillägg: Googles molntjänster är patchade mot Meltdown.
Apple har alltså patchat säkerhetshålet Meltdown redan innan dess existens blev publikt. Har man senaste operativsystemversionen av maxOS, iOS eller tvOS behöver man inte oroa sig för den egna hårdvarans skull. Risker hos molntjänster kvarstår, liksom hos andra operativsystem.

Kvarstår gör också den betydligt mindre allvarliga Spectre. Denna kan via elak JavaScriptkod köras i din webläsare om du besöker olämpliga sajter, eller antagligen även sajter med reklam, likt denna blogg. Någon kan köpa reklam med Spectre-trojaner i JavaScript.

Spectre via webläsaren är dock rätt ofarligt. Den kan bara komma åt sådant som finns i webläsarens minne, och kan inte styra vad eller var. Tilldelningen av minne från t ex andra websidor blir i praktiken slumpartad och om man försöker hämta stora mängder minne åt gången finns överhängande risk att detta blir tomt nyallokerat minne för processen, som inte innehåller något av värde alls.

Vissa webläsare kör helt separata processer per websida, vilket gör att Spectre inte är ett hot alls.

I övrigt är det "bara" att helt stänga ner webläsaren före och efter du kör något känsligt, t ex betalar med ett kreditkort. Annars finns en minimal risk att ett Spectreangrepp slumpmässigt ska lyckas läsa ditt kreditkortsnummer. 

Kreditkortsnumret är exempelvis 16 siffror långt. Min Safariprocess använder just nu 338 MB minne, dvs 1024*1024*338=354 418 688 minnespositioner. Att alls via Spectre fånga upp just kreditkortsnummret (och dessutom i sin helhet) är inte speciellt sannolikt, i synnerhet inte så länge det fortfarande ligger i webläsarens aktiva minne, t ex för att det står på en hemsida. Det är först när minnet inte längre används som det kan allokeras till ett Spectreangrepp.

Har du tvåstegslösen kommer inte Spectre heller göra att någon kan ta sig in i webtjänster som Google Mail eller iCloud, eftersom de inte får bägge lösenorden. Tjänster som du loggar in i med Mobilt BankID eller bankdosa kommer inte heller kunna penetreras via Spectre, eftersom dessa är engångslösenord som sedan är förverkade.

Spectre är ett nål-i-höstack angrepp och sannolikheten är låg för några allvarliga säkerhetsläckor. Om du absolut gör något känsligt som under inga omständigheter får läcka ut - stäng ner webläsaren före och efter det känsliga i väntan på att patcher dyker upp. Och kör reklamblockerare på reklamsajter som denna (som därmed inte får betalt).

Vem vet, just nu kanske Spectre fiskade upp några ord ur detta blogginlägg via webläsaren, innan det publicerades. Fruktansvärt!

Kom ihåg att som i alla sammanhang så kan okunskap leda till omotiverad hög rädsla för något. Har man kunskaperna och en hyfsad uppfattning om riskerna finns det inget att vara rädd för - ingen kommer kunna logga in på din Internetbank via ett Spectreangrepp, men kanske kan de få se vad du har i saldo på något konto även om sannolikheten är mikroskopisk.

Tillägg: Även Google Clouds molntjänster är patchade, inklusive G Suite och med det Google Mail.
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa. Genom att kommentera samtycker du till att din kommentar, tidsstämpel, profillänk och pseudonym sparas av Googles Blogger-system så länge det är relevant, dvs så lång blogginlägget är publicerat.

9 kommentarer:

  1. Google har också patchat sina molntjänster redan innan hålen blev publika:
    https://blog.google/topics/google-cloud/what-google-cloud-g-suite-and-chrome-customers-need-know-about-industry-wide-cpu-vulnerability/

    SvaraRadera
    Svar
    1. Sannolikt var ju Google först ut med att patcha sina produkter, eftersom det var deras säkerhetsteam "Project Zero" som hittade säkerhetsluckorna i fråga.

      Enligt deras blogg byggde de proof of concept program som exemplifiede luckorna och skickade informationen till Intel, AMD och ARM den 1 Juni 2017:
      https://googleprojectzero.blogspot.se/2018/01/reading-privileged-memory-with-side.html

      Radera
  2. Microsoft har uppdaterat Windows också, min dator hade startat om i morse.

    https://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/

    SvaraRadera
  3. Problemet är väl just att ex krypteringsnycklar kan finnas i minnet, och precis som med heartbleed kan man ju tänka sig att ett ev script helt enkelt automatiserar processen med att tömma hela minnet. Knappast ofarligt

    SvaraRadera
    Svar
    1. Det går inte att tömma hela minnet via Spectre-JS, eftersom det är i praktiken slumpmässigt vad som allokeras till Spectreangreppet. Angreppet kommer också bara få ut saker som inte längre används, skräpsamlat minne. Det du har på en websida just nu, eller tillhörande krypotnyckel till en aktuell uppkoppling, kommer inte allokreas till Spectre, eftersom det inte är ledigt minne.

      Radera
  4. Ofarligt men ändå två blogginlägg, finns ju en uppsjö med zero-day exploits som aldrig omnämns och för den delen rena misstag i programmeringen som High Sierra root access utan lösenord.

    SvaraRadera
    Svar
    1. Jag skriver om det eftersom det dykt upp i media med begrepp som "monstersårbarheten", "kriminella tar över din dator" och annan nonsens.

      Radera
  5. Spectre. Låter som något ur James Bond.

    SvaraRadera
  6. 2018-01-08 19:54
    Apple täpper till Spectre genom nya uppdateringar av IOS och Mac OS
    https://macworld.idg.se/2.1038/1.695742/apple-tapper-till-spectre-genom-nya-uppdateringar-av-ios-och-mac-os

    SvaraRadera