Het jaar 2018 begon met een klapper op internet security gebied, toen bekend werd dat er een enorm lek in moderne processors zat dat toegang kon geven tot het kernelgeheugen van computers. De vulnerabilities in kwestie, Spectre en Meltdown, maakten allebei gebruik van een kwetsbaarheid in de processor, waarbij de processor vooruit leest in een proces en informatie alvast opslaat voor later gebruik.

Ondanks het harde werk van bedrijven als Intel, AMD en ARM om updates voor hun processors uit te brengen die moesten voorkomen dat Spectre en Meltdown gebruikt konden worden, blijkt het probleem nog niet te zijn opgelost. Op 21 mei werd bekend gemaakt dat er twee nieuwe varianten zijn gevonden van Spectre en Meltdown. Deze varianten staan bekend als 3A en 4. Hun gevaar huist in de manier waarop ze misbruik maken van de vulnerability: variant 4 zou misbruikt kunnen worden in een language-based runtime environment zoals Javascript, die voornamelijk voorkomen in web-based omgevingen. Elke computer waar een browser op geïnstalleerd staat, loopt dus potentieel gevaar.

Updaten waar mogelijk
Gelukkig hebben de meeste browsers hun software al aangepast zodat de vulnerability niet gebruikt kan worden. Microsoft heeft in een statement al te kennen gegeven dat zij niet op de hoogte zijn van daadwerkelijk gebruik van deze nieuwe vorm van Spectre in een aanval, maar dat ze blijven onderzoeken. Ook Intel heeft aangegeven dat zij nog geen meldingen hebben ontvangen van slachtoffers van deze kwetsbaarheid. Wel heeft Intel aangegeven dat de patches die zij in januari uitbrachten voor Spectre variant 1 ook toepasbaar zijn voor variant 4.

Security experts van verschillende bedrijven hebben al aangegeven dat ze de kans laag achten dat er daadwerkelijk misbruik gemaakt gaat worden van deze vulnerability in kwestie, omdat het een vrij ingewikkelde vulnerability is die relatief weinig oplevert voor de hoeveelheid werk die er in gestoken moet worden.

Desondanks wordt er nog steeds aangeraden om ervoor te zorgen dat software updates zo snel mogelijk worden doorgevoerd. Wacht dus niet te lang met het updaten van uw browsers, en installeer nieuwe processor updates zodra ze beschikbaar zijn.

Lees relevante artikelen

Categorie  SSL & Security Vulnerability of the Month | Tags  Security vulnerability