Что это за уязвимость?
Исследователи опубликовали официальный документ о двух главных ошибках, которым подвержены почти все современные процессоры. Это проблема не с самими физическими деталями, а с их архитектурой. В современных процессорах в некоторых местах — например, ядре — информация содержится в незашифрованном виде. Впрочем, она защищена от стороннего вмешательства и от наблюдения со стороны других процессов и приложений.
Исследователи определили два типа техник — Meltdown («Крах») и Spectre («Призрак») — с помощью которых можно обходить эту защиту и узнавать почти все данные, которые обрабатывает компьютер: пароли, зашифрованную информацию и так далее.
Meltdown нарушает барьер между приложениями и внутренней памятью операционной системы и позволяет получить данные, которые хранятся в памяти ОС. Spectre же позволяет одному приложению получить информацию другого. Как отмечает TechCrunch, Spectre намного сложнее в исполнении, но в то же время эту уязвимость сложнее искоренить.
Кто подвержен уязвимости?
Почти все современные устройства. Ошибки, к примеру, были найдены в процессорах Intel, произведенных в 2011 году. TechCrunch предполагает, что уязвимости могут быть подвержены все процессоры компании, созданные с 1995 года. Так как Meltdown и Spectre действуют на архитектурном уровне, не имеет значения, на какой ОС работает устройство — Windows, MacOS или Android — все платформы уязвимы.
Следовательно, под угрозой могут оказаться огромное количество устройств. Уязвимость нашли не только в процессорах Intel — также проблема есть и у чипов от AMD и ARM. Представители последней признали наличие уязвимости в процессорах из серии Cortex-A (в нее входят чипы смартфонов Apple), но добавили, что ошибки не были обнаружены в чипах серии Cortex-M, которые используются в IoT-устройствах.
Как компании будут решать эту проблему?
TechCrunch обращает внимание, что многие устройства «уязвимы» к этим техникам, но это не означает, что они полностью не защищены от атак. Пока что настоящие атаки с помощью Meltdown и Spectre не были зафиксированы. Intel, AMD и ARM знают об этой проблеме уже несколько месяцев и за это время могли предпринять определенные меры.
Meltdown можно исправить, усовершенствовав защиту ядра процессора. Но как сообщалось ранее, такое решение может снизить скорость его работы — на 5-30%. Что касается Spectre, то из-за сложностей в исправлении ошибки компаниям понадобится время, чтобы прийти к каким-либо решениям. Скорее всего, производители ПО будут выпускать обновления, чтобы защитить пользователей от наиболее вероятных атак, связанных со Spectrum.
Некоторые компании уже выпустили обновления, направленные на исправление уязвимости Meltdown. Microsoft выпустила экстренное обновление Windows 10, несколько патчей выпустили разработчики Linux. СМИ сообщали, что Apple частично исправила проблему с обновлениемMacOS 10.13.2.
От уязвимости могут пострадать и провайдеры облачных услуг. Microsoft Azure и Amazon AWS уже также начали проводить обновления.
Неужели о проблеме никто не знал раньше?
Знали. Как оказалось, команда Google Project Zero сообщила о проблеме производителям еще в прошлом 2017 году. Компании начали проводить обновления своих систем, но рассказывать о проблеме публично никто не стал. По предварительным данным, большой анонс должен был пройти 9 января, но СМИ узнали о проблеме раньше, что и послужило причиной большого скандала: акции компании Intel обвалились на несколько пунктов, все мировые СМИ написали об одной из самых массовых проблем в истории производства чипов.
Что мне делать?
Как обычно, производители советуют устанавливать все последние обновления для своих операционных систем – это позволит закрыть брешь в безопасности компьютера. Все это может занять некоторое время, но другого выхода сейчас нет. Также TechCrunch пишет, что решить проблему полностью скорее всего не удастся, так как она весьма серьезная. Скептики уже отметили, что одним из лучших вариантов станет замена гаджета, но спешить его покупать пока не стоит.
Ранее AIN.UA рассказывал о крупной уязвимости в протоколе шифрования беспроводных сетей WPA2.