Achtergrond: Dit weten we over beveiligingslekken Meltdown en Spectre

De grote beveiligingslekken Meltdown en Spectre werden op donderdag 4 januari bekend. De kwetsbaarheden schuilen in vrijwel alle computers. Wat moet je weten en wat kun je ertegen doen?

Wat is Meltdown?

Meltdown doorbreekt de afscherming tussen programma's van gebruikers en het besturingssysteem. Door middel van een aanval kunnen kwaadwillenden toegang krijgen tot het computergeheugen, waarin onder meer wachtwoorden en documenten worden bewaard.

Veel processors van Intel sinds 1995 blijken kwetsbaar. Deze chips worden in veel computers en in servers van clouddiensten gebruikt.

De bug werd door drie groepen ontdekt door de universiteit van Graz in Oostenrijk, het Duitse bedrijf Cerberus Security en door Project Zero, het team van Google dat kwetsbaarheden onderzoekt.

Wat is Spectre?

Spectre wordt door onderzoekers een hardnekkige kwetsbaarheid genoemd die veel lastiger is op te lossen, maar die ook een stuk lastiger is te misbruiken.

Deze bug werkt iets anders dan Meltdown. Spectre kan hackers toegang geven tot het geheugen dat door andere programma's gebruikt wordt. Op die manier is toegang tot wachtwoorden en gevoelige informatie mogelijk.

De omvang van Spectre is in theorie groter, omdat het niet alleen chips van Intel treft, maar ook processors van ARM en AMD. Spectre treft daarmee niet alleen computers, maar ook smartphones en tablets.

Wat betekent het voor gebruikers?

De kwetsbaarheden kunnen er voor zorgen dat hackers toegang krijgen tot belangrijke, persoonlijke informatie.

Meltdown kan voor gebruikers problemen opleveren als kwaadwillenden een computercode op hun computer kunnen uitvoeren. Dat zouden hackers bijvoorbeeld kunnen doen door een phishingmail met malware te sturen, die wordt geïnstalleerd als de gebruiker erop klikt.

Voor Spectre zijn meer stappen benodigd om het lek te misbruiken. Daardoor lopen gebruikers op dit moment nog veel minder risico om hierdoor te worden getroffen.

Lopen mensen gevaar?

Het is niet duidelijk of er al misbruik van de bugs is gemaakt. Verschillende onderzoekers hebben de kwetsbaarheden ontdekt en uitgeprobeerd, maar hebben daarbij geen slachtoffers gemaakt.

Zolang mensen niet updaten, blijven ze vatbaar voor Meltdown. Maar ook Spectre kan nog lange tijd voor problemen zorgen, vooral omdat daar nog geen oplossingen voor zijn bedacht. Hoe en of kwaadwillenden daarmee omgaan, is echter afwachten.

Wat zijn de oplossingen?

Grote techbedrijven hebben gezegd op te treden tegen Meltdown. Chipfabrikant Intel heeft gezegd dat zijn 90 procent van zijn processors van de afgelopen vijf jaar voor eind volgende week geüpdatet moet zijn met een oplossing.

Bedrijven als Microsoft, Apple en Amazon hebben inmiddels updates voor klanten uitgerold om het beveiligingslek Meltdown te dichten.

De belangrijkste tip voor gebruikers is om altijd updates te installeren voor programma's en besturingssystemen. Die bieden niet alleen nieuwe functies, maar lossen vaak ook bugs en beveiligingsproblemen op.

Voor Mac-gebruikers is het zaak om macOS 10.13.2 te installeren. Voor iOS gaat het om versie 11.2. Daarnaast raadt Apple aan om altijd apps te downloaden via de officiële App Store.

Daarnaast is voor Windows deze update te downloaden. Op Android is ook een beveiligingsupdate uitgebracht, maar het is aan fabrikanten de taak om die uit te rollen naar toestellen van gebruikers.

Blijf ook op de hoede bij vage mailtjes. Open nooit een bijlage of linkje van een afzender die je niet vertrouwt.

Voor Spectre zijn er nog geen oplossingen. Daarvoor is de oplossing eigenlijk alleen om hardware te vervangen door chips die de kwetsbaarheid niet hebben.

Worden computers trager van de updates?

Nadat de beveiligingslekken werden ontdekt, kwamen de eerste schattingen van onderzoekers die stelden dat oplossingen ervoor zorgden dat computers vijf tot dertig procent trager maken. In de praktijk is er geen vertraging te merken voor de gemiddelde gebruiker, stelt Intel.

Ook Amazon en Google stellen dat er geen significante vertragingen zijn waargenomen na doorvoeren van de oplossing. Apple stelde eveneens geen verslechtering in prestaties te hebben gezien.

De website PCGamer vergeleek de impact van de oplossingen op de werking van games. De prestaties voor en na de updates zijn volgens dit onderzoek verwaarloosbaar.

Lees meer over:
Tip de redactie