Нови уязвимости в процесори позволяват кражби на пароли и криптоключове
Още две сериозни уязвимости от серията Spectre, позволяващи достъп до конфиденциални данни откриха самостоятелни откриватели. Те употребяват така наречен развой по спекулативно осъществяване на указания, употребен във всички модерни процесори.
Припомняме, че информацията за Spectre и Meltdown стартира да се появява при започване на 2018 година Те са изключително съществени защото обгръщат освен процесори на Intel (въпреки, че те се оказаха най-засегнати), само че и такива на AMD и ARM. Пускането на ремонти за тях лиши месеци, които в последна сметка не обгърнаха всички наранени артикули.
Новите уязвимости са открити от Владимир Кариянски, магистрант в Лабораторията по информатика към Масачузетският софтуерен институт, и самостоятелния специалист по осведомителна сигурност Карл Валдшпургер.
Те са открили, че спекулативното осъществяване обезпечава опция за вредоносния код да препълва буфера кеша на процесора и да чете информацията в паметта, която по концепция би трябвало да е недостъпна. В последна сметка това разрешава добиване на пароли, криптографски ключове и други значими данни от работещите на даденото устройство приложения.
Уязвимостта Spectre 1.2 разрешава презаписване на региона в паметта на процесора, обозначена като “само за четене”. В резултат решенията, разчитащи на хардуерната защитеност на тези данни стават безполезни.
Spectre 1.1 пък разрешава заобикаляне на защитните средства, употребявани против Spectre 1.0. Intel е възнаградила откривателите ѝ със 100 хиляди $.
Към момента няма пачове, адресиращи двете нови накърнимост. От Intel все означават, че оповестените от тях ограничения във връзка с истинските Meltdown и Spectre ще бъдат потребни на разработчиците на програмен продукт и в този случай.
Съшо по този начин се допуска, че новита недостатъци засягат и процесори на AMD, макар че към този момент няма публично удостоверение.
Припомняме, че информацията за Spectre и Meltdown стартира да се появява при започване на 2018 година Те са изключително съществени защото обгръщат освен процесори на Intel (въпреки, че те се оказаха най-засегнати), само че и такива на AMD и ARM. Пускането на ремонти за тях лиши месеци, които в последна сметка не обгърнаха всички наранени артикули.
Новите уязвимости са открити от Владимир Кариянски, магистрант в Лабораторията по информатика към Масачузетският софтуерен институт, и самостоятелния специалист по осведомителна сигурност Карл Валдшпургер.
Те са открили, че спекулативното осъществяване обезпечава опция за вредоносния код да препълва буфера кеша на процесора и да чете информацията в паметта, която по концепция би трябвало да е недостъпна. В последна сметка това разрешава добиване на пароли, криптографски ключове и други значими данни от работещите на даденото устройство приложения.
Уязвимостта Spectre 1.2 разрешава презаписване на региона в паметта на процесора, обозначена като “само за четене”. В резултат решенията, разчитащи на хардуерната защитеност на тези данни стават безполезни.
Spectre 1.1 пък разрешава заобикаляне на защитните средства, употребявани против Spectre 1.0. Intel е възнаградила откривателите ѝ със 100 хиляди $.
Към момента няма пачове, адресиращи двете нови накърнимост. От Intel все означават, че оповестените от тях ограничения във връзка с истинските Meltdown и Spectre ще бъдат потребни на разработчиците на програмен продукт и в този случай.
Съшо по този начин се допуска, че новита недостатъци засягат и процесори на AMD, макар че към този момент няма публично удостоверение.
Източник: computerworld.bg
КОМЕНТАРИ