Baru-baru ini telah ditemukan serangan untuk dua kerentanan yang menyerang prosesor yang disebut serangan Meltdown dan Spectre. Sementara itu, para vendor sedang berusaha mengeluarkan patch untuk kerentanan pada produknya.
Kerentanan ini berlaku untuk semua prosesor modern dan mempengaruhi hampir semua sistem operasi (Windows, Linux, Android, iOS, MacOS, FreeBSD, dan banyak lagi) serta smartphone dan perangkat komputasi lainnya yang dibuat dalam 20 tahun terakhir.
Apa itu Meltdown dan Spectre?
Seperti yang telah dibahas sebelumnya, tentang Meltdown (CVE-2017-5754) dan Spectre (CVE-2017-5753, CVE-2017-5715), serta berita pembaruan patch yang dirilis oleh Microsoft dan beberapa OS lainnya, serta beberapa vendor prosessor mulai melakukan perbaikan terhadap produknya.
Singkatnya, Meltdown dan Spectre adalah nama kerentanan keamanan yang ditemukan di banyak prosesor dari Intel, ARM dan AMD yang memungkinkan penyerang mencuri kata sandi, kunci enkripsi dan informasi pribadi lainnya.
Cara Mengatasi Kerentanan pada CPU
Beberapa lembaga, termasuk US-CERT, telah menyarankan satu-satunya patch yang benar untuk masalah ini yang tidak lain adalah mengganti chip CPU, namun solusi ini tampaknya tidak praktis bagi pengguna umum dan kebanyakan perusahaan.
Vendor telah membuat kemajuan yang signifikan dalam meluncurkan perbaikan dan update firmware. Sementara kerentanan Meltdown sudah diperbaiki oleh kebanyakan perusahaan seperti Microsoft, Apple dan Google. Akan tetapi, Spectre tidak mudah untuk diperbaiki dan akan menghantui pengguna dalam waktu yang lama.
Berikut daftar patch yang tersedia dari produsen teknologi ternama:
1. Windows OS (7/8/10) dan Microsoft Edge/IE
Microsoft telah merilis update keamanan out-of-band (KB4056892) Windows 10 untuk mengatasi masalah Meltdown dan telah merilis patch untuk Windows 7 dan Windows 8 pada tanggal 9 Januari.
Tapi jika pengguna menjalankan perangkat lunak antivirus pihak ketiga maka mungkin sistem tidak akan menginstal patch secara otomatis. Jadi, jika pengguna mengalami kesulitan dalam menginstal pembaruan keamanan otomatis, matikan antivirus dan gunakan Windows Defender atau Microsoft Security Essentials.
“Masalah kompatibilitas ini terjadi saat aplikasi antivirus membuat panggilan tidak didukung ke memori kernel Windows,” Ujar Microsoft dalam posting blognya. “Panggilan ini dapat menyebabkan error stop (juga dikenal sebagai kesalahan blue screen) yang membuat perangkat tidak dapat melakukan booting.”
2. Apple macOS, iOS, tvOS, dan Safari Browser
Apple juga menginformasikan di websitenya bahwa, “Semua sistem Mac dan perangkat iOS terpengaruh, namun saat ini tidak ada eksploitasi yang diketahui yang berdampak pada pelanggan.”
Untuk membantu mempertahankan diri dari serangan Meltdown, Apple telah merilis mitigasi di iOS 11.2, MacOS 10.13.2, dan tvOS 11.2. Apple telah merencanakan untuk merilis mitigasi di Safari untuk Spectre dalam beberapa hari mendatang.
3. Android OS
Pengguna Android diharapkan menjalankan versi terbaru dari sistem operasi mobile yang dirilis pada 5 Januari sebagai bagian dari update Android January security patch, menurut Google.
Jadi, jika kamu memiliki ponsel bermerek Google, seperti Nexus atau Pixel, ponsel kamu akan mendownload pembaruan secara otomatis, atau kamu hanya perlu menginstalnya.
Namun, pengguna Android lainnya harus menunggu produsen perangkat mereka mengeluarkan pembaruan keamanan yang kompatibel.
Raksasa teknologi tersebut juga mencatat bahwa tidak menyadari adanya eksploitasi yang berhasil baik dari Meltdown atau Spectre pada perangkat Android berbasis ARM.
4. Firefox Web Browser
Mozilla telah merilis versi Firefox 57.0.4 yang mencakup mitigasi untuk serangan Meltdown dan Spectre. Jadi pengguna disarankan untuk mengupdate instalasi mereka sesegera mungkin.
“Karena kelas serangan baru ini melibatkan pengukuran interval waktu yang tepat, sebagai mitigasi jangka pendek parsial, kami menonaktifkan atau mengurangi ketepatan beberapa sumber waktu di Firefox,” insinyur perangkat lunak Mozilla Luke Wagner menulis dalam sebuah posting blog.
5. Google Chrome Web Browser
Google telah menjadwalkan patch eksploitasi Meltdown dan Spectre pada 23 Januari dengan merilis Chrome 64, yang mencakup mitigasi untuk melindungi desktop dan smartphone pengguna dari serangan berbasis web.
Sementara itu, pengguna dapat mengaktifkan fitur eksperimental yang disebut “Isolasi Situs” yang dapat menawarkan beberapa perlindungan terhadap eksploitasi berbasis web namun mungkin juga menyebabkan masalah kinerja.
“Situs Isolasi membuat lebih sulit bagi situs web yang tidak tepercaya untuk mengakses atau mencuri informasi dari akun Anda di situs-situs lain. Situs web biasanya tidak dapat mengakses data masing-masing di dalam browser, berkat kode yang memberlakukan Same Origin Policy.” kata Google
Inilah cara mengaktifkan Isolasi Situs :
- Copy chrome: //flags/#enable-site-per-process dan tempelkan ke kolom URL di bagian atas browser web Chrome kamu, lalu tekan tombol Enter.
- Carilah Isolasi Situs yang ketat, lalu klik kotak berlabel Enable.
- Setelah selesai, tekan Relaunch Now untuk meluncurkan kembali browser Chrome kamu.
6. Linux
Pengembang kernel Linux juga telah merilis patch untuk kernel Linux dengan rilis termasuk versi 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 dan 3.2.97, yang dapat didownload dari kernel.org.
7. VMware dan Citrix
Pemimpin global dalam komputasi cloud dan virtualisasi, VMware, juga telah merilis daftar produknya yang terpengaruh oleh dua serangan dan pembaruan keamanan untuk produk ESXi, Workstation dan Fusion-nya untuk serangan Meltdown.
Di sisi lain, vendor komputasi dan virtualisasi Citrix yang populer lainnya tidak merilis patch keamanan untuk mengatasi masalah ini. Sebagai gantinya, perusahaan membimbing pelanggannya dan merekomendasikan mereka untuk memeriksa pemutakhiran perangkat lunak pihak ketiga yang relevan.
