Meltdown en Spectre lekken in Windows, Mac en Linux: wat te doen?

Artikel laatst bijgewerkt met nieuwe informatie op 12 januari

Dinsdag is bekendgemaakt dat er in Intel processoren een enorm lek zit, dat Meltdown genaamd is. Een tweede lek, Spectre geheten, zit ook in sommige processoren van AMD en ARM. Heel veel pc's en laptops en een aantal tablets en smartphones zijn daardoor kwetsbaar voor een of meer van deze lekken - waardoor privé-informatie uit het geheugen gestolen kan worden. Voor Windows, Mac en Linux en Android en iOS zijn er - gedeeltelijke - pleisters voor de lekken. Ook web browsers zijn kwetsbaar voor deze geheugenaanvallen. [update 12 januari] En je moet je BIOS/UEFI - via je pc-fabrikant - en grafische kaart van NVIDIA updaten. Zie onderaan dit artikel nieuwe informatie hierover en een lijst met linkjes naar de BIOS/UEFI updates van jouw fabrikant.

Wat zijn het voor lekken?

Het Meltdown-lek maakt het - kort gezegd - mogelijk dat kwaadwillenden het geheugen van de kernel (het hart van het besturingssysteem) kunnen uitlezen - iets wat normaal gesproken niet zou moeten kunnen. Hierdoor kan privé-informatie - zoals wachtwoorden, codes en meer - worden gestolen.

Het Spectre-lek zorgt ervoor dat het geheugen van processen kan worden uitgelezen en dus ook hier kunnen belangrijke gegevens onderschept worden door kwaadwillenden. Het Spectre-lek is echter moeilijker uit te buiten door internet criminelen.

Wie zijn kwetsbaar?

Het Meltdown-lek zit in de processoren van Intel, dus alle computers met 'Intel inside' zijn kwetsbaar, of je nou Windows, Mac of Linux draait maakt niet uit. Ook enkele ARM-processoren voor nieuwere Android-telefoons en -tablets en iOS zijn kwetsbaar.

Het Meltdown-lek is niet heel moeilijk uit te buiten, maar er zijn nog geen actieve aanvallen bekend momenteel. Bovendien zijn er updates voor alle besturingssystemen om het lek te verhelpen of de ernst te verzachten (zie hieronder bij Wat kan ik doen?)
 
Het Spectre-lek zit behalve in Intel-processoren ook in die van AMD en sommige van ARM. En dat laatste zorgt er voor dat behalve meer computers ook mobiele apparaten getroffen zijn, zoals bijvoorbeeld veel Android-telefoons en tablets en iPhones en iPads.

De Spectre-lekken zijn zeer moeilijk uit te buiten door internet criminelen, dus voorlopig hoef je je daar nog weinig zorgen over te maken. Veel software-producenten hebben al gedeeltelijke updates beschikbaar gesteld om de problemen te verminderen, andere zijn updates aan het voorbereiden (zie hieronder).

Wat kan ik doen? Updaten!

Om je zoveel mogelijk te beschermen tegen deze lekken zul je je besturingssysteem, browser, BIOS/UEFI en drivers voor je grafische kaart (NVIDIA) moeten bijwerken naar de laatste versie. Updaten dus! De lekken staan bekend onder de volgende CVE-nummers: CVE-2017-5754 (Meltdown) en CVE-2017-5753 en CVE-2017-5715 (Spectre).

1. Windows, Mac en Linux updaten

Voor Windows 10 zijn gisteren beveiligingsupdates uitgebracht voor de Herfstmakersupdate (1709), de Makersupdate (1703) en oudere varianten die het Meltdown-lek (grotendeels) moeten dichtplakken. De ernst van de Spectre-lekken is ook verzacht.

Windows 7 heeft inmiddels vijf dagen eerder dan gepland de maandelijkse beveiligingsupdate gekregen. Windows 8.1 heeft pas een week later - tijdens de maandelijkse updates op 9 januari - bescherming gekregen tegen Meltdown en Spectre. Waarom Windows 8.1 moest wachten is onduidelijk.

Microsoft raadt verder aan om ook toekomstige firmware-updates van Intel en AMD of pc-fabrikanten als HP, Dell, Lenovo enzovoort te installeren voor betere beveiliging.

De pleisters voor Windows worden alleen aangeboden/kunnen alleen geïnstalleerd worden als de virusscanner op je pc geschikt is voor de aanpassingen die aan de kernel gedaan worden. Veel virusscanners krijgen daarom een update/hebben een update gekregen. Die zul je eerst moeten installeren voordat je de Windows Update kunt binnenhalen! Check hier of jouw virusscanner bijgewerkt is voor de Meltdown- en Spectre-updates van Windows.

[Update 10 januari]
Computers met sommige, oudere, AMD-processoren kunnen niet overweg met de update voor Windows 7 en starten niet meer op! Microsoft heeft de update voor deze processoren tijdelijk teruggetrokken.

macOS 10.13.2 heeft begin december het Meltdown-lek al deels verholpen of verzacht. Volgens de Meltdown-onderzoekers zijn er patches voor OS X (de oude naam van macOS). Apple Insider heeft bronnen binnen Apple die - net als beveiligingsonderzoeker Ionescu - stellen dat macOS 10.13.2 het Meltdown-lek grotendeels fixt en dat in macOS 10.13.3 (dat nog uit moet komen) enkele aanvullende beschermingsmaatregelen zullen zitten.

[Update 5 januari]
Apple heeft inmiddels een verklaring uitgegeven waarin het bedrijf stelt dat de ernst van het Meltdown-lek al verzacht is door macOS 10.13.2 en iOS 11.2. Voor de Spectre-lekken - die volgens Apple en anderen een stuk moeilijker uit te buiten zijn - worden de komende dagen updates uitgebracht voor macOS, iOS en browser Safari.

[Update 9 januari]
Apple heeft een aanvullende update voor macOS High Sierra 10.13.2 uitgebracht die extra beveiligingsmaatregelen neemt tegen de Spectre-lekken in de Intel-chips in Macs, iMacs en MacBooks.

Voor de diverse Linux-distributies zijn updates uitgebracht - of komen binnenkort updates uit - die de kwetsbaarheden oplossen. Ubuntu en Linux Mint hebben op 9 en 10 januari updates uitgebracht.

Voor Android plakken de maandelijkse beveiligingsupdates van januari 2018 zowel de Meltdown- als Spectre-lekken dicht. Of en wanneer deze op jouw Android-toestel komen hangt van de fabrikant af. (Gevorderden kunnen bij ARM opzoeken of de processor in hun Android-toestel op deze lijst voorkomt en wat dan de kwetsbaarheid zou zijn).

2. Ook browsers krijgen updates!

Behalve je besturingssysteem zul je ook je browsers moeten bijwerken! Aanvallen die misbruik maken van Meltdown en Spectre zijn ook mogelijk via je browser. Criminelen kunnen proberen om - met kwaadaardige JavaScript-code op websites - gegegevens uit het browsergeheugen te stelen. Op die manier zouden kwaadwillenden wachtwoorden en codes buit kunnen maken.

Microsoft heeft eergisteren beveiligingsupdates voor Windows 10 uitgegeven waarin ook de 'Meltdown- en Spectre-lekken' in Edge en Internet Explorer grotendeels verholpen worden.

Mozilla heeft gisteren Firefox 57.0.4 uitgebracht dat de lekken oplost.

Apple heeft op 9 januari een update voor macOS uitgebracht die extra beveiliging brengt voor browser Safari (en zijn WebKit-engine) tegen de Spectre-lekken.

Google zal op 23 januari Chrome 64 uitbrengen.

3. Firmware updates BIOS en UEFI

Intel en AMD hebben samen met pc-fabrikanten als Dell, HP, Lenovo en anderen firmware-updates uitgebracht voor de lekken, of brengen die de komende weken uit (meestal in januari of februari). De lekken zitten namelijk in de processoren van Intel en AMD en deze kunnen worden verholpen of verzacht via BIOS-updates (bij het opstarten van je pc kun je in de BIOS komen). Intel stelt dat pc's van de laatste vijf jaar een BIOS/UEFI update krijgen. Microsoft raadt ook aan om voor optimale beveiliging de BIOS/UEFI updates te installeren. AMD stelt de komende weken ook microcode updates voor zijn processoren beschikbaar die via pc-fabrikanten en/of Windows Update en Linux updates te downloaden zijn.

Om helemaal veilig te zijn moet je de updates voor je besturingssysteem én de firmware-updates voor BIOS/UEFI installeren. Installeer eerst de beveiligingsupdates voor Windows of Linux (zie hierboven) en dan pas de firmware-updates! (Voor Mac zijn er geen firmware-updates).

Wij geven van een aantal pc-fabrikanten de pagina waarop je de BIOS/UEFI updates kunt downloaden. Kies het exacte model van je pc uit de soms lange lijst en volg nauwgezet de instructies van de fabrikant (of liever: laat de update door gevorderden of professionals uitvoeren)!

Bekijk hier de BIOS/UEFI updates van:
Dell
HP
ASUS (updates)
IBM (updates)
Lenovo (scroll naar beneden voor updates)
ACER (nog geen updates beschikbaar)

> Of zoek hier de BIOS/UEFI updates van je pc fabrikant op in de lijst die Microsoft geeft
(Acer, ASUS, Dell, Fujitsu, HP, Lenovo, LG, Panasonic, Samsung, Surface, Toshiba, Vaio)

Als er nog geen BIOS-update aanwezig is kan die voor nieuwere modellen nog komen (zie de datum die vaak genoemd wordt). Oudere pc's (vijf jaar of ouder) worden vaak niet meer bijgewerkt.

4. Updates voor grafische kaarten

NVIDIA heeft updates van zijn grafische drivers uitgebracht die moeten beschermen tegen de kwetsbaarheden in Intel- en AMD-processoren. Je kunt dus checken of er updates voor jouw model NVIDIA-videokaart zijn (kies het juiste model!).

Deel dit artikel: 

Reacties

Kan update KB4056892 niet instaleren mislukt elke keer.Weet iemand een oplossing

Dit stukje tekst is inmiddels toegevoegd aan het artikel over KB4056892:
Microsoft waarschuwt voor mogelijke problemen bij deze update: lees de instructies onderaan deze pagina van Microsoft. Ook wordt de update bij mensen met bepaalde niet-compatibele virusscanners niet geïnstalleerd! De anti-virus software zal in die gevallen eerst een update moeten krijgen voordat KB4056892 geïnstalleerd kan worden: dit komt doordat deze update ingrijpt op de wijze waarop virusscanners gebruik kunnen maken van het kernel-geheugen.

Wellicht is dat de verklaring.

Hallo Rinus,
Ik heb 2 linken voor je hier onderstaan:
https://www.microsoft.com...
https://www.catalog.updat...
Typ precies het KB4056892 in het zoekveld en klik op het vergrootglas of
Je moet ook weten welk OS en welk bit je hebt. Succes!

Wil eens een open vraag stellen, puur uit onwetendheid. Ik hoorde vanavond ook over dat vrijwel alle bekende processors, dus ook van Intel, ineens kwetsbaar zouden zijn voor kwaadwillenden. Nu de vraag. In hoeverre beschermt dan een zwaar Internet security pakket, zoals Bitdefender internet security, de processor? Ligt er geen schil omheen?

De processor wordt, althans mag ik aannemen, toch ook beschermd door het antivirus pakket, van welk merk dan ook? Of wordt dit belangrijkste computeronderdeel niet in de bescherming meegenomen? Wellicht een domme vraag, maar heb er te weinig kennis van...

per toeval dit artikel tegengekomen.
https://www.hln.be/ihln/m...

Tja; bedankt voor het artikel, Lemmort! Het is nog erger dan ik al dacht, las ik. Hoe bestaat het? Als je als argeloze computergebruiker mocht denken dat je alles nu zo goed mogelijk hebt ´´dichtgetimmerd´´, is er blijkbaar toch op slinkse wijze toegang tot je systeem mogelijk? Dit is toch wel een heel erg bizar z.g. kat en muis spelletje aan het worden, zeg! Afwachten maar hoe e.e.a. zich gaat ontwikkelen? Goed dat het ontdekt is! Nu de oplossing. Softwarematig, via antiviruspakket, zou kunnen, maar afdoende? Wow...

ondeskundig antwoord van mij: er leren mee leven denk ik zo, je privacy is n.l. een deel van velen geworden.

Kennelijk moet het OS aangepast worden, met een update, om bescherming te bieden en volstaat een virusscanner kennelijk niet.

Beste forum.Noch de beste wensen trouwens.een tip om de kb4056892 op je pc te zetten,Zet windows Defender op je pc en binnen een uur had ik binnen 10 minuten probleemloos de update erop.Had eerst NORTON erop maar de update kwam geeneens binnen.Maar met windows defender lukte het me wel.Het is dan ook van Microsoft dus als die het niet weten.Tot zover mijn tip.Groetjes,Leon.

Als je NORTON een keer handmatig update komt de KB4056892 wel binnen.

Bedankt voor de tip.a

Kan nog steeds KB4056892 niet instaleren foutief 0x80070bc2.hoe moet ik dit oplossen.

probleemoplosser W10: https://support.microsoft...

succes

updates voor Windows 7: https://tinyurl.com/ybpznpq7
updates voor Windows 8: https://tinyurl.com/y6vp4opk

goedemiddag mijn pc vind de update niet KB4056892 hoe los ik dit op ? heb windows 10

Kijk eens bij geschiedenis van geinstalleerde updates en zo niet draai dan deze probleemoploser erst eens en probeer daarna de updates te laten zoeken

Als je een andere virusscanner dan defender van microsoft gebruikt kun je die uit zetten en het dan proberen.

hoi hasje bedankt maar het heeft niet geholpen hij staat zoiezo niet op me pc heb probleemoplosser gedaan anti-virus uit gezet maar vind geen update en me laatste update is van 16-12-2017 kb4058043 denk dat ik maandag maar even contact opneem met microsoft hoe ik dit kan oplossen ten zij er iemand is op deze site die misschien een oplossing heeft

Een andere zou je kunnen proberen: http://www.thewindowsclub...

Wat zeg je me hiervan? Dit probleem was in juni vorig jaar al geconstateerd. Men heeft het al die tijd verzwegen om op een later tijdstip dit te verhelpen. Kennelijk is het uitgelekt en wordt er nu haast mee gemaakt.

Dus daarom waren die updates (MS) zo snel voorhanden, het verbaasde me al dat die volgende dag al klaar waren.

Als ik er alles over lees is dit geen Virus al zouden die lekken er wel gebruikt kunnen worden.
Deze Processor gaten zitten er al 22 jaar in (1995) dus waarschijnlijk ook nooit ontdekt door Hackers.
Nee Google ontdekte ze vorig jaar juni en lichte direct alle Proccersor fabrikanten en ook Microsoft Apple en anderen in die de bewuste Processors gebruikten.
Om geen slapende honden wakker te maken (Hackers) is het maanden lang stil gebleven tot het kort geleden uitlekte.

Maar het klopt niet dat die Lekken er pas 6 maanden inzaten nee al met al vanaf Windows 95 tot nu.
Het kan dat met geluk niet 1 Hacker dit zag en nog een geluk dat Google ze wel opspoorde en de fabrikanten inlichte.
Geen idee hoe dit afloopt maar voorlopig nog geen paniek en gewoon blijven Updaten.

Al lees ik berichten dat ook Cyberaanvallen door die fouten in het diepste van je Processor wel uitgevoerd konden worden.
Maar ja we moeten het er mee doen.

Ik krijg bij windowsupdate de desbetreffende update niet aangeboden. Ik wacht wel tot hij aangeboden krijg va de update.

Zojuist hier binnengekregen en automatisch geïnstalleerd.

Oudere pc's (vijf jaar of ouder) worden vaak niet meer bijgewerkt.
Dat heb ik gemerkt. Nou, dan maar niet. Zo gevaarlijk is het Spectre-lek ook weer niet.

Reageren

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong>
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
  • Regels en alinea's worden automatisch gesplitst.
Controlevraag tegen spam
noor_egen