Meltdown и Spectre: что нужно знать о самой масштабной уязвимости процессоров

Что это за уязвимость?

Исследователи опубликовали официальный документ о двух главных ошибках, которым подвержены почти все современные процессоры. Это проблема не с самими физическими деталями, а с их архитектурой. В современных процессорах в некоторых местах — например, ядре — информация содержится в незашифрованном виде. Впрочем, она защищена от стороннего вмешательства и от наблюдения со стороны других процессов и приложений. , пишут AIN.UA

Исследователи определили два типа техник — Meltdown («Крах») и Spectre («Призрак») — с помощью которых можно обходить эту защиту и узнавать почти все данные, которые обрабатывает компьютер: пароли, зашифрованную информацию и так далее.

Meltdown нарушает барьер между приложениями и внутренней памятью операционной системы и позволяет получить данные, которые хранятся в памяти ОС. Spectre же позволяет одному приложению получить информацию другого. Как отмечает TechCrunch, Spectre намного сложнее в исполнении, но в то же время эту уязвимость сложнее искоренить.

Кто подвержен уязвимости?

Почти все современные устройства. Ошибки, к примеру, были найдены в процессорах Intel, произведенных в 2011 году. TechCrucnh предполагает, что уязвимости могут быть подвержены все процессоры компании, созданные с 1995 года. Так как Meltdown и Spectre действуют на архитектурном уровне, не имеет значения, на какой ОС работает устройство — Windows, MacOS или Android — все платформы уязвимы.

Meltdown и Spectre: что нужно знать о самой масштабной уязвимости процессоров

Следовательно, под угрозой могут оказаться огромное количество устройств. Уязвимость нашли не только в процессорах Intel — также проблема есть и у чипов от AMD и ARM. Представители последней признали наличие уязвимости в процессорах из серии Cortex-A (в нее входят чипы смартфонов Apple), но добавили, что ошибки не были обнаружены в чипах серии Cortex-M, которые используются в IoT-устройствах.

Как компании будут решать эту проблему?

TechCrunch обращает внимание, что многие устройства «уязвимы» к этим техникам, но это не означает, что они полностью не защищены от атак. Пока что настоящие атаки с помощью Meltdown и Spectre не были зафиксированы. Intel, AMD и ARM знают об этой проблеме уже несколько месяцев и за это время могли предпринять определенные меры.

Meltdown можно исправить, усовершенствовав защиту ядра процессора. Но как сообщалось ранее, такое решение может снизить скорость его работы — на 5-30%. Что касается Spectre, то из-за сложностей в исправлении ошибки компаниям понадобится время, чтобы прийти к каким-либо решениям. Скорее всего, производители ПО будут выпускать обновления, чтобы защитить пользователей от наиболее вероятных атак, связанных со Spectrum.

Некоторые компании уже выпустили обновления, направленные на исправление уязвимости Meltdown. Microsoft выпустила экстренное обновление Windows 10, несколько патчей выпустили разработчики Linux. СМИ сообщали, что Apple частично исправила проблему с обновлениемMacOS 10.13.2.

От уязвимости могут пострадать и провайдеры облачных услуг. Microsoft Azure и Amazon AWS уже также начали проводить обновления.

Неужели о проблеме никто не знал раньше?

Знали. Как оказалось, команда Google Project Zero сообщила о проблеме производителям еще в прошлом 2017 году. Компании начали проводить обновления своих систем, но рассказывать о проблеме публично никто не стал. По предварительным данным, большой анонс должен был пройти 9 января, но СМИ узнали о проблеме раньше, что и послужило причиной большого скандала: акции компании Intel обвалились на несколько пунктов, все мировые СМИ написали об одной из самых массовых проблем в истории производства чипов.

Что мне делать?

Как обычно, производители советуют устанавливать все последние обновления для своих операционных систем — это позволит закрыть брешь в безопасности компьютера. Все это может занять некоторое время, но другого выхода сейчас нет. Также TechCrunch пишет, что решить проблему полностью скорее всего не удастся, так как она весьма серьезная. Скептики уже отметили, что одним из лучших вариантов станет замена гаджета, но спешить его покупать пока не стоит.


Дмитрий Демченко, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
OC Windows заблокировала программу uTorrentOC Windows заблокировала программу uTorrent
Opera закрывает свое бесплатное VPN-приложение
СБУ обнаружила госпредприятие, которое использовало роSSийское программное обеспечениеСБУ обнаружила госпредприятие, которое использовало роSSийское программное обеспечение
Amazon создал собственный браузер и назвал его InternetAmazon создал собственный браузер и назвал его Internet
Украинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работуУкраинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работу
Блок рекламы


Похожие новости

Google сообщил о серьёзной уязвимости в браузере Microsoft EdgeGoogle сообщил о серьёзной уязвимости в браузере Microsoft Edge
Microsoft перепишет Skype с нуля из-за найденной уязвимостиMicrosoft перепишет Skype с нуля из-за найденной уязвимости
Microsoft остановила исправления для ошибок Meltdown и SpecterMicrosoft остановила исправления для ошибок Meltdown и Specter
Apple закрыла уязвимости Spectre и Meltdown на macOS и iOSApple закрыла уязвимости Spectre и Meltdown на macOS и iOS
В большинстве процессоров Intel нашли уязвимость. Ее решение требует изменений в ядрах ОС и понижает производительность
Microsoft поучает Google, как правильно исправлять уязвимости безопасности в браузере ChromeMicrosoft поучает Google, как правильно исправлять уязвимости безопасности в браузере Chrome
70 тысяч серверов memcached в интернете подвержены уязвимости 8-месячной давности70 тысяч серверов memcached в интернете подвержены уязвимости 8-месячной давности
Уязвимости «Devil's Ivy» в Open Source-библиотеке gSOAP оказались подвержены многие IoT-устройстваУязвимости «Devil's Ivy» в Open Source-библиотеке gSOAP оказались подвержены многие IoT-устройства
Red Hat исправила 3 уязвимости в Ansible, одна из которых позволяет выполнять код на сервереRed Hat исправила 3 уязвимости в Ansible, одна из которых позволяет выполнять код на сервере
Появился эксплоит для уязвимости CVE-2016-1247, повышающий права nginx до root в Debian и UbuntuПоявился эксплоит для уязвимости CVE-2016-1247, повышающий права nginx до root в Debian и Ubuntu
Последние новости

Подгружаем последние новости