Säkerhetshålen Meltdown och Spectre i korthet

Säkerhetshålen Meltdown och Spectre i korthet

Nyupptäckta problemen med moderna processorer oroar världen över. SweClockers reder ut vad vi vet just nu, och vad som egentligen gäller för vanliga användare.

Knappt har 2018 lämnat BB innan årets första IT-bomb briserar. Säkerhetshålen Meltdown och Spectre innebär fundamentala problem för många moderna datorer, vilket skapar rubriker världen över.

Det kan dock vara svårt att filtrera ut vad som gäller, speciellt för användare som inte är tekniskt insatta eller intresserade. Stora prestandatapp och ett smörgåsbord för kriminella låter onekligen skrämmande – men stämmer det verkligen?

SweClockers samlar nedan en rad frågor från vanliga användare utan större intresse för teknik eller hårdvara. Förhoppningen är att kunna ge en hel del svar runt vad vi vet just nu, utan att vare sig överdriva risker eller förminska problem.

Är du osäker och vill ha mer information och fler infallsvinklar? Läs tillhörande kommentarsfält för diskussion bland SweClockers kunniga medlemmar! Du är även varmt välkommen att registrera dig för att ställa egna frågor i forumet.

Vad är Meltdown och Spectre?

I korthet handlar det om två säkerhetshål i processorerna, beräkningsenheterna, för moderna datorer och mobiltelefoner. De upptäcktes av buggjägare hos bland annat Google under försommaren 2017. Under vissa omständigheter tillåter dessa att data som annars ska vara skyddad kan läsas av en angripare. Det går däremot inte att skriva ny data, alltså stoppa in skadlig kod i systemet.

Meltdown är det kortsiktigt mest allvarliga av de två, då den är jämförelsevis enkel att utnyttja – om än framför allt i till exempel datacenter. Säkerhetshålet är dock förhållandevis rakt på sak att arbeta runt via uppdaterad mjukvara. Det samma gäller Spectre variant 1, som visserligen går att utnyttja via till exempel Javascript i en webbläsare men samtidigt är enkelt att plugga igen med uppdateringar.

Spectre variant 2 är mycket svårare för en angripare att komma åt. Däremot är sårbarheten mer kritisk på lång sikt, då den är betydligt mer komplex att åtgärda och dessutom finns i äldre system som sedan länge tappat all form av support.

Är min dator eller telefon drabbad?

Sannolikt, ja. Säkerhetshålet Meltdown finns i alla Intel-processorer från det senaste decenniet, vilket innebär en stor del av moderna datorer, samt i en del äldre ARM-lösningar för mobiltelefoner. Konkurrenten AMD klarar sig markant bättre, där företaget menar att inga processorer är mottagliga för Meltdown.

Närliggande Spectre finns även det i Intel-processorer, men också i modeller från AMD och ARM. Även här är det dock skillnader, där Intel-varianter hamnar mest i skottgluggen och drabbas hårdare. Där Spectre variant 1 kan lösas i mjukvara för både AMD och Intel är det annorlunda med variant 2. Här finns bevisade attackvägar mot Intel, samtidigt som angrepp mot AMD ännu inte kunnat användas praktiskt.

Spelar det någon roll vilket system jag har – Windows, Mac OS, Linux, IOS, Android?

Nej. Säkerhetshålen finns direkt i hårdvaran. Vilket system du använder kvittar, de underliggande problemen finns kvar. Däremot går de att arbeta runt med hjälp av uppdaterad mjukvara, vilket leder till nästa fråga.

IMG_20180104_093034.jpg

Vad kan jag göra för att skydda mig?

Kort och gott, installera den senaste mjukvaran via till exempel Windows Update. För Meltdown finns uppdateringar ute till bland annat Windows, MacOS och Linux.

För Spectre finns i dagsläget ingen heltäckande lösning. Vissa delar går att täppa till via mjukvara, andra kräver sannolikt en ny generation av hårdvara. Det gäller speciellt Intels processorer, vilka drabbas hårdast av säkerhetshålet.

Bästa möjliga skydd kräver också att själva hårdvarans inbyggda mjukvara, via till exempel BIOS eller UEFI, uppdateras. Kontakta din tillverkare eller läs i manualen för att ta reda på exakt hur det går till.

Summa summarum – håll alltid din dator och din telefon uppdaterad! Det gäller både själva operativsystemet – Windows, Mac OS et cetera – och program som webbläsare eller antivirus.

Vad får uppdateringarna för sidoeffekter?

En tumregel är att behöver frågan "kommer jag tappa märkbart med prestanda?" ställas är svaret sannolikt nej. Uppdateringen mot Meltdown kommer av allt att döma inte göra vanliga Windows 10-användares datorer märkbart långsammare, utan drabbar främst till exempel datacenter.

Siffror talar om "upp till 30 procent" prestandaförlust för användare med Intel-processorer, men preliminära tester tyder på att detta är i överkant för vanliga konsumenter. När det kommer till spel, kontorsprogram och surfande bör det stora flertalet inte märka av något tapp. Användare med AMD-processorer ska förlora lite eller ingen prestanda av uppdateringen mot Meltdown.

Undantag finns dock. Microsoft menar att de de som kör Windows 7 alternativt Windows 8 i kombination med en lite äldre Intel-processor – generation Haswell eller tidigare – drabbas hårdare. Där handlar det enligt företaget om prestandaförlust som en majoritet av användarna kan känna av.

Prestandapåverkan

Intel Skylake eller nyare

Intel Haswell eller äldre

Windows 10

Marginell

Liten

Windows 8

Liten*

Märkbar

Windows 7

Liten*

Märkbar

* – Microsoft anger inga konkreta uppgifter. Sett till övrig teknisk data bör prestandapåverkan dock bli större än för Windows 10, men mindre än om Haswell eller ändre används.

Hjälper det om jag köper en ny dator (eller telefon)?

Datorer med moderna processorer från AMD är mindre känsliga för de upptäckta säkerhetshålen. Lösningen är dock temporär, problem som Meltdown och Spectre hittas hela tiden – om än inte fullt så allvarliga. Datorer och telefoner är lika beroende av mjukvara som av hårdvara. Uppdateras dessa inte kontinuerligt blir de förr eller senare osäkra, oavsett vilka komponenter som sitter under skalet.

Återigen, den bästa lösningen för vanliga användare är att regelbundet installera uppdateringar. Det gäller allt från operativsystem till program som webbläsare, samt inbyggd mjukvara i komponenter (firmware).

Med det sagt är långt ifrån alla uppdateringar felfria. Eventuella problem åtgärdas dock i de allra flesta fall med nästkommande version.

Behöver jag vara orolig?

Egentligen inte. Meltdown och Spectre är visserligen enorma säkerhetsluckor som bygger på grundläggande designproblem i modern hårdvara, men samtidigt svåra att utnyttja. Det vanliga användare ska göra är dock att hålla sin hårdvara och mjukvara uppdaterad – ett allmänt tips som alltid gäller.

Senaste versionen av alla mjukvaror kommer täppa till de problem som går, och övriga är mycket svåra att komma åt utan direkt tillgång till din dator eller telefon.

För att hamra in mantrat, installera eventuella uppdateringar, löpande. Det gäller operativsystem, hårdvara, antivirus, webbläsare och andra program. Även om vissa nya mjukvaror för med sig nya problem är det svårt eller omöjligt för icke insatta att hålla reda på alla turer. Att hela tiden ha färska versioner är rätt val för de allra flesta.

Mer att läsa om Meltdown och Spectre

meltdown.png

Stort tack till alla medlemmar som hjälpte till med förslag och korrektur inför den här artikeln!

Kommentarer till artikeln

128 debattinlägg

Skicka en rättelse
11

Forumet: Hur påverkar GDPR din arbetsplats?

EU:s dataskyddsförordning GDPR träder i kraft den 25 maj och innebär en hel del förändringar i hur personuppgifter lagras och stärker individens rättigheter. Hur kommer dataskyddsreformen implementeras på ditt jobb? Läs mer

16

AMD ger processorer och grafikkort stöd för att strömma video i 4K och HDR under 2018

Senare under året får processorer och grafikkort från AMD stöd för att strömma video i 4K och HDR via Netflix, något som i dagsläget endast är möjligt med hårdvara från Intel och Nvidia. Läs mer

54

Google avslöjar säkerhetshål i Microsoft Edge

Googles Project Zero går nu ut med information om ett nytt säkerhetshål i webbläsaren Edge. Microsoft har meddelat att sårbarheten kommer åtgärdas i en kommande uppdatering. Läs mer

98

Forumet: Tips på spel att spela på jobbet

Har du några bra tips på spela att spela när man har lite tid att döda på jobbet? Gå med i forumdiskussionen och dela med dig! Läs mer

52

Centerpartiet vill införa hemvärn mot cyberattacker

För att öka beredskapen mot cyberattacker vill Centerpartiet införa ett cyberhemvärn, där experter och it-kunniga ska kunna hjälpa till och dela med sig av kunskap vid behov. Läs mer

23

Nightdive Studios pausar utvecklingen av System Shock

Nytolkningen av System Shock skjuts nu upp ytterligare, och denna gång på obestämd tid. Detta då ambitionen och budgeten växt och utvecklarna behöver tid för att omvärdera arbetet. Läs mer

20

Theme Hospital-inspirerade Two Point Hospital visas i nytt videoklipp

Tidigare under året avtäcktes Two Point Hospital, som är en tematisk uppföljare till Theme Hospital. I ett nytt videoklipp ger nu utvecklarna en första titt på spelet. Läs mer

126

Coop säger upp avtalet med Postnord

Importavgifter och sena leveranser har stått på tapeten för Postnord på sistone. Nu kan ett avslutat avtal med Coop adderas till listan, då matkedjan anser att ersättningen är för låg. Läs mer

47

AMD skickar ut processorer gratis för UEFI-uppdatering

Nylanserade Raven Ridge för stationärt bruk är kompatibel med sockel AM4, men många moderkort kräver en uppdatering. AMD bidrar med processorer för flashningen. Läs mer

13

Overwatch-inspirerat bygge i galleriet

Medlemmen och moddaren "Corsair Johan" visar sitt bygge 46OW, som är inspirerat av Blizzards förstapersonsskjutare Overwatch. Läs mer

60

Guide: Kom igång med vattenkylning

Har du undrat vad vattenkylning är och hur själva monteringen går till? Häng med när testpiloten Kalle "Flamso" Nilsson delar med sig av sina tips från planering till utförande. Läs mer

48

AMD "Pinnacle Ridge" kommer med fastlödd värmespridare

AMD:s nylanserade Raven Ridge saknar fastlödd värmespridare, vilket väckt spekulationer gällande Ryzen 2. Nu meddelar dock företaget att detta inte gäller framtida generationer. Läs mer