Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Meltdown & Spectre

Ben jij al bezig maatregelen te nemen tegen Meltdown en Spectre?

Nee, zou niet weten wat ik moet doen
45,0%
Niet bewust iig
18,4%
Ik heb al wat software bijgewerkt ja
11,2%
Och, ik heb geen haast
10,5%
Ja, ik patch me suf
7,7%
Ik moet wel, voor mijn werk
5,3%
Anders, nl...
2,1%

Aantal stemmen: 12.220. Deelname gesloten op 26-01-2018 17:22. Stemmen is niet meer mogelijk.


Reacties (95)

Wijzig sortering
Misschien een hele stomme vraag maar wat kun je er tegen doen naast het gewoon automatisch up to date houden van je spullen?
Alvast proactief updates ophalen, die automatisch misschien pas later geinstalleerd zouden worden, maar dat is een flauwe.

Als we even aannemen dat je al voorzichtig was met welke software je installeert en niet de attachments van mailtjes zomaar dubbelklikt, blijft het het aanscherpen van browserinstellingen over.

Op dit moment lijkt dat toch de meest gevaarljke vector voor het uitvoeren van Spectre/Meltdown code, malafide javascript.

Helaas zijn de instellingen allemaal obscuur en experimenteel en helpen ze ook nog maar eens deels. Maar bvb. Site Isolation van Chromium (en Chromium-gebaseerde browsers) is iets dat je aan kunt zetten.

Ook is het een voorbeeld van een situatie waarin een content-blocker bepaalde bescherming biedt (ook niet waterdicht natuurlijk).

[Reactie gewijzigd door Keypunchie op 9 januari 2018 16:00]

Tenzij jij de softwareboer bent van een van die spullen, niks.
Dat is geen stomme vraag, maar het zou je verbazen hoeveel betweters er zijn die uit principe niets updaten omdat ze een keer een probleem hebben gehad met updates -- wat voor probleem dan ook, zij het met schijfruimte, een klacht over CPU gebruik of een machine die een keer niet wilde starten.

Ook die mensen zijn dit keer toevallig echt wel beter af met het patchen van op z'n minst Meltdown, vanwege de aard van het beestje (hardwarefout waarbij kernelgeheugen toegankelijk wordt) waarbij ook je andere maatregelen maar mondjesmaat gaan helpen.
Je computer uit zetten.
Je hardware weggooien ;)
Werkt als een trein
Ik koop een Ryzen bijvoorbeeld.
Ik zie hier mensen vertellen dat ze KB4056892 hebben ingelezen en dat dat voldoende zou zijn. Maar als ik https://support.microsoft...the-speculative-execution lees dan is dat volgens mij helemaal niet voldoende.
Je zult ook een BIOS-update moeten doen om de aangepaste microcode te kunnen gebruiken, het is immers een probleem in de CPU.

Middels de SpeculationControl PowerShell-module kun je controleren of je beschermd bent.
Als je alleen de Windows update hebt ingelezen zou je op 'false' uitkomen bij 'BTIWindowsSupportEnabled'.

Je kunt die PowerShell-module installeren middels het volgende commando
Install-Module SpeculationControl
Na installatie kun je `m uitvoeren via het commanda Get-SpeculationControlSettings

Zie voor verdere uitleg over de output de volgende link:
https://support.microsoft...ontrolsettings-powershell.

Edit:
Deze link legt het goed uit: https://www.bleepingcompu...wn-and-spectre-cpu-flaws/

[Reactie gewijzigd door Trasos op 11 januari 2018 15:11]

Microcode updates vereisen geen BIOS/UEFI update toch? Bij GNU/Linux worden ze gewoon geïnjecteerd bij boot in ieder geval.
Zoals ik het begrepen had wordt die microcode juist gedistribueerd via BIOS-updates.

Zie ook
Q1: How can I tell whether I have the correct version of the CPU microcode?

A1: The microcode is delivered through a firmware update. Consult with the device manufacturer about the firmware version that has the appropriate update for your CPU.
https://support.microsoft...hannel-vulnerabilities-in

Edit:
https://forums.guru3d.com...-modding-the-bios.418806/

Hier wordt besproken hoe je het voor elkaar kunt krijgen in Windows zonder BIOS-update. Het kan dus wel. :)

[Reactie gewijzigd door Trasos op 15 januari 2018 18:05]

Ah, nooit geweten dat Windows hier niet aan doet. Gebeurt bij Linux wel (https://wiki.archlinux.org/index.php/Microcode). Interessant! Jammer dat dit bij Windows niet gebeurt, want ik kan me voorstellen dat niet alle moederborden de updates gaan krijgen.
Nee, precies. Daar heb ik privé ook al last van. Het is een mobo op basis van een i5-2500k. Dat is dus allang achterhaald, hopelijk kan ik het hiermee toch oplossen.

Edit:
Grrr, Intel heeft nog helemaal geen microcode voor Sandy Bridge vrijgegeven. :( Maar in de gaten houden of dat überhaupt nog gaat gebeuren...

[Reactie gewijzigd door Trasos op 15 januari 2018 22:07]

Voor iedereen die Firefox (of een fork) gebruikt kun je weer een gedeelte van de aanvallen tegenhouden door een instelling te veranderen. De Spectre kwetsbaarheid is namelijk bruikbaar via JavaScript code, dit risico kan geminimaliseerd worden door in "about:config" "javascript.options.shared_memory" op false in te stellen.

bron: https://github.com/MrAlex94/Waterfox/issues/356
Er is ook een update van Firefox beschikbaar: 57.0.4

Let alleen wel op: Als je nog 56 of ouder gebruikt, krijg je wel een hele nieuwe user interface en rendering engine mee ook (Firefox Quantum vanaf versie 57)
Wow, dit is echt wel schrikken om op een site zoals Tweakers een poll te zien waar gewoon meer dan de helft zo'n serieuze zaak gewoon niet boeit of te lui zijn om actie te ondernemen!
Mja, dat lek zit er toch al sinds de eerste cpu's die er vatbaar voor zijn?
Ik snap de terughoudende reactie dan wel. De kans dat je nu ineens van alle kanten aangevallen wordt, is gewoon klein. Plus dat tweakers voor het overgrote deel (inclusief mijzelf) bestaat uit mensen die niet in de IT werkzaam zijn en dus geen idee hebben wat te doen.
De kans is juist niet klein, omdat het lek nu publiek bekend is en er steeds meer proof of concept code beschikbaar komt. Hierdoor is de kans dat het misbruikt gaat worden ook aanzienlijk.

Wat betreft het geen idee hebben wat te doen, er zijn erg veel berichtgevingen geweest over meltdown en spectre waarbij ook vermeld wordt wat je er zelf aan kan doen. Niet-IT'ers kunnen ook lezen toch? ;-)
Wellicht heb je gelijk. Echter dat er zoveel de optie "Nee, zou niet weten wat ik moet doen" hebben gekozen, geeft dan toch aan dat de berichtgeving hierover niet voldoende is.

Ik heb er zelf niet eerder van gehoord buiten het bericht op tweakers. Maar nou zegt dat misschien meer over mij
De kans is nog altijd erg klein, omdat het gewoon heel lastig is om effectief toegang te verkrijgen tot iemands gevoelige data - zeker via iets als javascript.
Het zit er al heel lang in maar het is nu pas ontdekt.

De kans is juist heel groot omdat de systemen zo wijd verspreid zijn. Daarom is het een heel interessant doelwit voor hackers.
Meer dan op de "refresh" button klikken van Windows Update kan ik niet doen nu...
Jawel, je kan ook je browsers updaten. Spectre is exploitable via Javascript in de browser.

Firefox 57.0.4 is al gepatcht en Chrome 64 ook als die uitkomt (23 Januari vooralsnog)
Ondertussen had ik KB4056892 ook al geinstalleerd...Chrome dus nog afwachten...
Zegt meer wat over de poll denk ik...
Het boeit mij wel en ik ben niet te lui er iets mee te doen. Ik hoef er alleen gewoon niks mee! Mijn enige computer is van mijn baas waar ik zelf niks op mag patchen/etc. Dat regelt de helpdesk.
Ik heb dus gekozen voor de enige optie in de poll met "Nee", die komt het beste in de buurt.
Wat voor actie valt er te ondernemen dan?

-Windows update automatisch
-Browers updaten automatisch

Wat voor actie zouden volgens jou tweakers moeten ondernemen dan?
Ik hoop dat Tweakers eigen tests zal gaan uitvoeren om het verschil in prestaties te meten. En dan niet zomaar dezelfde benchmarks draaien als Intel gedaan heeft.
Het zal wel tussen mijn oren zitten, maar mijn Surface Pro 4 met i5 6300U is toch wel wat trager geworden, maar hoe bewijs ik dat? Vooral video afspelen lijkt hij meer moeite mee te hebben. Maar ook browsen. Zelfs op performance mode heeft hij nog moeite met het afspelen van full HD video en er lijken meer delays te zitten tussen het laden van pagina's. Maar dan heb je natuurlijk het argument dat het ook aan je verbinding kan liggen. Hopelijk wordt dit objectief aangetoond en niet met standaard testen.
Al blijkt uit de test van intel dat bijvoorbeeld de Edge browser maar 90% presteert na patchen, en dat op een 6700K. En slechts 79% op basis van Sysmark 2014 SE responsiveness...
https://www.techspot.com/...wn-patch-performance.html

[Reactie gewijzigd door TJRef op 13 januari 2018 04:43]

Tabel staaft wel een beetje met mijn ervaring. Mijn i7 3770 heeft met patch tijdens gamen zelfde framerate als er voor. Browsen echter en Office is een ander verhaal, daar is het wat stroperiger, maar niet te erg. Alleen MAX PAYNE 3 is bij mij op dat systeem stukken trager en levels laden in C&C Generals is ook 1,5x zo lang als voorheen. Mijn Ryzen 1700 heeft met patch nergens last van.

Ik moet echter wel aangeven dat mijn 3770 nog geen microcode update heeft gehad, want er is nog geen BIOS update van Asus voor het board.

Maar zoals ik nu kan inschatten is het patchen niet echt problematisch voor de performance maar scheelt het wel, afhankelijk van de inzet van het systeem.
Vooral dus bij I/o intensieve taken zul je verschil merken. Waarschijnlijk steeds een timeout om de code te beoordelen o.i.d. bij browsen zal dat lijkt me erg veel zijn, vooral met veel JavaScript en advertenties.
Vooral extra latency als ik het goed begrijp. En dat hangt dan ook weer af van de snelheid van je cpu. Mijn surface pro 4 heeft al wel UEFI update gehad. Het voelt allemaal veel trager. Zoals je in games stotteren ervaart voelt het bij normaal desktop gebruik dus ook. Hoe langzamer de processor hoe meer je het zult merken lijkt me. Slim dat Intel dan ook alleen de snelste CPUs per serie test....
Mijn Surface heeft ook een update gehad, maar ik merk niks. Of hij een firmware update heeft gehad kan ik niet over oordelen maar zal ik morgen even bekijken of die er al is.
Inmiddels lijkt hij alweer wat beter te reageren. Heb destijds ook naar de lopende processen gekeken en niet echt iets vreemds opgemerkt.
Firmware updatet Microsoft met de windows updates, merk je meestal als hij gaat updaten voordat hij uberhaupt windows begint te starten.
Hopelijk valt het toch allemaal mee en heb ik me nergens druk om gemaakt. Niks zo erg als je opeens duidelijk in snelheid achteruit gaat via updates (iphones eerst en nu pc's haha) ;)
Ik vind het een handige feature en maak mij geen zorgen om misbruik door anderen op mijn systeem.
Een patch hier voor wil ik niet installeren. Zeker niet de zoveelste halfbakken softwareland beveiligingsoplossing.
Zaken als ASLR e.d. zijn maar lastig.

Een CPU en software moeten doen wat ze moeten doen en geen obscure, vertragende 'oplossingen' voor problemen van (relatief) een enkeling door ieders strot te rammen. Maar goed... Veiligheids(gevoel) voor iedereen verkoopt zo lekker tegenwoordig. En als je zo de boel kunt vertragen kun je weer snellere hardware nodig maken om nóg meer obscure en nog meer complexe beveiligingen te introduceren.

Houd het lekker fundamenteel of zo.

[Reactie gewijzigd door 936443 op 6 januari 2018 09:28]

Misschien heb jij je zaken als IT specialist goed voor elkaar, staat je computer volledig afgeschermd enz.

Maar, de grote meute heeft dat niet. Daardoor krijgen bots de kans om flinke schade aan te richten. Zie bijvoorbeeld Wannacry. Als zaken als ASLR niet in het OS zouden zitten, dan zou dit veel vaker voorkomen. Het is niet voor niets dat Windows 95/98 zulke virusnesten waren.

In principe kan je altijd nog een Linux kernel zelf compileren en dit soort dingen er uit laten.
Het blijft "beveiliging" door obscuriteit en complexiteit maar geen oplossing.
Het is als straatnamen en woonadressen randomiseren om inbrekers te weren.

Niet de manier. Pak zaken bij het fundament aan.
Dan kun je wel zeggen maar al die arme mensen met hun 200-400 euro processoren... Tja... Bittere pil maar realiteit. Mensen zouden meer op de hoogte moeten zijn van wat ze consumeren in plaats van blindelings alles vertrouwen. We leven niet in een wereld waarin je naief kunt zijn.
Een oldskool 'streng' en nuchter leven is voor de meesten niet meer voor te stellen. En maar mee rennen met iedere hype en achteraf beginnen zich nare blaren te vormen. Geen probleem... Praten we goed want "vrijheid"... Verhullen en goedlullen door obscuriteit en complexiteit. Dat is hoe we moeten leren en evolueren zeggen velen... Alles proberen en verkopen als de beste shizzle en achteraf zeggen "ja stom he".

En natuurlijk wordt een dergelijke patch uitgerold en thank f00k kun je hem ook laten. Ondanks dat er steeds meer een kloof ontstaat tussen het OS en de speeltuin van moderne development en eindgebruikers. Zeker blijven leunen op zo'n bedrijven.
Je kunt er tegenaan kijken als een (plant) wortel die ontspruit in een ontkruidtuin met een eigen microklimaat om mensen in bezig te houden. Het zal nooit een volmaakte tuin zijn en dat hoeft ook niet, je hoeft alleen maar te doen schijnen alsof het dat is, vind de twisted schepper er van, als je maar winsten kunt behalen uit conflict, problematiek, onvolmaaktheden eknde schijnoplossingen die er uit voortkomen, als ontwikkelaar en verkoper zijnde. Als zelfbetitelde 'creator'. Schijnheil is het en zeker naieve consumenten moeten eens in gaan zien waar ze mee bezig zijn. De wolven weten het al lang. Om nog maar van de trend, om consumenten zelf te empoweren tot trotse verdwaalde projectielen, te zweigen.
Want dat is de laatste hype. De vorige was de staat die bedrijven en guilds tot goden verhoogde. Nu de bedrijven en guilds hun slachtoffers binnen in hen om te doen schijnen alsof ze ooit hogerop komen maar vooral de bedrijven stevig bevestigen. Gezwellen in gezwellen tot de eerste schakel wegvalt en de rest met hen. De grote samenbrengers lol.

[Reactie gewijzigd door 936443 op 9 januari 2018 02:03]

Het blijft "beveiliging" door obscuriteit en complexiteit maar geen oplossing.
Het is als straatnamen en woonadressen randomiseren om inbrekers te weren.
Het is een extra stap voor exploit makers, als de stack niet altijd op dezelfde plaats staat, kunnen ze daar niet blind van uitgaan en moeten ze eerst code maken om uit te zoeken waar de stack zich op dat moment bevindt. Met sommige exploits is dat zelfs niet mogelijk omdat je vaak maar heel weinig code kan injecteren. Overigens kost iets als ASLR nauwelijks overhead.

Natuurlijk zou het beter zijn om vanuit zo'n proces niet naar de stack te kunnen schrijven en dat is met veel userprocessen ook al zo maar met sommige trucs zoals Spectre/Meltdown kom je daar ook gewoon omheen. Met exploits van rootprocessen ook. Dat is het probleem met beveiliging, hoe goed je je best er ook op doet, er blijven toch altijd gaten in gevonden worden. Daarom is het verstandig om niet op een enkele techniek te leunen als enige verdediging.

Probleem is ook dat je niet al te rigoureus te werk kan gaan met het maken van beperkingen. Omdat je dan veel bestaande software gaat stukmaken, nu ook met de Windows Meltdown patches zijn er veel antivirus pakketten die niet goed werken en dat vertraagt de uitrol van de patches. Als de beveiliging het gebruik van de computer belemmert, schiet je je doel voorbij. Daarom is het altijd een compromis.

Ik ben ook niet blij met het performanceverlies van deze patch trouwens.. Ik was net aan het kijken naar een nieuwe PC en dat gaat nu dus AMD worden in plaats van Intel omdat de zware patch daar niet op van toepassing is :)

Maar ik vind niet dat het de bedrijven zijn die deze constante race veroorzaken. Het zijn verschillende kampen, de beveiligingsonderzoekers die vaak geen commercieel belang hebben, maar de software bedrijven op hun tenen laten lopen. En dat is ook goed, anders worden ze laks.
Het blijft security through obscurity.
Dat dat een extra stap is begrijpt iedereen.

De hoeveelheid performance impact was niet eens mijn punt, simpelweg het feit zelf.

[Reactie gewijzigd door 936443 op 9 januari 2018 12:19]

Jij bent dus zo een asociale gast die alleen maar om zichzelf geeft en de gevolgen totaal niet inschat. Kortom ongeschikt als IT-er.

Daarnaast had je je er even in kunnen verdiepen dat wanneer je de patch niet installeert, future updates niet zullen worden uitgevoerd.
Klopt helemaal.
Ik geef geen zak om anderen net zo min als anderen om mij geven.

Ik leef mijn eigen leven, mijn eigen systemen, volledig in juist beheer en hoe minder ik hoef te slikken door het falen van anderen hoe beter.
Je bent dan allicht ook gediagnosticeerd met iets uit het autismespectrum, dat is namelijk de enige reden voor iemand om zulke dis-/asociale uitspraken te doen.
Nee hoor. Gewoon geen valse hoop in de utopie waar jullie zo verstrikt mee zijn.
Niet iedereen met een andere kijk op de wereld en normen is autistisch maar daar weet jij natuurlijk alles over.
Utopie? Jullie? Geven om elkaar als mens is een vanzelfsprekendheid, onvoorwaardelijk. Maar je bent waarschijnlijk zo'n iemand die met zijn pessimistische en cynische blik iedereen over één kam scheert en daardoor mensen afstoot, een selffulfilling prophecy heet dat. Maarja, buiten je comfort-zone stappen is natuurlijk iets wat uit den boze is voor mensen 'met een andere kijk en normen'. Oh en ja, de opleiding Psychologie aan de RuG heeft mij wel de nodige kennis en inzichten gegeven. Succes met je leven verder!
Dat was niet het "utopie" deel waar ik het over had ;)
Wat mij betreft is elke samenleving een "toren van babel" en iedere valse hoogte (politiek) ijdele dwaasheid en bovendien doortrokken van leugens.
Aldus een utopie.

Dan hebben we het nog niet gehad over economie, commersie, het internet, of andere vormen van samenkomen en onderschikken.

Bijvoorbeeld zoals het feit dat we denken één wet, één internet en volmaakte oplossingen kunnen bedenken die ieder goed doen en tegelijkertijd vrijheid schijnen te willen waarborgen als een grote speeltuin met foute types.
Zo ook het intel probleem en de oplossing.

Ik doe zo min mogelijk mee aan de hele moderne mensheid en dat wat ik in mijn leven accepteer kijk ik zo nuchter mogelijk naar en neem ik in juist beheer.
Dat je dat niet van anderen kunt verwachten en dat er dus halfbakken oplossingen bedacht worden en door ieders strot gedrukt worden maak je mij niet warm voor.

Daarnaast ben ik al decennia gelukkig getrouwd met een psychologe. En ter aanvulling zijn wij verhuisd, de bergen in, weg van grote steden. Mij autist noemen gebaseerd op net helemaal niets getuigd sowieso niet van professionaliteit noch inzicht of begrip van het vak maar eerder een dom ongehoorzaam kind, een bully.
Dat soort commentaar kun je achterwege laten.

[Reactie gewijzigd door 936443 op 19 januari 2018 15:34]

Haha grapjas, je reactie bevestigt precies wat ik bedoel. Blijf lekker in je eigen cynische 'utopie' leven. Je opmerkingen raken kant noch wal, "ik geef geen zak om mensen net zo min als andere mensen om mij", maar is vervolgens gewoon getrouwd. Uit jouw generaliserende opmerkingen is prima af te lezen hoe jij in het leven staat, heb je weinig informatie voor nodig, maar dat zal je toch niet begrijpen aangezien jouw zelfvoorspellende wereld zich aan jou moet aanpassen en niet andersom, vrij typisch. Mij ongehoorzaam (kan prima opschieten hoor met regels en mensen, vrij irrelevant), dom (universitair geschoold) en een kind (volwassen) noemen gebaseerd op ook net helemaal niets is daarentegen wel erg professioneel hoor, dat moet denk ik wel een belletje laten rinkelen. Blijf lekker de hele mensheid en een 'we' over één kam scheren en mensen afstoten, dat zal je helpen. Met zo'n iemand valt niet te discussiëren, I'm out.

[Reactie gewijzigd door Sir Esselbink op 19 januari 2018 16:36]

Mijn vrouw geeft om mij en ik om haar.
Overdrijven en jutten dat kun je als de beste blijkt wel.

Ieder ander mens zou gewoon begrijpen dat het niet betekend dat ik absoluut om niemand geef maar dat ik het heb over het stereotype, de norm, die mij totaal niet aanstaat.

Dat betekend overigens ook niet dat ik geen variatie zie of ken.
Maar ik heb het niet nodig om daar met jou uitgebreid over te spreken en daarom maken mensen een punt.

Erg autistisch van je...

Blijf vooral "out". Heb geen zin in jouw onzin.

[Reactie gewijzigd door 936443 op 19 januari 2018 16:58]

Niets meer dan de patches installeren die ik automatisch binnenkrijg... ik ben wel van plan om over een tijd een nieuwe computer in elkaar te zetten, misschien maar wachten tot er CPU's uitkomen die er geen last van hebben.
Ik doe er tot nu toe niks tegen, omdat mijn computer aangedreven wordt door een AMD Ryzen CPU. Tot nu toe blijkt dat Ryzen alleen vatbaar is wanneer eBPF-JIT geactiveerd is en dat is niet het geval. Ik zie op dit moment dus geen enkele reden om mezelf druk te gaan maken. Ik denk alleen dat dit best wel een impact voor Intel kan gaan zijn op de professionele markt, aangezien er al aardig wat bedrijven zijn die over aan het gaan zijn op EPYC processoren. We zullen zien wat er gaat gebeuren, maar het kan nog aardig interessant gaan worden de komende tijd. Een beetje opschudding zal de markt sowieso niet schaden gezien de dominante positie van Intel, maar het compleet gaan bashen van Intel vind ik eigenlijk ook nogal onnodig. Ik hoop dat Intel ervoor kiest om hetgeen te doen wat zijn klanten van Intel verwachten.
dat komt ook vooral omdat de manier waarmee intel met de kernel communiseert anders is dan amd. AMD is als ik het goed heb voor dingen als dit alleen vatbaar door software.
Hier op de computers gewoon de update van Microsoft binnengehaald :)
KB4056892

[Reactie gewijzigd door VECTOR op 5 januari 2018 21:35]

Er komt vast wel een update... maar dan nog... ik zie dit vooral als een probleem voor hosters van virtuele machines en zo.

Op dit item kan niet meer gereageerd worden.



Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*