Google публикува нови подробности за хардуерните проблеми в процесорите
Експертите на Гугъл Project Zero разгласиха детайлна информация за двете хардуерни уязвимости в процесорите на Intel.
Това са две уязвимости, които получиха имената Meltdown и Spectre (разтопяване на нуклеарния реактор и призрак). В архитектурата на процесорите Intel и ARM64 е позволена неточност и те съдържат и двете уязвимости. Производителите на процесори са били известени за казуса още на 1 юни 2017 година. За проява на уязвимостите са показани работещи прототипи на експлойти, в това число и JavaScript разновидности , работещи в браузърите.
Уязвимостта Meltdown (CVE-2017-5754) разрешава на приложенията да четат случайна област от паметта на процесора, в това число паметта на ядрото и на другите консуматори – т.е., безусловно всичко и е невероятно скриването на каквито и да е данни. Тази накърнимост съществува в процесорите Intel и ARM64, като за ARM архитектурата това е прекомерно ненадейно. Представеният първообраз на експлойт чете паметта на ядрото със скорост 2000 байта в секунда в компютърната система с процесор Intel Xeon с архитектура Haswell.
Spectre (CVE-2017-5753, CVE-2017-5715 ) основава междина в изолацията на другите приложения и дава опция да бъдат получени данните на непознатото приложение, само че не и от паметта на ядрото. Тази накърнимост е налична в в процесорите Intel и ARM64, както и отчасти в AMD при включен eBPF в ядрото.
Препоръчва се инсталирането на обновяването на ядрото, незабавно след неговото излизане. Вече излязоха обновявания за RHEL и Fedora. Всички Linux дистрибуции разгласиха в титулните си страници положението на обновяванията за всяка една от тях. Обновяването за Windows се чака най-много до края на месеца.
За мобилната Android , пачът е излязъл с последното възобновяване.
Настоятелно се предлага инсталирането на пача, тъй като казусът е сериозен. Потребителите всеки ден започват непознат код на своите компютри с посещаването на другите уеб-сайтове с JavaScript. Вече съвсем няма уебсайт без JavaScript. В този случай, инструмент на офанзивата е самият браузър – данните се четат отдалечено и няма и не може да има никакви секрети. Създателите на браузъра Гугъл Chrome към този момент работят върху консолидираното на отбраната от JavaScript офанзивата непосредствено в браузъра. Новата версия би трябвало да излезе на 23 януари.
Атаката от този вид е изключително подла, тъй като е незабележима за системата и може да бъде реализирана скрито, без никакви следи в логовете.
Интересен е коментарът на Линус Торвалдс: показаните пачове включват KPTI за безусловно всички процесори и архитектури на Intel, а това значи, че компанията няма процесори и не е проектирала процесори, в които тази „грешка“ да е отстранена. С доста огромна възможност, това значи, че Cannon Lake/Ice Lake ще имат същия проблем.
Това са две уязвимости, които получиха имената Meltdown и Spectre (разтопяване на нуклеарния реактор и призрак). В архитектурата на процесорите Intel и ARM64 е позволена неточност и те съдържат и двете уязвимости. Производителите на процесори са били известени за казуса още на 1 юни 2017 година. За проява на уязвимостите са показани работещи прототипи на експлойти, в това число и JavaScript разновидности , работещи в браузърите.
Уязвимостта Meltdown (CVE-2017-5754) разрешава на приложенията да четат случайна област от паметта на процесора, в това число паметта на ядрото и на другите консуматори – т.е., безусловно всичко и е невероятно скриването на каквито и да е данни. Тази накърнимост съществува в процесорите Intel и ARM64, като за ARM архитектурата това е прекомерно ненадейно. Представеният първообраз на експлойт чете паметта на ядрото със скорост 2000 байта в секунда в компютърната система с процесор Intel Xeon с архитектура Haswell.
Spectre (CVE-2017-5753, CVE-2017-5715 ) основава междина в изолацията на другите приложения и дава опция да бъдат получени данните на непознатото приложение, само че не и от паметта на ядрото. Тази накърнимост е налична в в процесорите Intel и ARM64, както и отчасти в AMD при включен eBPF в ядрото.
Препоръчва се инсталирането на обновяването на ядрото, незабавно след неговото излизане. Вече излязоха обновявания за RHEL и Fedora. Всички Linux дистрибуции разгласиха в титулните си страници положението на обновяванията за всяка една от тях. Обновяването за Windows се чака най-много до края на месеца.
За мобилната Android , пачът е излязъл с последното възобновяване.
Настоятелно се предлага инсталирането на пача, тъй като казусът е сериозен. Потребителите всеки ден започват непознат код на своите компютри с посещаването на другите уеб-сайтове с JavaScript. Вече съвсем няма уебсайт без JavaScript. В този случай, инструмент на офанзивата е самият браузър – данните се четат отдалечено и няма и не може да има никакви секрети. Създателите на браузъра Гугъл Chrome към този момент работят върху консолидираното на отбраната от JavaScript офанзивата непосредствено в браузъра. Новата версия би трябвало да излезе на 23 януари.
Атаката от този вид е изключително подла, тъй като е незабележима за системата и може да бъде реализирана скрито, без никакви следи в логовете.
Интересен е коментарът на Линус Торвалдс: показаните пачове включват KPTI за безусловно всички процесори и архитектури на Intel, а това значи, че компанията няма процесори и не е проектирала процесори, в които тази „грешка“ да е отстранена. С доста огромна възможност, това значи, че Cannon Lake/Ice Lake ще имат същия проблем.
Източник: kaldata.com
КОМЕНТАРИ