Meltdown gevolgen voor Apple
Apple stelt voor zijn huidige apparaten patches tegen Meltdown en Spectre ter beschikking. Die gaan soms wel ten koste van de performance. Oude apparaten krijgen echter helemaal geen bescherming. Hoe staat het met Meltdown en Spectre bij Apple?
Het slechte nieuws eerst: zo'n beetje elk recent apparaat van Apple heeft last van de beveiligingslekken Meltdown en Spectre. Het goede nieuws: er zijn updates beschikbaar om te downloaden. Apple heeft bij macOS 10.13.2 in december 2017 het Meltdownlek in High Sierra al gedicht. In januari zijn bij Safari 11.0.2 en zijn WebKit-framework de eerste afdichtingswerkzaamheden tegen Spectre begonnen. Of er nog EFIupdates nodig gaan zijn, was op het moment van schrijven nog niet bekend. Het is ook denkbaar dat Apple microcodeupdates in plaats daarvan bij het booten laadt, net zoals bij Linux (zie pagina 114).
iOS en tvOS kregen bij versie 11.2 al Meltdown-patches, iOS 11.2.2 moet Safari ook op mobiele apparaten resistent maken tegen Spectre. Dat er voor watchOS geen updates zijn, komt doordat de watches volgens Apple niet getroffen zijn door deze lekken.
Oudere systemen
Tot nu toe is het beleid van Apple voor oudere systemen een beetje gemengd. De Safari-update is ook voor Macs beschikbaar waarop El Capitan (Mac OS X 10.11.16) of Sierra (macOS 10.12.6) draait. Een Meltdown-patch is er nog niet, maar volgt mogelijkerwijs nog. Oudere Macs, waarop geen van de genoemde macOS-versies te installeren is, blijven volgens Apple onbeschermd. Daar horen de Mac mini tot het modeljaar 2007 bij, de iMacs tot medio 2009 en de Mac Pro's van de eerste Intelgeneratie – die zijn inmiddels wel minstens acht jaar oud.
Apple heeft bij iOS 11 een harde beslissing genomen: die werkt alleen nog maar op apparaten met een 64-bit SoC. Oudere iOS-versies krijgen geen Safari-updates en ook geen security-updates. Daardoor blijven de eerste iPad mini en alle apparaten tot en met de iPhone 5, de iPad 4 en de iPod van de vijfde generatie verstoken van die updates en dus vatbaar voor Meltdown en Spectre. Die apparaten zijn al minstens vier jaar oud.
Performanceverlies
Apple geeft in zijn release-notes aan dat de Meltdown-patch bij macOS 10.13.2 geen performancegevolgen heeft. Daarbij gaat men wel expliciet uit van metingen met het benchmarkprogramma GeekBench 4 en een paar browserbenchmarks (JetStream, Speedometer, ARES-6). Dat konden we met eigen metingen bevestigen, net als de claim van Apple dat de Spectre-update wel wat aan JavaScript-performance kost.
In bijzondere gevallen dreigt een drastische performanceverslechtering, en wel voornamelijk als de kernel veel IO-requests moet afhandelen. Toen we met een testprogramma bijvoorbeeld 100.000 datarecords aan een SQLite-database wilden toevoegen, nam de uitvoertijd op een recente 5K-iMac toe met ongeveer 20 procent.
Bepaalde C-functies als lseek, read en write, die kernelsysteemaanroepen gebruiken, hadden volgens onze metingen twee tot drie keer zo lang nodig als voorheen. Dat was in de praktijk echter alleen in extreme situaties merkbaar, dus de impact bij dagelijks gebruik zal een stuk minder zijn.
Het performanceverlies werd wel bijzonder merkbaar bij random toegang tot snelle ssd's. Met de benchmarktool flo lazen we random 4kB-blokken van een 16 GB groot bestand (Random Read 4K), dat stond op een supersnelle NVMe-ssd in een nieuwe 5K-iMac. Met macOS 10.13 haalden we een goede 147.000 IOPS, maar daar bleven maar net 47.000 IOPS van over. Dat is maar ongeveer 30 procent. Maar ook dat komt bijna alleen in synthetische tests voor. Het is wel te hopen dat Apple een deel van de verloren performance met nieuwere patches weer kan herstellen.
Veilig zijn en veilig blijven
Het eerste gevaar lijkt nu geweken, maar vermoedelijk zijn er nog andere updates nodig. Daarom blijft gelden: houd je besturingssysteem en andere software altijd up-to-date. Bij Updates in de App Storeapp van macOS kun je altijd zien of er nieuwe downloads beschikbaar zijn. Bij andere apparaten kun je dat bij de Instellingen van het Apple-besturingssysteem zien.
Installeer geen software uit dubieuze bronnen. Je kunt programma's het beste downloaden vanuit de App Store of rechtstreeks bij de producent. Laat je niet afschrikken door scareware en installeer ook geen vermeende beveiligingssoftware die bij de installatie van andere programma's wordt aangeboden. Blijf vooral ver van zogenaamde systeemoptimalisatieprogramma's – die bevatten mogelijkerwijs zelf een toegangspoort voor malware.
Maar vermijd zelfs met een gepatchte Safari-versie verdachte websites. Om je op internet te beschermen, zijn er een aantal browser-add-ons beschikbaar die reclame en JavaScript blokkeren. In beide gevallen ga je niet uit van de vermeende onschuld van websites, maar zet je alleen sites op de whitelist waarvan je weet dat die te vertrouwen zijn. Dat geldt des te meer voor gebruikers van oude besturingssystemen, die geen van de patches en wellicht ook geen van de bijgewerkte browserversies meer krijgen. (nkr)