Meltdown en Spectre: geen risico voor klanten Pivoton

 

Op 4 januari werd de wereld opgeschrikt door meldingen over 2 beveiligingslekken die vrijwel alle computers, smartphones, tablets en slimme thuisapparaten treffen: ook wel Meltdown en Spectre genoemd. Meltdown treft processors van Intel en Spectre is een beveiligingsfout die ook chips van AMD en ARM treft.

Deze bugs kunnen ervoor zorgen dat hackers toegang krijgen tot het kernelgeheugen van de computer. Hierdoor kunnen ze toegang krijgen tot gevoelige gegevens zoals privésleutels en wachtwoorden.

Uiteraard heeft Pivoton onmiddellijk actie ondernomen en zijn de patches van Microsoft direct uitgerold op de kantoorwerkplekken nadat ze beschikbaar waren gekomen. Het lek is absoluut een groot probleem, en dan met name voor shared datacenters (denk aan Azure of Amazon) omdat het via dit lek mogelijk is gegevens te verzamelen van andere omgevingen. Echter staat de gehele infrastructuur van de Pivoton product suite bewust op geheel eigen hardware en wordt niet deze geshared met andere partijen. Ofwel er is geen risico dat andere partijen via dit lek vanuit de ene omgeving naar onze omgeving kunnen kijken. Naar verwachting heeft dit lek dan ook geen impact op onze productsuite.

De infrastructuur is volledig gevirtualiseerd. Dit wil zeggen dat de servers niet rechtstreeks aan hardware zijn gekoppeld. Er tussen zit een VMWare laag. Wanneer VMware alle informatie beschikbaar heeft gesteld over de impact voor hun software zal deze worden bestudeerd en waar nodig geüpdate. Hetzelfde geldt voor de hardware. Het patchen van hardware en VMWare kan worden uitgevoerd zonder dat daar downtime voor nodig is. Er is wel enige terughoudendheid met het patchen van de besturingssystemen op onze virtuele servers i.v.m. met mogelijke performance degradatie die kan optreden afgezet tegen het lage risico doordat de omgeving volledig geïsoleerd is.

Uiteraard volgen wij de ontwikkelingen met betrekking tot deze bugs op de voet.