Ellenőrzések és egyéb érintett rendszerek

Ellenőrzés Linux operációs rendszeren

Futtassuk le ismét a már futtatott programot:

sudo ./spectre-meltdown-checker.sh

Spectre and Meltdown mitigation detection tool v0.21

Checking for vulnerabilities against live running kernel Linux 3.10.0-693.11.6.el7.x86_64 #1 SMP Thu Jan 4 01:06:37 UTC 2018 x86_64

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:
YES (112 opcodes found, which is >= 70)
> STATUS: NOT VULNERABLE (heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation: YES
* Kernel support for IBRS: YES
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer

Figyeljük meg, hogy az egyes esetben a STATUS: NOT VULNERABLE, míg a kettes esetben továbbra is STATUS: VULNERABLE. A kettes számú hiba elkerüléséhez további Linux kernel frissítés szükséges. Az ellenőrzött gép egy Linux Mint 18.3 volt, az elérhető legújabb kernellel.

Ellenőrzés Windows operációs rendszeren

Amennyiben az operácis rendszert és a BIOS-t is frissítettük a PowerShellben futassuk le a már ismert parancsot:

Get-SpeculationControlSettings

Most már minden elemnek zöldnek, azaz hibajavított állapotúnak kell lennie.

[+]

Érintett Andorid-alapú rendszerek és javításuk

Az összes rendszer érintett. Javasolt felkeresni a gyártót a frissítések telepítéséhez. Ehhez rendelkezésre állhat a telefon beállításai közül a (Settings → System updates → Check for updates / Beállítások → Rendszerfrissítések → Frissítések keresése) rendszerfrissítést, vagy a gyártó által biztosított program segítségével a telefon számítógéphez csatlakoztatásával, majd frissítéssel. A hibajavítást tartalmazó verzió a 2018. január 5-nél újabb frissítési szint.

Érintett Apple-termékek és javításuk

A biztonsági kérdésekről az Apple termékbiztonsági oldalán lehet olvasni bővebben. A Spectre és Meltdown hibával kapcsolatos tájékoztatás.

A javított verziók és elérhetőségük:

• az iOS legújabb verziója a 11.2.2-es. Így frissíthető az iOS szoftver iPhone, iPad és iPod touch készüléken
• a macOS legújabb verziója a 10.13.2-es. Így frissíthető a Mac szoftvere
• a tvOS legújabb verziója a 11.2.1-es. Így frissíthető az Apple TV szoftvere
• Safari 11.0.2 böngészőfrissítés (11604.4.7.1.6 és 12604.4.7.1.6)

Mozilla Firefox frissítések

A Mozilla is közzétett egy blogbejegyzést, valamint egy frissítést az aktuális Firefox 57.0.4 verzióval. Ebben a kiadásba a performance.now() függvény percizitását 20µs-re csökkentette a fejlesztő, és letiltotta a SharedArrayBuffer funkció használatát – amivel csökkenthető a böngészőből is kihasználható Spectre hatékonysága.

Google Chrome és Google Cloud Platform

A Google Cloud Platform – saját bevallása szerint – az összes szolgáltatását frissítette. És a Chrome/Chromiumban is megtették a szükséges lépéseket.

A böngésző használóinak javasolják a webhely-izoláció (Site Isolation) bekapcsolását, annak ellenére, hogy bizonyos helyzetekben hibát is okozhatnak. Bekapcsolható a vállalati házirendeken keresztül vagy a chrome://flags beálltások révén.

Microsoft Internet Explorer és Edge

A Microsoft Edge és az Internet Explorer böngészőkkel kapcsolatos javítások a már fentebb is részletezett KB4056890 javítások telepítésével érhető el.

Javaslatok a weboldal-üzemeltetők számára

A Chromium fejlesztői javasolnak továbbá pár lényeges változtatást a weboldalak beállításaiban, amivel csökkenthető a támadások sikerességének esélye:

• a SameSite és HTTPOnly sütibeállítások használata
• a MIME típusok helyes beállítása
• érzékeny információt tartalmazó oldalakon a "X-Content-Type-Options: nosniff" beállítása

NVIDIA

Az NVIDIA ARM alapú rendszerei, illetve GPU-juk illesztőprogramjai érintettek. A GPU-k önmagukban nem sebezhetőek ezzel a hibával, a gyártó vélekedése szerint: Illesztőprogram-frissítések, érintett termékek: Termékbiztonság

Összesített gyártói tájékoztatások

• Intel: Security Advisory/Newsroom/Whitepaper
• ARM: Security Update
• AMD: Security Information
• RISC-V: Blog
• NVIDIA: Security Bulletin/Product Security
• Microsoft: Security Guidance/Information regarding anti-virus software/Azure Blog/Windows (Client)/Windows (Server)
• Amazon: Security Bulletin
• Google: Project Zero Blog/Need to know
• Android: Security Bulletin
• Apple: Apple Support
• Lenovo: Security Advisory
• IBM: Blog
• Dell: Knowledge Base/Knowledge Base (Server)
• Hewlett Packard Enterprise: Vulnerability Alert
• HP Inc.: Security Bulletin
• Huawei: Security Notice
• Synology: Security Advisory
• Cisco: Security Advisory
• F5: Security Advisory
• Mozilla: Security Blog
• Red Hat: Vulnerability Response/Performance Impacts
• Debian: Security Tracker
• Ubuntu: Knowledge Base
• SUSE: Vulnerability Response
• Fedora: Kernel update
• Qubes: Announcement
• Fortinet: Advisory
• NetApp: Advisory
• LLVM: Spectre (Variant #2) Patch/Review __builtin_load_no_speculate/Review llvm.nospeculateload
• CERT: Vulnerability Note
• MITRE: CVE-2017-5715/CVE-2017-5753/CVE-2017-5754
• VMWare: Security Advisory/Blog
• Citrix: Security Bulletin/Security Bulletin (XenServer)
• Xen: Security Advisory (XSA-254)/FAQ

A cikk még nem ért véget, kérlek, lapozz!