Beveilig Linux Mint tegen Meltdown en Spectre-kwetsbaarheden
Tegenwoordig kent iedereen de Meltdown- en Spectre-fouten die van invloed zijn op alle moderne CPU's, inclusief alle Intel CPU's van het afgelopen decennium, en bepaalde ARM64- en AMD-CPU's in het geval van Spectre. Het team achter het Linux Mint-project waarschuwt gebruikers en het geven van nuttige aanbevelingen over hoe u uw Linux Mint-machine kunt beveiligen.
Als je niet op de hoogte bent van de Meltdown- en Spectre-kwetsbaarheden, hebben we ze in detail besproken in deze twee artikelen:
- Microsoft rolt noodoplossing uit voor Meltdown en Spectre CPU-fouten
- Hier zijn Windows 7 en 8.1 fixes voor Meltdown en Spectre CPU-fouten
Kortom, door zowel Meltdown- als Spectre-kwetsbaarheden kan een proces de privégegevens van elk ander proces lezen, zelfs van buiten een virtuele machine. Dit is mogelijk dankzij Intel's implementatie van hoe hun CPU's gegevens prefetchen. Dit kan niet worden opgelost door alleen het besturingssysteem te patchen. De oplossing omvat het updaten van de OS-kernel, evenals een CPU-microcode-update en mogelijk zelfs een UEFI/BIOS/firmware-update voor sommige apparaten, om de exploits volledig te verminderen.
De belangrijkste aanbeveling is, zoals verwacht, om alle beschikbare updates voor het besturingssysteem te installeren.
Browsers
Updates omvatten de onlangs uitgebrachte Firefox 57.0.4. Deze versie van de browser heeft extra bescherming tegen de genoemde bedreigingen. Beide aanvallen zijn afhankelijk van nauwkeurige timing, dus het uitschakelen of verminderen van de precisie van verschillende tijdbronnen in Firefox helpt. Raadpleeg het volgende artikel: Firefox 57.0.4 uitgebracht met oplossing voor Meltdown- en Spectre-aanval.
Opmerking: als u een Chromium/Google Chrome-gebruiker bent, wordt de oplossing voor uw browser verwacht in de aankomende versie 64. Momenteel kunt u de browser snel beveiligen door de functie Volledige site-isolatie in te schakelen. Zie het artikel Beveilig Google Chrome tegen Meltdown en Spectre-kwetsbaarheden
De Opera-browser heeft dezelfde functie voor volledige site-isolatie. Typ het adres opera://flags/?search=enable-site-per-process in de adresbalk en schakel de vlag in om uzelf te beschermen tegen de kwetsbaarheden.
chauffeurs
De tweede suggestie voor Linux Mint-gebruikers is om NVIDIA-stuurprogramma's versie 384.111 te installeren als u de eigen stuurprogramma's gebruikt. In Linux Mint 17.x en 18.x is deze update beschikbaar in Update Manager. Gebruikers van Linux Mint Debian Edition kunnen de stuurprogramma's downloaden van de NVIDIA-website.
Linux-kernel
Het team werkt aan de release van een bijgewerkte kernel voor Linux Mint 18.x en Linux Mint 17.x. Op het moment van schrijven heeft alleen de Debian-editie van het besturingssysteem de bijgewerkte kernel, namelijk 3.16.51-3+deb8u1.
Over het algemeen bent u beschermd als u alle beschikbare updates installeert zodra ze beschikbaar zijn. Aangezien deze kwetsbaarheden kunnen worden misbruikt met alleen JavaScript in de browser, kunt u overwegen om niet-vertrouwde websites te vermijden of JavaScript uitgeschakeld of op de witte lijst te houden met behulp van add-ons zoals NoScript voor Firefox of ScriptBlock voor Google Chrome/Chromium-gebaseerde browsers.
Dat is het.