2018-01-08

Sårbarhet i processorers design - Meltdown och Spectre

Spectre och Meltdown är förvisso IT-säkerhetsfrågor, men konsekvenserna anses så långtgående att information publiceras även på informationssäkerhet.se.

I en säkerhetsrapport producerad av Google påvisas sårbarheter i Intel, AMD och ARM-baserade system som gör det möjligt att extrahera information från skyddade delar av minnet.

Sårbarheterna som är döpta till Meltdown (CVE-2017-5754) och Spectre (CVE-2017-5715, CVE-2017-5753)gör det möjligt att läsa fritt från minnet, även från skyddade delar, vilket gör det möjligt för en angripare att extrahera känsligt information från ett system, som exempelvis krypteringsnycklar, lösenord eller annan känslig information. Det är även möjligt att från virtuell server extrahera minne från värdsystemet, vilket gör att ett gästsystem kan komma åt minnet i hela virtualiseringsmiljön, och därmed kunna extrahera information från en annan virtuell server på samma värdsystem.

Mer information finns på https://spectreattack.com/

CERT-SE följer utvecklingen denna "kernel side-channel-attack" och publicerar  information på sin webbsajt.

Publicerad: 2018-01-08
Uppdaterad: 2018-01-16
Skribent: Redaktionen
Innehållsansvarig: MSB