Noodpatch Microsoft trekt Intel-patch terug

Microsoft heeft afgelopen weekend een noodpatch uitgebracht die het foute deel van de eerder verspreide Intel-patch weer terugdraait. Het gaat specifiek om de beperkende maatregelen (mitigations) tegen variant 2 van de Spectre-kwetsbaarheid. Deze diepgaande bug in moderne processors maakt datalekkage mogelijk, waarbij gevoelige gegevens uit het systeemgeheugen zijn te vissen.

Patches voor patches

Naast Intel, AMD en ook ARM zijn diverse ICT-leveranciers druk doende met beperkende maatregelen, updates en patches voor die updates. Er blijkt namelijk toch sprake van haastige spoed in het aanpakken van Spectre, dat in juni vorig jaar al stilletjes is gemeld aan Intel. Die melding is toen tegelijk gedaan met 'soortgenoot' Meltdown dat ook een diepe processorkwetsbaarheid is.

Intel heeft de tekortkoming van zijn firmwarefix vorige week erkend en gewaarschuwd voor zijn Spectre-patches. De distributie van deze zogeheten microcode update gebeurt onder meer via computerfabrikanten, die het uitbrengen als BIOS-update voor hun diverse modellen. Dell en HP raden elk hun eigen updates af en hebben die ook teruggetrokken.

Microsoft brengt nu een noodpatch (out of band update) uit die Intels mitigation tegen Spectre Variant 2 uitschakelt. Intel heeft zelf al bevestigd dat zijn foutieve fix kan zorgen voor "onverwachte reboots en onvoorspelbaar systeemgedrag", waarbij deze "situaties kunnen leiden tot dataverlies of corruptie". De processormaker raadt zijn eigen patch dan ook af.

Zelf downloaden

Windows-maker Microsoft meldt in een supportdocument dat zijn eigen ervaring is dat de systeeminstabiliteit door de Intel-fix onder sommige omstandigheden inderdaad verlies of corruptie van data kan veroorzaken. De noodpatch van afgelopen weekend moet dit voorkomen, maar gebruikers en beheerders moeten deze oplossing wel zelf downloaden bij Microsofts Update Catalog.

De Intel-corrigerende noodpatch van Microsoft geldt voor Windows 7 (met Service Pack 1), Windows 8.1 en alle versies van Windows 10, en omvat ook de bijbehorende server-releases van deze Windows-generaties. Dit zijn: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2 en Windows Server 2016.

Tijdelijk

Na het toepassen van de speciale noodpatch zijn deze systemen wel weer vatbaar voor variant 2 van Spectre (CVE 2017-5715 Branch Target Injection). Microsoft meldt onderaan zijn supportdocument echter dat er geen meldingen bekend zijn die erop wijzen dat Spectre Variant 2 is gebruikt om klanten aan te vallen. Deze mededeling is gedateerd op 25 januari. De slotboodschap van Microsoft is wel om deze kwetsbaarheid opnieuw af te dekken zodra Intel zijn fix heeft aangepast voor de specifieke systemen die klanten gebruiken.