Windows Spectre-patches zijn er, maar u wilt misschien wachten
Om uw pc volledig tegen Spectre te beschermen, hebt u een bijgewerkte Intel-CPU-microcode nodig. Normaal gesproken wordt dit door uw pc-fabrikant geleverd via een UEFI-firmware-update, maar Microsoft biedt nu een optionele patch met de nieuwe microcode.
We denken dat de meeste mensen moeten wachten op hun pc-fabrikanten om deze update uit te rollen in plaats van te haasten om de patch van Microsoft te installeren. Maar, als u zich in het bijzonder zorgen maakt over Spectre-aanvallen, kunt u de bijgewerkte microcode van Microsoft krijgen, zelfs als uw pc-fabrikant niet van plan is om deze release vrij te geven. Microsoft-patch is alleen beschikbaar voor Windows 10.
Waarom je pc nog steeds kwetsbaar is voor Spectre
Spectre en Meltdown werden op hetzelfde moment onthuld, dus dit kan een beetje verwarrend zijn. De originele Windows-patch werd beschermd tegen de Meltdown-aanval, maar vereiste een CPU-microcode-update van Intel om volledig te beschermen tegen Spectre. Technisch gezien beschermt de microcode-update waar we het hier over hebben tegen Spectre Variant 2, "Branch Target Injection."
U kunt controleren of uw pc is beschermd tegen Spectre met de InSpectre-tool van Gibson Research Corporation. Ervan uitgaande dat u geen UEFI-firmware-update hebt geïnstalleerd van de fabrikant van uw computer of van uw moederbord, als u uw eigen computer hebt gebouwd, zult u zien dat uw computer kwetsbaar is voor Spectre. Als u die patches al hebt geïnstalleerd, geeft dit hulpprogramma aan hoeveel de patches van invloed zijn op de prestaties van uw pc.
Om de Specter-beveiliging volledig in te schakelen, hebt u nieuwe CPU-microcode van Intel nodig. CPU-microcode is in feite de firmware voor uw CPU en deze bepaalt hoe uw CPU werkt. Over het algemeen wordt nieuwe CPU-microcode geleverd via updates van de UEFI-firmware van het systeem of BIOS. Veel pc-fabrikanten hebben nog geen CPU-microcode-updates uitgebracht voor hun bestaande pc's en sommige pc's zullen mogelijk nooit updates van hun fabrikanten zien.
Om deze rommel op te lossen, heeft Microsoft met Intel samengewerkt om een andere manier te bieden om microcode-updates te krijgen. Microsoft biedt Windows-updates die nieuwe microcode-bestanden aan Windows zelf toevoegen. Wanneer Windows opstart, biedt Windows de nieuwe microcode aan de CPU. De microcode wordt gebruikt totdat uw computer wordt afgesloten.
Waarom u misschien op uw pc-fabrikant wilt wachten
Dit klinkt allemaal geweldig, maar er is één zorg: systeemstabiliteit. Intel's originele microcode-updates veroorzaakten willekeurige reboots op veel systemen. De nieuwe microcode-updates lijken stabiel en we hebben geen rapporten van wijdverspreide problemen gezien. Mogelijk neemt uw computerfabrikant echter de tijd om te controleren of de update geen problemen op uw pc veroorzaakt voordat deze voor u beschikbaar zijn.
Op de officiële documentatiepagina van Microsoft zegt Microsoft dat het "zich niet bewust is van problemen die momenteel van invloed zijn op deze update", maar ook dat u "moet overleggen met de websites van uw apparaatfabrikant en Intel over hun microcode-aanbeveling voor uw apparaat voordat u deze update toepast op uw apparaat."
Dit is een beetje een smeris, want uw pc-fabrikant zal waarschijnlijk niet aanbevelen om een microcode-update te installeren, tenzij zij degene zijn die deze aan u levert.
Dus onze aanbeveling is dat u eerst de website van uw pc-fabrikant controleert op een UEFI- of BIOS-update en indien mogelijk installeert. Als een update niet beschikbaar is en u zich niet op uw gemak voelt wachten tot er een is, kunt u overwegen Microsofts microcode-update te gebruiken.
Veel van de ergste angsten over Spectre zijn aangepakt door andere softwarepatches, waardoor deze update minder urgent is. Webbrowsers hebben bijvoorbeeld updates vrijgegeven die voorkomen dat websites Spectre via JavaScript-code gebruiken. Spectre is veel moeilijker te exploiteren dan Meltdown.
We hebben ook nog geen serieuze Spectre-exploits in het wild gezien. Dus over het algemeen raden we niet aan dit te haasten. Het is mogelijk dat Microsoft zelf misschien tijd wil hebben om deze update te testen voordat deze automatisch wordt uitgevoerd naar alle Windows-gebruikers via Windows Update, hoewel we geen idee hebben wat de toekomstplannen van Microsoft voor deze update kunnen zijn..
Sommige soorten systemen zijn echter nog steeds bijzonder kwetsbaar. Systemen die virtuele machines draaien die niet-vertrouwde code bevatten bij een cloud hosting-service, zouden vrijwel zeker de microcode-update op die systemen moeten installeren.
Hoe de microcode-updates van Microsoft te installeren
We raden niet aan dat alle Windows-gebruikers zich haasten om deze patches te installeren. Maar als u zich zorgen maakt over Spectre en u de microcode-update nu wilt, kunt u die krijgen.
Merk op dat de microcode-updates alleen beschikbaar zijn voor sommige CPU's en ze zijn alleen beschikbaar voor Windows 10 versie 1709, dat wil zeggen, de Fall Creators Update. Windows 7, Windows 8 en oudere versies van Windows 10 worden niet ondersteund. Vanaf 13 maart 2018 ondersteunt de Microsoft-patch de 6e generatie (Skylake), 7th Generation (Kaby Lake) en 8th Generation (Coffee Lake) Intel Core CPU's, evenals enkele Intel Xeon-processors.
U kunt controleren of uw CPU specifiek wordt ondersteund door het uitvoeren van de gratis InSpectre-tool die we hierboven hebben genoemd. Zoek naar de "CPUID" -regel en bezoek vervolgens de microcode-updatespagina van Intel op de website van Microsoft. Controleer of de CPUID die wordt weergegeven in InSpectre op uw computer, wordt vermeld op de Microsoft-pagina. Als dit niet het geval is, ondersteunt de Windows-update uw CPU nog niet met microcode-updates, maar mogelijk in de toekomst.
Als uw CPU wordt ondersteund en u de update nodig hebt, bijvoorbeeld als InSpectre zegt dat u niet bent beschermd tegen Spectre, kunt u de update downloaden en installeren. Deze update wordt niet automatisch op uw pc geïnstalleerd, maar moet handmatig worden gedownload via de website Update Catalog van Microsoft.
Download de patch KB4090007 op de Update Catalog-website. Zowel 64-bits als 32-bits versies zijn beschikbaar, dus download de juiste versie voor welke versie van Windows u ook hebt geïnstalleerd-x64 voor 64-bits Windows of x86 voor 32-bits Windows.
Voer het gedownloade installatiebestand uit om de microcode op uw pc te installeren. U wordt gevraagd om daarna opnieuw op te starten.
Na het installeren van de update voert u de InSpectre-tool opnieuw uit en het zou u moeten vertellen dat uw systeem is beschermd tegen Spectre.
Beeldcredits: Intel, Natascha Eibl