En designændring for omkring ti år siden i hukommelseschips til snart sagt alle computere, mobiltelefoner og tavle-PCer viser sig nu at udgøre en meget alvorlig sikkerhedstrussel, som har sat de tre store chipproducenter på overarbejde for at få hullet lukket hurtigst muligt – et arbejde, der kan tage måneder.

Sikkerhedshullet påvirker en af de vigtigste dele af computerne og mobiltelefonerne og er derfor langt alvorligere end de huller i softwareprogrammer, hvor hackere normalt kan slippe ind.

Højst følsomme data i fare

De tre chipgiganter Intel, ARM og AMD bekræfter, at der er et problem, og at de arbejder på at få det løst hurtigst muligt for at få standset muligheden for, at hackere kan stjæle en række højst følsomme data som kodeord og computerens krypteringsnøgler, som bruges til at tilgå krypteret – eller kodet – kommunikation, ligesom data, der er fremme i programmer, som kører på computeren, kan aflæses og aflyttes. Det skriver det britiske dagblad Financial Times.

Endnu værre er det på netbaserede programmer som Google Cloud Services og Amazon Web Services, hvor mange brugere deler samme server. Her vil hackere ifølge IT-nyhedsmediet Wired kunne snage hos andre brugere på den samme server.

Løsningen, som uvægerligt vil medføre langsommere programmer, vil kræve, at både software og hardware ændres, og derfor bliver både softwareproducenter, chipproducenter og computerproducenter nødt til at arbejde sammen på tværs.

Første opdateringer er klar

Microsoft lagde allerede onsdag en sikkerhedsopdatering til sit Windows-styresystem ud. Den vil lukke et af hullerne, som har fået tilnavnet »Meltdown« (Nedsmeltning), fordi den gør det muligt for et program, som kører på en computer, at bryde ind i den centrale hukommelse på styresystemet og dermed få adgang til data, som det ikke skulle kunne tilgå.

Men ifølge IT-sikkerhedseksperter skal den helt grundlæggende software, den såkaldte »firmware«, også ændres og opdateres, før der er sat en stopper for Meltdown. Og disse opdateringer er ikke så enkle at gennemføre automatisk.

Det lukker heller ikke for det andet hul med tilnavnet »Spectre« (Spøgelse). Her kan et program, som kører på en hukommelseschip, tilgå data i et andet program uden om selve computerens styresystem.

Det var en sikkerhedsforsker hos internetgiganten Google, som allerede i juni sidste år opdagede chipproblemet, men først nu er det kommet frem, og omfanget af sikkerhedstruslen er også først nu for alvor gået op for eksperterne. Google informerede hurtigt chipproducenterne om opdagelsen, og det var aftalt, at der 9. januar skulle meldes generelt ud om den, men flere medier fik nys om sagen, hvilket har fremskyndet udmeldingerne.

Programmer vil køre langsommere fremover

Forskere på universiteterne i Graz i Østrig, Pennsylvania i USA og Adelaide i Australien har sammen med Googles folk og flere sikkerhedsfirmaer offentliggjort detaljerede beskrivelser af problemerne med Meltdown og Spectre.

Google har lavet en sikkerhedsopdatering til sit meget udbredte Android-mobilstyresystem, hvor hullerne lukkes, men problemet er, at kun meget få mobiltelefoner hurtigt opdateres, fordi hver producent har tilpasset Android og derfor skal håndstyre opdateringerne igennem. Derfor er det typisk kun de nyeste mobiltelefoner, som bliver opdateret. En opdatering til Googles internetbrowser, Chrome, er også på trapperne og kommer 23. januar.

Designændringen på chippene blev gennemført for at få dem til at køre hurtigere. Programmer, som kører på en computer, kunne herefter tilgå data fra maskinens styresystem, før de faktisk havde brug for dem – altså forudse noget, som de skulle bruge om lidt. Men dermed blev det også muligt for ondsindede programmer at kunne tilgå følsomme data på computeren. Når der lukkes for adgangen, vil programmerne komme til at arbejde langsommere. Hvor meget langsommere vil ifølge Intel afhænge af, hvordan softwaren er designet.