Bescherm je pc tegen Spectre & Meltdown!
Ze sloegen in januari in als een bom: de processorbugs Meltdown en Spectre, waarbij vooral die laatste risicovol en lastig te patchen bleek. Inmiddels zijn er voor alle courante hardwareplatforms patches beschikbaar - maar hoe zorg je ervoor dat jouw systeem veilig is? In dit artikel leggen we je uit hoe je je pc in 10 minuten helemaal up-to-date maakt.
Voor de precieze aard en de impact van de twee begin dit jaar gepubliceerde bugs verwijzen we je graag terug naar ons destijds gepubliceerde artikel. In het kort komen beide bugs erop neer dat er gegevens die beschermd horen te zijn, kunnen 'lekken' naar andere applicatie op je pc. Meltdown trof daarbij alleen Intel-processors, terwijl (varianten van) de Spectre-bug op veel meer cpu's werkten.
Voor Meltdown ben je al veilig, voor Spectre (waarschijnlijk) nog niet
Patches voor Meltdown konden op OS-niveau worden geïmplementeerd. De bugs waren al bijna een halfjaar bekend, maar om iedereen de tijd te geven goede patches te ontwikkelen, werd er een responsible disclosure-datum van 9 januari 2018 afgesproken. Ongeveer een week eerder dan gepland raakten de bugs al bekend, maar Microsoft had al patches klaarstaan en rolde die vrijwel direct na het bekend worden uit in een extra updateronde. Ook Apple en Linux werden binnen enkele dagen gepatcht.
Mits je besturingssysteem up-to-date is, ben je dus al veilig voor Meltdown. Voor Spectre zit het ingewikkelder in elkaar: om deze kwetsbaarheden te verhelpen, is een update van de microcode van je processor nodig. Het is voor een eindgebruiker onmogelijk om daadwerkelijk een andere microcode, als het ware de 'firmware' op je cpu, te flashen. Wel kan er microcode worden ingeladen die actief blijft zolang je pc aanstaat en vervolgens bij elke boot opnieuw wordt toegepast.
| Veilig voor Meltdown | Veilig voor Spectre |
|---|---|
 Windows 10 cumulatieve update 2018-1 of nieuwer macOS 10.13.2 of nieuwer Linux: verschilt per distributie, zie dit overzicht Android patchlevel januari 2018 of nieuwer iOS 11.2 of hoger |
|
De gebruikelijkste methode hiervoor is via een bios-update van je moederbord of laptop. Microsoft is van plan om eenzelfde methode iets later in het proces toe te passen voor pc's zonder eigen Spectre-patch, door heel vroeg in het opstartproces van Windows gepatchte microcode in te laden. Zolang je in Windows werkt ben je daarmee veilig - we durven wel te stellen dat dit voor 99% van de gebruikers prima bescherming biedt - maar als je opstart vanaf een ander medium of een Linux-installatie boot, is die bescherming dus niet actief.
Microsofts Spectre-patch bevat de updates voor de volledige Skylake, Kaby Lake en Coffee Lake line-ups en een deel van de Haswell- en Broadwell-processors. De handmatige update is beschikbaar als KB4078407, maar voor zover wij weten wordt die nog niet automatisch geïnstalleerd. Het verdient echter de voorkeur om je systeem Spectre-proof te maken via een bios-update, wanneer die beschikbaar is.
