Rettingen kan gi ytelsestap.

Det er avdekket en alvorlig sårbarhet i prosessorarkitektur som påvirker alle moderne maskiner.

Vi ønsker å informere våre kunder om denne svakheten og hvilke tiltak Datatjenesten tar mot dette. Dette er mye omtalt i media siden svakheten påvirker nesten alle prosessorer laget siden 1995.

Google Project Zero har oppdaget svakheten som skyldes såkalt spekulativ eksekvering, som er optimaliseringsteknikk i moderne prosessorer.
Disse sårbarhetene utnyttes av 2 forskjellige angrep og har fått navn:

  • Meltdown (utnytter CVE-2017-5754)
  • Spectre (utnytter CVE-2017-5753 og CVE-2017-5715)

En angriper skal kunne utnytte svakheten ved å lese minnet til datamaskinen som ikke skal være tilgjengelig. Eksempel for å innhente sensitiv informasjon som passord, krypteringnøkler og annet innhold fra maskiner. Google sin testing har for eksempel vist at en virtuell maskin kunne lese av minnet til en annen virtuell maskin.

Hvordan påvirker dette meg? Treg PC?

Siden svakheten påvirker nesten alle prosessorer laget siden 1995, så er vi alle påvirket. PC, Mac, Servere & Telefoner.
Bransjen arbeider med å ufarliggjøre feilen med sikkerhetsoppdateringer til maskinene. Utfordringen er at dette vil fjerne den tidligere nevnte optimaliseringsteknikken som gjør at datamaskinen må arbeide mer ineffektivt, der av tregere.

For vanlige databrukere ser det ut som kan puste lettet ut. Da innledende ytelses tester ikke ser ut til å påvirke vanlig kontorarbeid i stor grad.

Serverne på kontoret som leverer bedrifts tjenester deres vil få et større ytelses innvirkning.

 Hva gjør Datatjenesten for å motarbeide dette.

Som alltid, anbefaler vi alle å holde datamaskinene sine oppdatert til en hver tid. Antivirus programmene ESET og Bitdefender melder at de er kompatible med den nye oppdateringen og kan stoppe potensielle angrep som prøver å utnytte denne svakheten.

Datatjenesten vil kontakte de kundene vi føler er mest utsatt og bistå de med å installere sikkerhetsoppdateringene.

Mer informasjon

Artikkel fra Nasjonal Sikkerhetsmyndighet (NSM)
https://nsm.stat.no/norcert/norcertvarsler/alvorlig-sarbarhet-i-prosessorarkitektur/

Informasjon nettside om svakheten.
https://meltdownattack.com/

Karl Jørgen Weme
Karl Jørgen WemeSenior IT Konsulent