En bug i Intel-chips har foranlediget omfattende opdateringer til Linux- og Windows-styresystemer, oplyser The Register.
Der skulle være tale om en bug, der udgør en sikkerhedsmæssig sårbarhed.
De nærmere detaljer om sårbarheden er foreløbigt under embargo. Ifølge The Register skulle detaljerne blive afsløret i løbet af denne måned.
Mediet gætter på, detaljerne kan blive afsløret i forbindelse med Microsofts månedlige udrulning af Windows-opdateringer, der efter planen finder sted tirsdag i næste uge.
Der er ganske vist frigivet patches til Linux-kernen, hvor alle kan kigge med. Men The Register bemærker, at kommentarerne i kildekoden er censurerede for at gøre det vanskeligt at gennemskue detaljerne.
Selvom det er sparsomt med officielle detaljer om sårbarheden, så har The Register nogle bud på, hvad det nærmere kan dreje sig om. Det understreges i artiklen hos The Register, at det er spekulation.
Bug'en skulle ifølge mediet berøre moderne Intel-processorer produceret i løbet af det seneste årti. Og den skulle gøre det muligt for brugerkode - det vil sige alt fra databaser til javascript i en browser - at udlede layout eller indhold af beskyttede hukommelsesområder, som styresystemets kerne anvender.
Løsningen skulle ifølge The Register være at separere kernens hukommelse fuldstændigt fra de hukommelsesområder, som bruger-programmerne anvender. Teknikken kaldes Kernel Page Table Isolation eller KPTI.
Med denne adskillelse følger dog ifølge The Register et tab i performance. Hvor stort dette tab vil være, er uvist. Mediet nævner op til op til 30 procent alt efter, hvilken opgave der er tale om.
To scenarier
I forhold til hvordan sårbarheden konkret vil kunne udnyttes, så opridser The Register to scenarier.
I bedste tilfælde så vil malware eller hackere muligvis som følge af bug'en have lettere ved at udnytte andre sårbarheder i systemet. Dette scenarie forudsætter, at bug'en kan bruges til at omgå det, der i Linux kaldes Kernel Address Space Layout Randomization (KASLR).
Det er en forsvarsmekanisme, som placerer elementer af kernen i tilfældige hukommelsesområder under hver opstart. Mekanismen kan gøre det svært at udnytte andre sårbarheder, der beror på, at kerne-elementer befinder sig i kendte hukommelsesområder.
I det andet scenarie, som The Register opridser, så kan bug'en måske gøre det muligt for en indlogget bruger eller eksempelvis et javascript i en browser at læse indhold i kernens ellers utilgængelige hukommelsesområde. Og det er skidt, da dette område kan indeholde kodeord, cachede filer og lignende indhold.
The Register peger i den forbindelse på, at ændringerne i forhold til Linux og Windows er omfattende, og at de bliver skubbet hurtigt ud. Og det mener mediet kunne tyde på, at der ikke ‘bare’ er tale om, at KASLR kan omgås.
Cloud-leverandører gør klar til opdateringer
Bug'en lader også til at påvirke flere store cloud-leverandører, oplyser The Register på baggrund af et blogindlæg fra en udvikler, der kalder sig Python Sweetness.
Både Microsoft og Amazon har således meldt ud, at der er opdateringer på vej til virksomhedernes respektive cloud-tjenester. Og disse opdateringer relaterer sig i The Registers udlægning formodentlig til Intel-bug'en.
Det britiske medie kan desuden berette, at der omkring slutningen af 2017 florerede rygter om en alvorlig hypervisor-bug. Altså den teknologi, som virtuelle maskiner - i eksempelvis en cloud-tjeneste - kører ovenpå. The Register peger her på, at denne hypervisor-sårbarhed og Intel-sårbarheden kan være den samme.
Det er ikke lykkedes The Register at få en kommentar til sagen fra Intel. Mediet bemærker i øvrigt til slut i artiklen, at der også er patches på vej til Linux-kernen på ARM 64-bit, som adskiller kerne-hukommelsesområdet og brugerhukommelse-området helt.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
