NSA geeft beveiligingsadvies over cpu-kwetsbaarheden

[Captain Kirk]

De Amerikaanse geheime dienst NSA heeft bijgewerkt beveiligingsadvies gepubliceerd over kwetsbaarheden in processors zoals Meltdown, Spectre en Foreshadow. Het gaat om zogeheten "side-channel" kwetsbaarheden waardoor een aanvaller gevoelige informatie van systemen kan achterhalen.

Volgens de NSA zijn kwetsbare processors in allerlei "National Security Systems" te vinden, waaronder systemen van het ministerie van Defensie (pdf). Om de ontdekkingen en ontwikkelingen op het gebied van side-channel-kwetsbaarheden in processors bij te houden wordt gewezen naar de GitHub-pagina van de NSA en een adviespagina van het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) over Meltdown en Spectre.

Verder wordt aangeraden om UEFI/BIOS-updates van systeemleveranciers te installeren, alsmede micro-updates en updates voor besturingssystemen, drivers en applicaties. Tevens moeten vereiste configuratieaanpassingen worden doorgevoerd. Vanwege de kwetsbaarheden kondigde Intel hardwarematige oplossingen aan. Eerder liet het Duitse testlab AV-Test weten dat het verschillende malware-exemplaren had gevonden waarin proof-of-concept exploits voor Meltdown en Spectre waren toegevoegd. Het ging hier echter om testversies die niet bij daadwerkelijke aanvallen waren ingezet.

 

 

bron: security.nl