Derfor vil processor-sårbarhederne Spectre og Meltdown plage os i månedsvis

Klumme: Sårbarhederne Meltdown og Spectre rammer de mest udbredte processortyper og vil tage tid at få styr på.

Artikel top billede

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Klumme: Året begyndte med et par sårbarheder, som vi kommer til at beskæftige os med i de kommende måneder: Meltdown og Spectre.

Det drejer sig om sårbarheder i de processorer, der indgår i computere, smartphones og andet udstyr omkring os. Dele af dem kan rettes i software, andre kræver hardwareopdateringer.

Både Meltdown og Spectre ligger i processorens mulighed for at forsøge at forudsige, hvad et program vil gøre senere.
Moderne processorer er lynhurtige. Det meste af tiden venter de på at få data at arbejde med.

Ventetiden udnytter de til at afvikle kommandoer, der kommer senere i det program, de er ved at udføre.

Det kan være kommandoer, der kommer efter en valgmulighed: Hvis svaret er ja, skal denne kommando udføres, ellers skal den springes over.

Når en processor på den måde forsøger at afvikle kode, vil den som regel også arbejde med data. Men den forsøgsvise afvikling må naturligvis ikke få indflydelse på data, før det er helt sikkert, at kommandoerne rent faktisk skal gennemføres.

Snuser i cachen

Vor tids processorer henter deres data fra cache-lageret, der igen henter dem fra arbejdslageret.

Sårbarhederne ligger i, at det efterlader spor i cachen, når processoren forsøgsvis afvikler kommandoer. Dermed kan en proces få adgang til data, der tilhører en anden proces.

Meltdown giver således en uprivilegeret proces mulighed for at tilgå data, der tilhører operativsystemets kerne. Det burde ellers være forbudt.

En angriber kan lade processoren afvikle et program, der forsøger at hente data fra kernens dataområde. Derefter skal det skrive en bestemt variabel, hvis en del af de hentede data opfylder et kriterium.

Den indbyggede sikkerhed i processoren forhindrer, at programmet kan køre: Det må ikke tilgå data, der tilhører kernen.

Men sikkerhedssystemet forhindrer ikke, at processoren forsøgsvis prøver at afvikle kommandoerne. Det sørger heller ikke for at slette de foreløbige data, som bliver gemt i cachen.

Derefter prøver det skurkagtige program at læse den variabel, det bad om at få skrevet. Det tager tid på operationen.
Går det hurtigt, blev variablen hentet fra cachen. Det er tegn på, at kriteriet var opfyldt – for eksempel at en bestemt værdi fandtes et sted i kerne-dataene.

Tager det længere tid at hente variablen, findes den ikke i cachen, så kriteriet var øjensynlig ikke opfyldt.

Et side channel-angreb

Der er altså tale om et såkaldt side channel-angreb, hvor man ikke direkte kan tilgå fortrolige data. Men ved at observere andre fakta kan man slutte sig til, hvad de fortrolige data er.

Spectre bygger på lignende metoder. Her er det muligt for en proces at få fat i data fra andre processer.

Man kan beskytte mod Meltdown ved at installere opdateringer til operativsystemet.

Spectre kræver derimod en firmwareopdatering.

Intel udsendte opdateringer tidligere på måneden. Men de viste sig at medføre problemer: Nogle computere begyndte at genstarte.

Firmaet har fundet årsagen til problemerne, og en ny firmware-opdatering skulle være på trapperne.

Vurder risikoen

Før vi går i panik over Meltdown og Spectre, må vi overveje risikobilledet. Hvor realistisk er en fjendtlig udnyttelse af sårbarhederne?

Der er tale om sårbarheder, der kan give adgang til fortrolige data. Vi taler altså ikke om mulighed for at afvikle skadelig programkode.

For at få adgang til dataene skal en proces køre på den sårbare computer. Hvis vi har styr på, hvilken software der kører, kan vi forhindre udnyttelse af sårbarhederne.

Det sidste er sværere, end det lyder. Afvikling af software er blevet et vidt begreb. Kan en webside for eksempel udnytte sårbarheden via Javascript afviklet i en browser?

Risikoen er lille på servere, der kun afvikler en enkelt applikation. Den typiske mail- eller filserver er således ikke i risikozonen – medmindre den kører på sårbar virtualiseringsinfrastruktur.

Netop virtualiserede systemer er oplagte angrebsmål: Hvis angriberen kan afvikle kode på en virtuel maskine, kan koden tilgå data fra andre virtuelle maskiner.

Dermed er cloud-systemer mulige ofre. De store udbydere har da også været hurtige til at opdatere deres systemer.
Svært at rette hardware

Der opdages tusindvis af nye sårbarheder hvert år. Når Meltdown og Spectre vækker så megen opmærksomhed, skyldes det, at de findes i hardware, som er meget udbredt. Derfor er mange potentielt berørt.

Endvidere er det vanskeligt at lukke sikkerhedshuller i hardware: Rettelserne skal distribueres gennem computerproducenterne, der skal få deres kunder til at opdatere firmwaren.

Derfor kommer vi til at beskæftige os med Meltdown og Spectre i adskillige måneder endnu.

Sikkerhedsopdateringerne kan medføre, at systemer kører langsommere. Derfor er det værd at foretage en risikovurdering, før man installerer dem.

Mit råd lyder: Sæt jer ind i sårbarhederne og den skade, de kan medføre. Foretag en risikovurdering, og brug den som grundlag for at beslutte, hvad I skal gøre.

Læs også:

Patch-kaos hos pc-giganter: Både HP og Dell trækker Meltdown og Spectre-opdateringer tilbage

Spectre-opdatering får computere i hundredetusindevis til at genstarte konstant: Er du ramt?

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Faktuelle oplysninger er klummeskribentens ansvar og synspunkterne er alene udtryk for klummeskribentens holdning.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura