Beheer

Security
Spectre

Viermaal is scheepsrecht? Volgende Spectre-variant

Datalekkende processors zijn op nieuwe en makkelijkere manieren te pakken.

De diepgaande Spectre/Meltdown-lekken ín processors blijken nog verder te reiken. Een vierde variant van de kwetsbaarheden die interne data prijsgeven, raakt én meer soorten processors én is via browsers te benutten. Patches zijn in de maak, maar gaan (weer) performance kosten.

Spectre en Meltdown zijn de aansprekende namen voor twee diepgaande gaten waarmee moderne processors data kunnen lekken naar onbevoegden. De hierlangs gecompromitteerde data kan gevoelige informatie zoals wachtwoorden omvatten. De twee kwetsbaarheden die begin dit jaar zijn onthuld, komen neer op verschillende varianten. Initieel drie stuks, maar daar is nu een vierde aan toegevoegd. Plus nog een A-uitvoering van variant drie.

Via JavaScript-code

De nieuw ontdekte vierde variant (CVE-2018-3639) heet voluit Speculative Store Bypass (SBB) en lijkt nog wat venijniger te zijn. Zo meldt Microsoft in een security-advisory over deze vorm van nieuwe geheugenlekkage dat het mogelijk is voor een aanvaller om JavaScript-code te laten uitvoeren door browsers om zo de kwetsbaarheid te benutten.

Daarmee komen in theorie aanvallen via internet in beeld, waar voorheen eerst lokaal draaiende code nodig was om de processorkwetsbaarheden te benutten. In de praktijk is het aaneenrijgen van meerdere exploits voor verschillende kwetsbaarheden al nodig - en staande praktijk - om door diverse beschermingslagen heen te breken.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Inloggen

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!