Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Intel Broadwell- en Haswell-gebruikers melden reboots na beveiligingsupdate

Intel geeft aan meldingen ontvangen te hebben van gebruikers van systemen met Broadwell- en Haswell-processors over onverwachte reboots na het doorvoeren van beveiligingsupdates tegen de Spectre- en Meltdown-exploits.

De problemen met onverwachte reboots treffen zowel clientsystemen als systemen in datacenters, volgens Intel. Het bedrijf adviseert gebruikers desondanks de updates 'die systeem- en OS-aanbieders aanraden' door te voeren. Volgens The Wall Street Journal raadt het bedrijf sommige klanten echter aan te wachten met patchen. Dat artikel is op een archiefsite in zijn geheel te lezen.

Intel zegt samen te werken met klanten om de problemen te onderzoeken. "Als er een gewijzigde firmware-update nodig is, verstrekken we deze via de normale kanalen", aldus het bedrijf. Het zijn niet de eerste problemen waar de beveiligingsupdates voor Spectre en Meltdown voor zorgen. Gebruikers van Windows-systemen met voornamelijk oudere AMD-processors klaagden dat hun pc's niet meer opstarten. Ook de Ubuntu-update zorgde voor boot-issues.

AMD meldt dat Microsoft volgende week nieuwe updates uitbrengt die de problemen met Opteron-, Athlon- en Turion X2-chips moeten oplossen. Ook aanbieders van Linux-distro's brengen patches uit voor AMD-systemen, aldus AMD. De Spectre- en Meltdown-exploits van processors werden begin 2018 onthuld. Sindsdien haast de it-industrie om de lekken via firmware-, OS- en andere updates te dichten.

Door Olaf van Miltenburg

Nieuwscoördinator

12-01-2018 • 10:39

152 Linkedin Google+

Submitter: AnonymousWP

Lees meer

Reacties (152)

Wijzig sortering
Bestaat er toevallig een checker waarmee je kan zien of je processor kwetsbaar is? Heb een aantal systemen van +5 jaar oud die nog prima werken overigens.

En hoe groot is het risico van spectre en meltdown voor de gewone consument? Durf bijna geen geld transacties uit te voeren tot alle updates beetje voorbij zijn gekomen.

[Reactie gewijzigd door Waterkoker op 12 januari 2018 11:07]

Als je geen tooltje wilt installeren kun je altijd nog dit lijstje erbij pakken:

The Complete List Of CPUs Vulnerable To Meltdown / Spectre Rev. 2.0
Wacht, ik dacht dat de hele Intel lineup sinds 1995 kwetsbaar was tegen zowel Spectre als Meltdown.
Mijn processor ( Xeon E5-2695v2 ) staat er niet bij, sterker nog de hele Ivy bridge Xeon lineup staat er niet bij!
Betekend dit dat mijn processor niet kwetsbaar is voor zowel Spectre als Meltdown? of niet voor alle varianten?
Dat "1995" jaartal is uit de lucht komen vallen doordat toen de eerste Intel processoren op de markt kwamen met speculatieve executie. Ik heb nog niemand gezien die aangetoond heeft dat de eerste vormen van speculatieve executie ook meteen problematisch waren.

Simpel gezegd heb je voor Meltdown een speculatieve executie nodig van 2-3 instructies vooruit, na een branch. Elke simpele vorm van speculatieve executie die niet voorbij branches werkt, of hooguit 1 instructie, is dus niet vatbaar. Het gevolg is dan namelijk dat in het ergste geval een illegale waarde uit kernel space wordt geladen (eerste instructie) maar je kunt er vervolgens niets mee.

Ikzelf denk dat het probleem vanaf de Pentium 4 (NetBurst) kan zijn. Die had erg lange pipelines, op richting 4 Ghz te gaan. Om die pipelines nuttig te gebruiken was speculatieve executie essentieel.
Alle Ivy Bridge desktop CPU's zijn ook getroffen dus ga er maar vanuit dat je CPU gewoon kwetsbaar is.
Ivy bridge en ivy bridge-e zijn vatbaar.

Test op een i5 3570 : https://i.imgur.com/06Xbynm.png
Ik had verwacht dat de Phenom II reeks (en Athlon II) er ook bij zou staan maar dat is niet het geval... Lijkt mij toch een beetje vreemd. Heb zelf nog een Phenom II 980 BE en een Athlon II X2 250 draaien bij vrienden...
4.4.0-108 kernel deed vervelend 4.4.0-109 was beter
Helaas voor mijn mobo kan ik geen patch vinden
Let op!
Het gebruik van de Ashampoo Spectre Meltdown CPU Checker heeft tot gevolg dat in Windows PowerShell de ExecutionPolicy voor CurrentUser ingesteld wordt en ingesteld blijft staan als "Bypass".
Dit terwijl de standaard instelling "Undefined" of "Restricted" hoort te zijn, en niet "Bypass".
Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Zeehond op 12 januari 2018 19:39]

Met alle respect, ik zou nog geen third party tool installeren voor iets waar vanuit de vendor gewoon een tool voor is. Zie: https://downloadcenter.intel.com/download/27150?v=t

Reken maar dat elke CPU de sjaak is die je test. Hiermee maak je het inzichtelijk.
Deze tool heeft te maken met een bug in Intel MEI afgelopen december, niet met de recente vulnerabilities. Vanuit Microsoft is er dit officiële script om te checken of je vulnerable bent: https://gallery.technet.m...culation-Control-e36f0050. Persoonlijk zou ik die tool inderdaad ook niet gebruiken.

[Reactie gewijzigd door JnB007 op 12 januari 2018 11:55]

Dat tooltje gebruik ik ook. :)

Deze link legt het gebruik van de tool en wat je nog meer moet doen, nog eens goed uit:

https://www.bleepingcompu...wn-and-spectre-cpu-flaws/
Dat is leuk..
Als ik de Ashampoo check gebruik geeft hij aan dat mijn CPU Meltdown en Spectre vulnerable zijn.
Als ik de Intel check gebruik zegt hij niet vulnerable.

i7 4770K.
https://cdn.discordapp.co...676267339778/meltdown.PNG

[Reactie gewijzigd door prutser001 op 12 januari 2018 11:13]

Je test 2 verschillende security issues. De Intel-00086 is de Intel Management Engine kwetsbaarheid van december.
https://www.intel.com/con...s/000025619/software.html

Intel management engine zijn:
CVE-2017-5705
CVE-2017-5706
CVE-2017-5707
CVE-2017-5708
CVE-2017-5709
CVE-2017-5710
CVE-2017-5711

“Spectre” (CVE-2017-5753 and CVE-2017-5715) and “Meltdown” (CVE-2017-5754)

[Reactie gewijzigd door kr4t0s op 12 januari 2018 11:58]

Kan het zijn dat Intel ziet dat je al bent gepatched en daarom dus gewoon niet vulnerable bent?
Leuk!
Behalve dat die tool voor Intel MEI is en niks te maken heeft met Meltdown en/of Spectre

[Reactie gewijzigd door RJWvdH op 12 januari 2018 11:17]

Ik probeer dat tooltje maar die crashed gelijk nadat ik op check vulnerability klik.
Zit in .net runtime volgens WER. Ik heb die helemaal geupdate maar hij blijft steeds crashen.
Ik ben vrij lang aan het zoeken geweest. Voor zover ik het terug heb kunnen vinden heeft Intel de "Branch Prediction" aangebracht in de Pentium PRO. (Een tijd waarin het internet eigenlijk nog niet bestond en hacks zoals deze compleet onvoorstelbaar waren).
Alle Intel Processoren vanaf de Pentium PRO zijn kwetsbaar.

Wat je je af kunt vragen is hoe kwetsbaar want als ik het goed begrijp kan het geheugen uitgelezen worden met een whopping 1,5 KB/s. Met de geheugengroottes van tegenwoordig ben je dus wel even bezig voordat je alles hebt doorgespit, en de relevante data daaruit hebt ontleed. (Als die data al niet veranderd is tijdens het uitlezen).

[Reactie gewijzigd door jbhc op 12 januari 2018 11:32]

Voor Meltdown en Spectre zijn er een paar zaken nodig: speculatieve executie, branch prediction, speculatieve executie na een branch, speculatieve executie van instructies na instructies die kunnen faulten, en speculatieve executie van tenminste 2-3 instructies vooruit. Elke CPU die ook maar één van deze eigenschappen mist is veilig.

Nu kan een moderne Intel (Haswell etc) zo'n 200 instructies speculatief uitvoeren, ook na meerdere branches, dus die zijn absoluut kwetsbaar. Maar voor een Pentium II heb ik dat nog niet aangetoond gezien. Vergeet niet, de grootste winst van speculatieve executie bereik je meer de eerste instructie. De tweede instructie vooruit is al minder waard, en tegelijk complexer. Ik kan me dus goed voorstellen dat Intel begonnen is met 1 instructie vooruit.
Veelal database software cache in het geheugen als daar aan denkt en dat iedereen afhankelijk is van databases. Maakt het niet uit of je het geheugen nu met 1,5kbs uitlees of 0,5kbs. De data blijft vaak langere tijd beschikbaar.

Als je nu hier vertrouwelijke gegevens bij optel. Dan is het zeker wel een kwetsbaarheid die je moet patchen. Hoe groot/klein de kans ook is dat je systeem aangevallen wordt.
Zolang je eigenlijk niets in een VM doet is er niets aan de hand (korte uitleg) Bij normaal gebruik hoef je je eigenlijk geen zorgen te maken.

- Als je computer uptodate is, hoef je je eigenlijk geen zorgen te maken.

[Reactie gewijzigd door prutser001 op 12 januari 2018 11:12]

Inderdaad, voor zover ik zie is het maar een privilege escalation aanval, vooral Meltdown zelf. Als iets daar gebruik van kan maken, is het toch al binnengedrongen. Alleen die Javascript exploit van Spectre kan remote gebeuren maar die is te patchen in de browsers zelf.

Ik heb zelf de patches voorlopig maar weer van mijn game PC gegooid sinds bleek dat het op oudere systemen enorm veel trager wordt (tot wel 60%) omdat de branch predictor niet zo slim is als op de nieuwste. Ik heb nog een hele oude Sandy Bridge CPU (3e generatie intel) in mijn game PC dus ik kan die extra vertraging niet goed gebruiken. Ik doe veel met VR en mijn systeem zit al op het randje van wat haalbaar is. Zelfs 20% vertraging zou ik al erg merken.

Wel heb ik wat andere maatregelen; ik doe niets anders dan gamen op dat ding (zelfs amper browsen) dus het risico is extra klein. Voor dagelijks gebruik heb ik een Mac and Linux, die zijn al wel geupdate. En internetbankieren deed ik toch altijd al met een Ubuntu stick (dus elke keer een compleet schone boot, voorkomt keyloggers enzo). Voorlopig zal ik er helemaal niet meer op browsen om het risico te verlagen. De Mac staat er toch naast.

Het was wel een hoop gedoe om die patch van mijn Windows 10 af te houden trouwens. Verwijderen is geen probleem maar hij komt binnen 2 minuten weer terug. Ik heb nu Windows update helemaal uit moeten schakelen. Wanneer er wat meer duidelijkheid over de impact komt dan update ik wel weer.

Ik wou toch al een nieuwere CPU maar nu wacht ik liever tot er CPU's uitkomen waar dit hele probleem niet meer inzit. En alles is zo duur geworden opeens (Nieuwe CPU betekent ook nieuw moederboard, en DDR4 prijzen zijn niet normaal meer)

Edit: Nog wat meer benchmarks hoe erg het vertraagd kan worden en dit is zelfs nog Haswell (dus nieuwer dan wat ik heb).

[Reactie gewijzigd door GekkePrutser op 12 januari 2018 11:19]

Hier, wat informatie dat ik heb gevonden over hoe je specifieke Windows updates (KBxxxxxx) kan disablen en wat meer informatie over de patch en hoe je deze volgens Microsoft kan disablen.

Windows patches blacklisten

Microsoft meltdown/spectre patch info
Bedankt! Dat ga ik dan doen. Voor mijn CPU komt er toch geen microcode upgrade.

En binnenkort dan maar naar Ryzen, dat lijkt nu het beste te zijn.
Sandy Bridge krijgt vanuit Intel dan ook geen update hiervoor, de fixes van anderen zijn vooral hindernissen, maar kunnen de lekken ook niet 100% dichten.

De 4000 serie zo uit mijn hoofd wel, die is dit jaar precies vijf jaar namelijk.

[Reactie gewijzigd door CH4OS op 12 januari 2018 11:31]

Ah, dat wist ik niet. Dat had ik even gemist. Dat verklaart dat er geen benchmarks beschikbaar zijn.

Maar zou dat betekenen dat de patch dan ook geen vertraging veroorzaakt? Ik zag inderdaad met Get-SpeculationControlSettings dat de meeste patches nog niet actief waren omdat ik nog geen microcode update had. Die gaan dus ook nooit komen...
De patches die anderen maken, kunnen het lek niet dichten, enkel bemoeilijken. Intel is de enige die het gat kan dichten, zij gaan dat doen met een microcode (firmware) update aan processoren van maximaal 5 jaar oud.

Derde partijen die een patch uitbrengen om eea te bemoeilijken zijn de patches die de performance verminderen, al kun je je afvragen in hoeverre dat erg is. Naar mijn idee is het een storm in een glas water.

Ja, als de instructies veelvuldig gebruikt worden waar dit lek in zit, dan ga je het merken dat het wat trager is, maar zolang het niet gebruikt wordt, merk je het dus ook niet. Het is dus nog maar zeer de vraag of de performance hit merkbaar en groot is. De reviews die erover schrijven zijn momenteel vooral fakenews artikelen naar mijn mening, alles voor de views, want het is momenteel een ontzettende hype. Ik denk dat het in de praktijk allemaal ontzettend mee gaat vallen en dat de sites die "benchmarks" publiceren vooral uit de duim zuigen.

[Reactie gewijzigd door CH4OS op 12 januari 2018 11:48]

De impact tijdens gamen zal een stuk kleiner zijn dan in synthetic benchmarks. Ik heb de windows update nu geinstalleerd (nog geen bios patch voor mijn mobo) en merk geen verschil in games.
Hmm, dit is gewoon niet waar. Je kunt, als je niet patched, vanuit user-space (je weet wel, waar bijvoorbeeld javascript in draait) in kernel memory lezen. Dat betekent dat elk proces bij al het geheugen kan, je weet wel, waar decryption keys in staan, wachtwoorden, etc.
En hoe weet een aanvaller dan in welke paar bytes van mijn 16gb geheugen dat wachtwoord staat?
Je weet wel, een geheugen adres dat iedere keer anders is, en zelfs tijdens gebruik kan wijzigen door in en uit pagen van het geheugen?
Deze aanval via javascript is al zeer moeilijk vanwege de timings van de cache als je precies weet wie wat en hoe, zoals ze het tijdens de test lieten zien.
Met de browser updates met de kreupele timings gaat dit gewoon niet meer werken.
Geldt allemaal ook voor spectre 1 en 2.
Zeer zeer moeilijk. In een test, tuurlijk, in de praktijk zeer moeilijk en vooral zeer omslachtig!
Een aanvaller kan nog steeds beter kiezen voor een geinfecteerde bijlage en dat massaal verspreiden.
Een checker? Alle x86 Intel CPU's die uitgekomen zijn sinds 1995 zijn getroffen (aldus het T.net achtergrondartikel van laatst), dus daar is niet echt een check voor nodig, lijkt me. Voor AMD CPU's is dat wel interessant wellicht.
Heb je wel aan updates gedacht? :P
Na patchrondes controleren wij nog met een checker just to be sure:
https://github.com/speed47/spectre-meltdown-checker
Om het snel uit te voeren ipv eerst te moeten downloaden, chmodden e.d:
Wel zorgen dat je de content van het script vertrouwd voor je op deze wijze het script gaat draaien!
Het is met name interessant om te testen of je systemen goed zijn gepatched. Controle dus.
Als je een Intel x86 CPU hebt met een Pentium of nieuwer ben je kwetsbaar, enige mogelijke uitzondering (durf ik niet met zekerheid te zeggen) zou een eerste generatie Atom kunnen zijn (dat was een heeeel simpel chipje, die mist misschien de te misbruiken feature)

Kwa risico zal het wel meevallen, er zijn nog geen exploits in het wild gevonden, en voor Meltdown worden veel mitigation patches uitgerold (voor browsers, video drivers, OSsen) op het moment.

Totdat er bericht komt dat er in het wild exploits zijn gevonden die nog niet gepatched zijn, zou ik gewoon je ding doen zoals altijd (en natuurlijk netjes de beschikbare patches/updates accepteren)
De Pentium 1 is volgens mij niet kwetsbaar. Pas vanaf de Pentium PRO zit deze kwetsbaarheid er in.
Niet alleen x86 maar ook ARM processors. De Atoms van voor 2013 hebben inderdaad geen last van Meltdown, maar zijn wél kwetsbaar voor Spectre (zoals eigenlijk elke moderne CPU volgens de ontdekkers van de Spectre exploit).
eerste generatie Atoms is niet kwetsbaar. Die konden namelijk geen out-of-order executie doen.
Bestaat er toevallig een checker waarmee je kan zien of je processor kwetsbaar is? Heb een aantal systemen van +5 jaar oud die nog prima werken overigens.
De check is uiterst eenvoudig:
Heb je een Intel processor?
Is het antwoord Ja dan ben je kwetsbaar. De laatste Intel processor die níet kwetsbaar was is dusdanig oud dat die ondertussen volledig onbruikbaar is.
Is het antwoord Nee dan zul je even een tooltje moeten downloaden ;)
Bij AMD en ARM is het antwoord eveneens ja, geen idee waarom je die weglaat...
Die laat ik weg omdat het verhaal daarbij een stuk ingewikkelder is.....

Intel is eenvoudig: ALLE Intel processoren zijn voor alle 3 de vulnerabilities kwetsbaar.
Bij AMD en ARM ligt dat een heel stuk subtieler.

Ofwel: De eenvoudige check is alleen beschikbaar voor Intel. AMD en ARM hebben een minder eenvoudige check nodig.
Niet helemaal: AMD is NIET vatbaar voor Meltdown. De patches van Intel gaan over Meltdown. De klasse van Spectre aanvallen is AMD (en Intel en ARM) wel vatbaar voor, maar daar is geen patch tegen behalve alles hercompileren (alle applicaties enzo). Dus terecht weggelaten.
Intel CPU microcode updates zijn voor variant 2 van Spectre (CVE2017-5715), niet voor Meltdown.
Zie bijvoorbeeld: https://cloudblogs.micros...tions-on-windows-systems/
de ARM chips van AMD zijn ook kwetsbaar voor Meltdown, dwz, de specifieke ARM ontwerpen die daar kwetsbaar voor zijn. Het probleem ligt namelijk in het chipontwerp.
Hoezo 'niet helemaal'? AMD is wel vatbaar voor spectre. Dus die CPU's zijn ook kwetsbaar. Dat er geen patch voor is maakt het niet opeens onwaar. Onterecht weggelaten, tenzij je van het struisvogelgedag bent.
Iederere CPU sinds '95 is vatbaar voor Spectre (microcontrollers en erg eenvoudige CPUs daargelaten). Ik nam aan dat je reageerde op de opmerking om een tooltje te downloaden om te testen. Dat hoeft niet.
Klopt, alleen zitten er wel wat haken en ogen aan.

Ja AMD is vatbaar voor spectre level 1 maar, dat is wel extreem moeilijk te hacken en moet je sowieso fysiek aanwezig zijn, maar zoals ik al eerder zei dan heb je wel andere problemen.
Helaas is het voor Intel allemaal wat makkelijker om te hacken (meltdown) en is het een hardware probleem dus de patches en updates lossen het probleem niet echt op voor Intel, helaas.
Sommige atoms zijn in bv nasjes nog redelijk lang uitgeleverd
Was er niet de melding dat dit lek al in intel processors zit sinds '95 of '97 zonder erg veel uitzonderingen?
Niet internetbankieren heeft geen zin; technisch gezien kunnen ze de controle van je hele computer inclusief internetbankieren overnemen wanneer je een geinfecteerde website gebruikt. Als je dus aboluut zeker wil zijn dat je niet via deze bug gehacked wordt moet je je internet uitzetten.

Dat gezegd hebbende zijn er geen exploits in het wild gezien, dwz dat er nog geen aanvallen bekend zijn. Het zijn ook zeer moeilijk te maken aanvallen. Nog niet eerder maakten wij ons zo druk om een beveiligingsfout- softwareupdates worden vrij laks geinstalleerd door de massa.

Ik denk dat dit anders is omdat het een hardware fout is en daardoor mensen zich onveiliger voelen.

Als gewone thuisgebruiker: installeer windows en browser updates, dan ben je al een heel eind qua bescherming.

[Reactie gewijzigd door SpiceWorm op 12 januari 2018 12:10]

Is hierbij Linux ook een optie?
Wat ik me afvraag: stellen zulke problemen zich ook in virtuele omgevingen?
Juist in virtuele omgevingen. Omdat Meltdown gebruikt kan worden om vanuit een VM te 'ontsnappen' en het geheugen van andere VM's of het hostsysteem te benaderen.
Hyperjacking is inderdaad niets nieuws, helaas is de kans dus nu groter met deze bugs. Hopelijk komen er geen enge exploits op het net die hier misbruik van maken..
Ik denk dat dit juist doelwit nummer 1 wordt.

De grote VPS providers zoals Amazon, MS Azure, DigitalOcean enz hebben alles al wel gepatcht maar er zijn veel kleine bedrijfjes met VPS. Het enige dat je hoeft te doen om daar binnen te komen is een (proef) abootje nemen.

Vervolgens kan je op de andere VPSen inbreken via deze trucs. Veel makkelijker dan het eerst moeten hacken van een systeem om dit gat te kunnen misbruiken. Ik denk dat dat veel gaat gebeuren zodra er exploits in het wild verschnen.
Klopt. Een vriend uit de UK had een klein droplet hosting bedrijf en had meerdere VM servers in verschillende datacenters. Lang geleden had hij ook eens meegemaakt dat zijn klanten doel werden van Hyperjacking (meerdere virtuele servers werden overgenomen, dacht door een kernel bug of in de hypervisor zelf OpenVZ was dat toen geloof ik). Dit zal nu dus inderdaad als men hier niet genoeg aandacht aan besteed een best rampzalig probleem worden ja. Hoop dus ook echt dat de meeste bedrijven de patches ook uitrollen. Helaas is het voor consumenten met oudere hardware dan ook niet echt mogelijk. Heb zelf een oudere xeon processor en speel wel eens met ESXi om malware te analyseren. Hier zal ik in de toekomst dus een heel apart systeem voor moeten gaan maken aangezien ik geen zin heb om mijn host te vernaggelen 8)7 Misschien is dit desondanks lastig, maar je weet het maar nooit. Beter geen risico nemen dan staan te kijken met je handen in het haar.

[Reactie gewijzigd door r_AllocStarByte op 12 januari 2018 14:42]

Al het virtuele zal ook op een fysieke server gehost moeten worden. Indirect dus wel neem ik aan
Dat zou ik ook graag willen weten inderdaad.
Toen ik dit las dacht ik WTF. Onverwachte reboots zijn nog erger dan vertragingen in je bedrijfsomgeving.
De Intel Xeons zijn ook lid van de Broadwell en Haswell familie.
natuurlijk, hoe verwacht je dat je VM blijft draaien als het host systeem aan het rebooten is? :)
Met fault tolerance / replica's ;)
Oei, vooral de grootte bedrijven (datacenters en servers) hier gaan ze niet blij van worden, denk dat dit nog wel een staartje gaat krijgen voor Intel.
Als ik AMD was had ik nu direct alle vertegenwoorders langs gestuurd bij de bedrijven. “Wij hebben nog een zeer aantrekkelijke CPU Epyc....”
Ik loop binnen mijn bedrijf al jaren te roepen dat één is geen.
Niet alleen VMWare gebruiken, maar ook HyperV,
Niet alleen windows, maar ook die andere,
niet alleen Intel, maar ook AMD.

Op die manier is de kans dat je een werkende uitweg hebt, gewoon stukken groter.
Is standaard risico spreiden.

Tot vorige week wilden ze er niet aan, maar nu merk ik dat mensen eindelijk begrijpen wat ik bedoel.

Geen een systeem is 100% veilig, maar de kans dat twee verschillende systeemen op dezelfde manier getroven worden, op het zelfde moment is gewoon klein.
Voor bepaalde zaken is dat natuurlijk wel lastig, bijv. hosts in virtualisatie clusters wil je zo gelijk mogelijk hebben, dus of Intel of AMD en dan waar mogelijk ook nog eens dezelfde CPU generaties zodat je geen functionaliteit hoeft op te geven door het gebruik van EVC modes of PCM bij Hyper-V. Zo kun je bijv. in virtualisatie clusters geen live vmotion / live migrations doen van Intel naar AMD hosts / clusters, Dit moet offline. O.a. Hierdoor is het mixen van deze vendoren in een cluster dus ook geen best practise, wel kun je natuurlijk prima een Intel en een AMD cluster draaien, maar daar moet je dan natuurlijk wel het budget voor hebben, bij veel bedrijven zal dit geen haalbare kaart zijn. Maar ook bijv. migraties tussen verschillende CPU families van dezelfde fabrikant kunnen in bepaalde gevallen al worden of zelfs niet mogelijk zijn.
Daar heb je gelijk in, één is geen. Maar als je dat zo ver gaat doorvoeren lopen de kosten toch al snel uit de hand en qua beheer zal het er ook niet makkelijker op worden.

Ik kan me niet voorstellen dat je bijvoorbeeld 2 VMware clusters naast elkaar gaat zetten, eentje met Intel CPU's en eentje met AMD CPU's. Mixen van die twee gaat niet als je vMotion wilt gaan doen. En je storage? Een storage poolmet Nimble SAN's en eentje met EMC? Zo kun je er nog wel een paar verzinnen.

Ik begrijp absoluut wat je bedoelt, maar voor bepaalde zaken moet je nu eenmaal een keuze maken voor een merk X of merk Y.
Daar mag AMD ook best terughoudend mee zijn, waarschijnlijk is Epyc ook gewoon kwetsbaar voor Spectre, en daarvan is de complete fallout nog niet bekend, laat staan dat er patches voor zijn.

Nu hoog van de toren blazen over Meltdown zou best kunnen betekenen dat ze straks met de broek op de enkels op diezelfde toren staan als Spectre tegenvalt.
Of dat veel zin heeft vraag ik me af, leveringen van o.a. Epyc leken voor deze bekendmakingen al beperkt door de productie capaciteit die AMD heeft, het is niet direct te verwachten dat ze dit enorm kunnen opschalen per direct, op langere termijn uiteraard mogelijk wel. Maar je sales zaken laten verkopen die je vervolgens amper kan leveren in ieder geval in de nabije toekomst is ook niet altijd handig.

Verder is AMD ook al aan het terugkrabbelen m.b.t. tot Spectre. Waar ze 3 januari nog "near zero" risk aangaven lijkt dit toch genuanceerder te liggen en gaan ze nu ook Ryzen en Epyc patchen voor spectre omdat deze toch ook meer vatbaar lijken te zijn dan AMD in eerste instantie dacht. Zie o.a. https://www.reuters.com/a...curity-flaw-idUSKBN1F0314 en https://www.amd.com/en/corporate/speculative-execution
Met de snelheid van patchen die de meeste bedrijven aanhouden, is de patch nog lang niet in het datacenter aangekomen. Dat duurt nog wel een maand of twee en dan zijn deze bugs wel geplet.
Volgens het tool van Intel (SA-00086 Detection Tool) is mijn systeem "not vulnerable".
i7-5820K

Erg fijn. Maar ik vind het wel verwarrend dat overal geroepen wordt dat alle processoren kwetsbaar zijn, terwijl zo'n tool van Intel zelf dan zegt dat er niets aan de hand is.
Het kan toch zijn dat je systeem gepatched is via de auto-update van Windows 10?
Je moet deze tool hebben: https://gallery.technet.m...culation-Control-e36f0050
Niet diegene die je nu hebt geprobeerd, die is voor een heel ander probleem.
i7-5820K staat op deze lijst. Dus "vulnerable".

En natuurlijk wat @ShellGhost schrijft hierboven.

[Reactie gewijzigd door immetjes op 12 januari 2018 13:43]

Daar gaan we weer. denk je lekker te updaten om jezelf te beschermen heb je uiteindelijk alleen maar miserie. Dat is een van de redenen waarom ik niet of pas na bepaalde tijd updates uitvoer. Precies om dit soort redenen. Ik kan me het me niet veroorloven mijn systeem buiten werking te hebben door dit soort ongein.
Je update om beveiligingrisico's te verhelpen, dus zo lang je afwacht, loop je risico. Dat is een afweging die een ieder voor zichzelf moet maken.
Niet elke patch is goed. In verleden zijn belangrijke patches ook niet vlekkeloos verlopen. Zolang je geen gekke dingen uithaal, geen vreemde sites bekijken en firewall bijvoorbeeld goed staat, zou je niet snel problemen hebben.

Meestal wacht je even paar dagen tot 1 week om te kijken of er geen klachten zijn, en dan pas kun je gerust laten uitvoeren. Dit is ook deels nodig als je écht belangrijke taken moet doen en geen downtime wil hebben. Uptime gaat dan voor beveiliging zolang dat probleem niet ernstig is (dus met grote moeite erin) vooral voor grote bedrijven.

Ik verwacht verder dat systeembeheerders situatie verkeer extra monitoren en even wachten tot ze zeker zijn dat patches geen problemen geven.
Precies dat bedoel ik! Natuurlijk wil je veilig zijn, maar de kans dat je eruit ligt tgv van een misbruik van het lek is mijns inziens altijd relatief laag, en natuurlijk kan het toch gebeuren dan ben je het haasje. Maar een niet werkende pc tgv een 'shitty' update kan ik me zeer zeker niet permiteren en mijn ervaring heeft geleerd dat het toch nog regelmatig voorkomt. Ik wacht dus altijd 1 of 2 weken tot de volgende updatemelding (auto update is een vd eerste dingen die ik uitschakel op mijn systeem).
Ik snap de afweging volledig. Mijn klanten met CAD software wacht ook vaak SP1 af voordat ze op een nieuwe versie overgaan.

Maar als een lek dusdanig kritisch is dat bedrijfsgevoelig info gevaar loopt dan is het soms beter wat downtime voor lief te nemen. Wanneer dat gevaar zo groot is, weet je helaas meestal pas achteraf.
Maar als een lek dusdanig kritisch is dat bedrijfsgevoelig info gevaar loopt dan is het soms beter wat downtime voor lief te nemen
Jup, kritische updates van MS worden hier ook direct uitgerold. Als dat wat problemen oplevert is dat jammer, maar veiligheid heeft prioriteit.
Of je weet het helemaal niet, of je kunt misschien al slachtoffer worden voordat de patch uitgebracht is. Ik denk dat hackers niet wachten tot het zover is ...
Meestal wacht je even paar dagen tot 1 week om te kijken of er geen klachten zijn, en dan pas kun je gerust laten uitvoeren.
O.a. Red Hat hebben deze aanpak tot een businessmodel verheven. Als je bij Red Hat een Enterprise abonnement afsluit (Red Hat Enterprise Linux) krijg je feitelijk oude software. Maar de patches en andere updates die je krijgt zijn dan altijd al eerst door miljoenen gebruikers van de gratis versie getest. JBoss (ook onderdeel van Red Hat sinds een tijd) doen hetzelfde met hun Wildfly server (gratis) vs. JBoss Enterprise Application Platform wat feitelijk gewoon een oude versie van Wildfly is in een door JBoss geteste configuratie.
Redhat brengt voor dit soort kritieke zaken gelukkig gewoon direct patches uit, ook voor de Enterprise versies (https://access.redhat.com...ties/speculativeexecution)
Ja dat zeg ik ook niet. De security patches krijg je wel natuurlijk. Maar alle nieuwe ontwikkelingen gebeuren in eerste instantie in de open source versies en gaan pas door naar de supported versies als ze geen problemen geven.

Terwijl vroeger zag je het vaak precies andersom. Het idee was dan dat je als je betaalde je eerder toegang kreeg tot nieuwe features.
Ik kan me het me niet veroorloven mijn systeem buiten werking te hebben door dit soort ongein.
Kun je het je wel veroorloven dat je gegevens op straat komen te liggen? Of erger nog, gegevens van klanten?
Ik zeg niet dat ik niet update maar dat ik altijd wacht juist om dit te voorkomen en vooral omdat mijn ervaring heeft geleerd dat het risico op hacking of iets dergelijks relatief klein is. Je zult niet per definitie slachtoffer worden als je niet dezelfde dag de update draait.
Laat ik het anders zeggen, ik heb in mijn 27 jarige loopbaan tot nu toe nog geen geval zelf meegemaakt of in mijn omgeving waarin er sprake was van hacking / buitmaken van gegevens. (Misschien zonder het te weten maar dat weet je nooit dat kan dus ook gebeuren nog voordat de patch uitgebracht is) Maar ik wel wel al zeker 3-4x een systeem gehad dat voor langere tijd onbruikbaar was door het automatisch laten uitvoeren van updates. Gaande van grafische drivers die door windows geupdate werden en niet meer werkten zoals vereist tot een keer zelfs systemen die niet meer wilden booten. Opnieuw installeren is ondanks regelmatige images toch altijd weer een klus. Mijn vroegere werkgever heeft ons daarom geïnstrueerd de updates op handmatig te zetten. En pas uit te voeren na minimaal 7-10 dagen. Daarna hebben we nooit meer een probleem gehad gerelateerd aan updates. Wij waren geen bank of webshop dat speelt natuurlijk ook een rol.

[Reactie gewijzigd door TaranQQ op 15 januari 2018 14:16]

Ik lees deels dat Intel met updates komt, maar Windows ook. Waar moet ik nou zijn voor updates, bij Windows updates? Of op de intel pagina? Enige duidelijkheid in het artikel voor de mindere pro's hier op processor gebied zou fijn zijn :).
Voor zover ik weet werkt Intel met Microsoft samen om patches uit te rollen. In principe zou het dus niets mogen uitmaken. Dat is ook de kracht (al vind ik het zelf af en toe irritant) van Windows 10; driver-updates kunnen worden gepushed via Windows Update.

Aldus Microsoft:
Microsoft has yet not received any information to indicate that these vulnerabilities have been used to attack customers. Microsoft is working closely with industry partners including chip makers, hardware OEMs, and app vendors to protect customers. To get all available protections, hardware/firmware and software updates are required. This includes microcode from device OEMs and, in some cases, updates to antivirus software as well.

[Reactie gewijzigd door AnonymousWP op 12 januari 2018 11:11]

Je moet ook de firmware updates van de fabrikant installeren, dus enkel de Windows update is niet voldoende om alle gaten te dichten. Je kan op de website van je OEM (HP, Dell, Lenovo etc) zien of er voor je apparaat nieuwe firmwares zijn. Voor Surface producten worden de firmware via Windows Update gepushed.

Nu ik dit zit te vertellen, denk ik hoe gaat Miep en Bep met haar computer/laptop firmware updates installeren, maar goed dat is een ander verhaal.
Ja, maar daar moeten ze dan wel mee komen. Je bedoelt overigens de firmware-updates voor je netwerk-'kaart'? Die worden normaliter ook via Windows Update gepushed. Ik heb bijvoorbeeld voor m'n Gigabyte H97-DH3 moederbord nog steeds geen BIOS-update ontvangen (lees: staat nog niet op de site).

Trouwens, OEM-patches worden dus wel via Windows Update uitgerold. Lees de quote maar bij m'n vorige reactie.

[Reactie gewijzigd door AnonymousWP op 12 januari 2018 11:16]

Je bedoelt overigens de firmware-updates voor je netwerk-'kaart'?
Nee, voor je bios/UEFI.
Ik heb bijvoorbeeld voor m'n Gigabyte H97-DH3 moederbord nog steeds geen BIOS-update ontvangen (lees: staat nog niet op de site).
Deze moet je dus inderdaad bij Gigabyte vandaan halen, die komt niet via Windows Update. Oftewel, je moet dus naast Windows Update ook de firmwares updates.
Ja dat snap ik; dat BIOS-updates niet via Windows Update gaan :p. Het punt is dus, dat Gigabyte nog geen patch heeft uitgebracht voor m'n BIOS (laatste stamt uit 2015 :O).
Windows Update kan gewoon microcode updates pushen.
https://support.microsoft...rocode-update-for-windows
Inderdaad, maar het is afhankelijk van de fabrikanten of ze Windows Update gebruiken voor microcode updates. Voor Surface producten heeft Microsoft de microcode updates via Windows Update beschikbaar gemaakt.
Microsoft komt met patches voor Windows, die Meltdown fixen, en Spectre lastiger maken te exploiten. Waar Intel precies mee komt snap ik niet, maar ik vermoed dat ze met een geupdate microcode komen, die Spectre lastiger maakt.
Je hebt de microcode updates nodig om alle mitigations die in de operating systems aanwezig zijn te activeren.
Ik vind het ernstig om te zien dat deze exploits voor het gros van alle apparaten te gebruiken zijn. Het wordt voor Intel en AMD ook niet makkelijk gemaakt om dit knap te patchen met de gigantische variëteit aan hardware tegenwoordig. Ik hoop dat ze het snel onder controle hebben. Ik dacht eerst dat HeartBleed het meest ernstige probleem zou zijn van deze eeuw, wat zat ik er naast!
Heartbleed was veel erger, omdat het om een netwerk gebaseerde service ging. Ten eerste is dit geen remote exploit. Ten tweede geeft alleen Meltdown een privilege escallatie (die werkt dus niet op AMD x86 cpu's). Ten derde zijn er nog geen exploits in het wilde gewonden.
Heartbleed was veel erger, omdat het om een netwerk gebaseerde service ging.
Erger, niet per sé. Feitelijk zijn het twee verschillende zaken. Dit is meen ik namelijk de eerste echte grote (en dus ergste) hardware exploit in de recente geschiedenis.
Ten eerste is dit geen remote exploit. Ten tweede geeft alleen Meltdown een privilege escallatie (die werkt dus niet op AMD x86 cpu's).
Privilege escalation is in dit geval ook niet nodig, aangezien men in staat is om het complete geheugen uit te lezen. Ik vind het in die zin dan ook erg dat dit uberhaupt mogelijk is. Het gaat dus nu misschien niet zozeer om het beschadigen of uitlezen van data, maar mogelijk wel om het monitoren van gebruikers (en de daarbij behorende gevoelige informatie). Overigens is het op dit moment geen remote exploit, maar het zou mogelijkerwijs wel gebruikt kunnen worden ná een hack o.i.d.
Ten derde zijn er nog geen exploits in het wilde gewonden.
Dat ze niet gevonden zijn wilt niet zeggen dat ze er niet zijn geweest, op dit moment zijn of erger nog; in de toekomst naar voren gaan komen. Het probleem met deze exploit is namelijk dat de eigenaar van de hardware zelf verantwoordelijk is voor het upgraden van de hardware. Ik kan me talloze situaties indenken waarbij dit niet gebeurd en deze exploits te lang bruikbaar blijven.

Ik denk dan ook dat we niet kunnen spreken van "erger". Het zijn op zich allemaal vervelende zaken waar we mee moeten dealen. Echter was HeartBleed makkelijker te fixen voor het gros van de gebruikers omdat namelijk de huis-, tuin- en keukengebruiker hier niets voor hoefde te doen, wat nu wél het geval is.
Je kunt niet het complete geheugen uitlezen zonder Meltdown, en dat is prima op te lossen met een patch. Daarnaast is dit niet op alle CPU's van toepassing, en dus ook niet remote.

Zoals gezegd, bij heartbleed heb je een privacy escallatie, dan kan je dus ook al het geheugen lezen, en ook remote, en met volledige snelheid. Dus veel grotere impact, en makkelijker te exploiten.
Mijn PC heeft een intel i7 3770K (haswell) en boot sinds 2 dagen helemaal niet meer.
Het enige beeld wat ik te zien krijg is het Asus logo van mn mobo, maar ik kan zelfs de BIOS niet inkomen.
Weet iemand toevallig of dit ook aan de patch kan liggen of is mn mobo gewoon fried?
Overigens heb ik 'm helemaal uit elkaar gehaald, ontstoft, en weer in elkaar gezet met hetzelfde eindresultaat.
Bij mij moeder staat een oude AMD PC die ook bleef hangen op het logo, opnieuw opstarten en op F2 rammen boote de pc weer op na een herstel, wellicht heb je hier wat aan.
Lijkt mij sterk dat dit door de beveiligingsupdate komt. De i7 3770k is trouwens van de Ivy Bridge generatie.

[Reactie gewijzigd door Neehoor op 12 januari 2018 15:26]

Wanneer je de computer inschakelt komt er (default) eerst het logo van de fabrikant van je moederbord. Dit blijft daar staan totdat de initiele BIOS/UEFI checks suvccessvol zijn doorlopen. Pas daarna word van je opslagmedium gestart en kun je eventueel met systeemherstel aan de slag.

Zoals ik de post van Gabbana lees, dan is systeemherstel geen optie, want de BIOS/UEFI check gaat al niet goed.

Het beste wat Gabbana kan doen is alle hardware van het moederbord loskoppelen en dan zien of het moederbord wel door de BIOS/UEFI checks kan komen. Is dat het geval,dat moet je proefondervindelijk uitzoeken welk stuk hardware verantwoordelijk is. Dus een voor een aansluiten en zien waar het mis gaat.

Is alle hardware losgekoppelt en komt het moederbord niet door de BIOS/UEFI checks, dan is er een ernstig probleem. Er zijn moederborden die met een extra BIOS/UEFI chip zijn uitgerust. Je kunt dan proberen of je van deze reserve BIOS/UEFI chip op kan starten. Kijk in de handleiding van je moederbord hoe je dit moet doen.

Met geluk kun je dan wel opstarten. Kun je nog steeds niet opstarten, of heeft je moederbord geen extra/reserve chip, dan kun je misschien via de fabrikant een nieuewe BIOS/UEFI chip voor je moederbord bestellen en kijken of het dan wel goed gaat. Of dit makkelijker/goedkoper is dan het aanschaffen van een nieuw moederbord voor je processor, dat moet je voor jezelf uitzoeken.
Dank je voor je reactie! Ik heb je advies opgevolgd en het moederbord zonder de andere onderdelen wil ook de BIOS niet inkomen. Ik zal de handleiding raadplegen voor die extra BIOS/UEFI chip maar het idee van een nieuw moederbord met nieuwe recente processor staat me ook wel aan ^^
Security-risico's wil je zoveel mogelijk reduceren. Als dit echter zou leiden tot extra en vooral ongeplande downtime, dan is dat wel een heel beroerd bijeffect.

Het is te hopen dat deze patch geen haastwerk is en dat deze of een evt. verbeterde oplossing stabiel is. 't Zou voor hackers een zeer geliefd en kansrijk doelwit zijn, gezien de kans dat bedrijven deze patch niet installeren wegens (vermeende) stabiliteitsproblemen.

[Reactie gewijzigd door Cranberry op 12 januari 2018 10:51]

Wij hebben de uitrol over onze IT-mensen als eerst gedaan 200 man. Nu een weekje testen en kijken wat we doen. https://www.howtogeek.com...nst-meltdown-and-spectre/

Alles is op false, dus dat is goed! :D

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True