Слабые стороны Meltdown и Spectre CPU: вот что вам нужно знать

Исследователи Project Zero, подразделения Google по кибербезопасности, обнаружили некоторые уязвимости. Процессоры Чаще всего на ПК, Mac и портативных устройствах используются Meltdown и Spectre. Некоторые комментаторы назвали сбой и недостатки безопасности одними из «худших из когда-либо существовавших» угроз безопасности, затрагивающих миллионы пользователей по всему миру.

Однако производители компьютеров отреагировали быстро, и для многих устройств уже доступен ремонт. Изначально недостатки были обнаружены в середине 2017 года, и Google специально работает с различными компаниями над выпуском необходимых исправлений безопасности. В этой статье мы расскажем, что означает эта последняя угроза и как от нее защититься.

Слабые стороны процессора Meltdown и Spectre: вот что вам нужно знать - объяснения

Что такое Meltdown и Spectre?

Эта пара угроз безопасности, которая сделала бы ее хорошим именем для дуэта ди-джеев, затрагивает большинство современных компьютеров. Учитывая, что они принадлежат чипам ЦП от Intel, AMD и ARM, очень высока вероятность, что ваш ПК, Mac, iPhone или телефон Android используют чипы от одного из этих производителей, на которые влияет эта электроника. И Spectre, и Meltdown влияют на наборы микросхем Intel и ARM, в то время как Spectre влияет только на AMD.

Эти угрозы заключаются в процессе ЦП, известном как «спекулятивное выполнение», который ускоряет операции, позволяя чипу предвидеть следующие действия, которые может предпринять пользователь. Другими словами, он частично выполняет операции до того, как они произойдут, позволяя программам получать доступ к потенциально конфиденциальной информации, такой как пароли, ключи шифрования и банковские реквизиты, даже не открывая их пользователем.

Стоит отметить, что для того, чтобы Meltdown мог повлиять на вас, в первую очередь это должно быть вредоносное приложение или программа на вашем компьютере. Spectre, с другой стороны, сложнее использовать хакерам, но вы, скорее всего, будете атакованы с использованием вредоносного кода JavaScript на веб-сайте. Это маловероятно, но большинство из них не являются слабыми местами, от которых вы можете отказаться, не разбираясь с ними.

Что говорят те, кого коснулись создатели слайдов?

Слабые стороны процессора Meltdown и Spectre: вот что вам нужно знать - объяснения

Все производители затронутых чипсетов уже высказались по этому поводу, и, возможно, AMD и Intel заняли оборонительную позицию, даже выдвинув косвенные обвинения в адрес своих конкурентов. ARM, тем временем, была немного более нейтральной, учитывая, что она находится в прямой конкуренции с двумя другими напрямую, имея дело в основном с наборами микросхем Android и iOS. Ниже приведены некоторые из того, чем они поделились.

Корпорация Intel

Недавние сообщения о том, что это вызвано «ошибкой» или «дефектом» и затрагивает только продукты Intel, неверны. На основании проведенного нами анализа многие типы вычислительных устройств - от разных поставщиков этих микросхем и операционных систем - уязвимы для этого эксплойта.

AMD

Чтобы быть ясным, группа исследователей безопасности определила три переменных, нацеленных на выполнение атаки. Угроза и реакция на три переменные зависят от производителя микропроцессора, и AMD не подвержена влиянию всех трех переменных. Из-за различий в архитектуре AMD мы считаем, что в настоящее время для процессоров AMD практически нет риска. Мы ожидаем, что исследование безопасности будет опубликовано позже в тот же день, и к тому времени будут представлены дополнительные обновления.

ARM

Этот метод требует, чтобы вредоносная программа работала локально и может привести к доступу к данным из привилегированной памяти. Обратите внимание, что процессоры Cortex-M, которые обычно используются в устройствах с низким энергопотреблением, подключенных к Интернету, не затрагиваются.

Как защитить себя в Windows

Слабые стороны процессора Meltdown и Spectre: вот что вам нужно знать - объяснения

Когда появилась эта новость, Microsoft выпустила срочное обновление для Windows 7, 8 и 10, которое вы должны установить немедленно, если вы еще этого не сделали. Обновление должно быть автоматическим, поэтому, если вы выключите или перезагрузите компьютер, он должен сообщить вам, что он «обновится и выключится», если вы еще этого не сделали. Сделай это прямо сейчас.

Как защитить себя на Mac и iPhone

Apple объявила, что до того, как уязвимости были обнаружены, она уже выпустила «модификацию» в iOS 11.2, Mac 10.13.2 и tv OS 11.2, при этом Apple Watch не затронуты. Ключевым словом здесь является «модификация», поскольку эта проблема настолько глубоко укоренилась, что этим компаниям нелегко решить ее. Вы будете лучше защищены, а антивирусное ПО сможет обнаруживать атаки, но недостатки все еще существуют. Это касается всех устройств.

Как защитить себя на Android

Google заявил, что подавляющее большинство пользователей Android вряд ли будут затронуты уязвимостями, но, тем не менее, в декабре 2017 года был выпущен патч для всех основных производителей смартфонов. Однако, как мы хорошо знаем, процесс установки исправлений для Android может быть медленным, поэтому, если у вас нет телефона Nexus или Pixel, вам, возможно, придется немного подождать. Между тем будьте очень осторожны при загрузке на телефон незнакомых приложений.

Как защитить себя в Ubuntu (Linux)

Разработчики Ubuntu выпускали исправления в то время, 9 января, когда были обнаружены эти уязвимости. Но из-за раннего запуска Ubuntu теперь пытается вовремя вносить исправления. Тогда вы должны следить за Страница уведомлений о безопасности Ubuntu Для обновлений.

Заключение

Хорошей новостью является то, что не поступало сообщений о том, что кто-либо подвергался атаке с использованием этих уязвимостей, и большинство компаний были готовы внести необходимые исправления. Это может быть слишком часто называть это «худшей из когда-либо существовавших» уязвимости системы безопасности, но, несомненно, это широкий охват, затрагивающий все устройства. Однако в основном применяются те же правила: обновляйте свое устройство и не загружайте хитрое программное обеспечение!

Источник
Перейти к верхней кнопке