Meltdown og Spectre

CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Sist oppdatert: 08.01.2017

Hva er Meltdown og Spectre?

Den 3. januar ble en rekke sårbarheter i moderne prosessorbrikker publisert:

Variant CVE Google Project Zero Research Title Alias
Variant One CVE-2017-5753 Bounds Check Bypass Spectre
Variant Two CVE-2017-5715 Branch Target Injection Spectre
Variant Three CVE-2017-5754 Rogue Data Cache Load Meltdown

Meltdown gjelder kun brikker produsert av Intel, og omgår mekanismer som hindrer applikasjoner i å få tilgang til vilkårlig systemminne. Spectre gjelder brikker produsert av både Intel, ARM og AMD, og narrer applikasjoner til å aksessere vilkårlige lokasjoner i deres eget minnet.

Hvordan berører dette meg?

Ved å utnytte sårbarhetene kan uvedkommende stjele sensitiv informasjon fra minnet til andre programmer som for eksempel passord som du har lagret i nettleseren, eller sensitive data fra en applikasjon som kjører på samme server.

Vi ruller ut kritiske sikkerhetsoppdateringer på våre tjenester i dagene, og ukene, som kommer. Arbeidet vil bli varslet på våre statussider, hvor du også kan abonnere på driftsmeldinger. På grunn av alvorligheten, omfanget og kompleksiteten til sårbarhetene vil vi dessverre ikke være i stand til å varsle eventuelle brudd i god tid.

Kontakt Kundeservice dersom du har spørsmål rundt sårbarhetene, og hvordan vi håndterer disse for dine tjenester.
Du finner ytterligere bakgrunnsinformasjon her:

https://meltdownattack.com/
https://googleprojectzero.blogspot.no/2018/01/reading-privileged-memory-with-side.html
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)
https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)
Chat