Если вы думаете, что 2017 год стал годом кошмаров в сфере безопасности, то вы ошибаетесь, ведь 2018 год выглядит еще хуже.
Год только начался, и у нас уже есть две основные уязвимости, затрагивающие почти все процессоры, созданные за последние 20 лет.
Возможно, вы уже много читали об этом на разных сайтах. Но давайте посмотрим на эти уязвимости поближе.
Что такое уязвимости Meltdown и Spectre?
Meltdown и Spectre — очень похожие уязвимости, которые влияют на процессоры компьютера (также называемые CPU). Ваш смартфон и планшет также являются типом компьютера, и, следовательно, эти уязвимости процессора могут также повлиять и на них.
Хотя уязвимости схожи, но у них есть некоторые отличия.
Meltdown
Уязвимость Meltdown позволяет программе получать доступ к областям частной памяти ядра. Эта память может содержать секреты (включая пароли) других программ и операционной системы.
Это делает вашу систему уязвимой для атак, когда вредоносная программа (даже JavaScript, запущенная на веб-сайте) может попытаться найти пароли из других программ в частной зоне ядра.
Эта уязвимость является исключительной для процессоров Intel, и ее можно использовать в общих облачных системах. К счастью, она может быть исправлена системными обновлениями. Microsoft, Linux, Google и Apple уже начали предоставлять исправление.
Spectre
Spectre также имеет дело с памятью ядра, но немного отличается. Эта уязвимость фактически позволяет вредоносной программе обмануть другой процесс, запущенный в одной и той же системе, для утечки их личной информации.
Это означает, что вредоносная программа может обмануть другие программы, например, ваш веб-браузер, чтобы указать используемый пароль.
Эта уязвимость влияет на устройства Intel, AMD и ARM. Это также означает, что чипы, используемые в смартфонах и планшетах, также подвержены риску.
Это критично?
Именно в Google впервые выявили эти уязвимости в июне прошлого года и предупредили Intel, AMD и ARM. Согласно CNBC, исследователи безопасности должны были подписать соглашение о неразглашении и держать это все в тайне, работая над устранением недостатка.
Интересно отметить, что Canonical утверждает, что все операционные системы согласились предоставить исправление 9 января 2018 года одновременно с публичным раскрытием уязвимости безопасности, но этого не произошло.
Хотя эти ошибки влияют на огромное количество устройств, но до сих пор не было широко распространенных атак. Это связано с тем, что получить конфиденциальные данные из памяти ядра не так просто. Это возможность, но не определенность. Так что пока вы можете не паниковать.
Как защитить компьютер от Meltdown и Spectre?
Ну, вы ничего не можете сделать на вашей стороне, кроме как ждать появления обновлений. Ubuntu должна получить исправления до 9 января. Другие дистрибутивы Linux и операционные системы также должны получить исправление в ближайшее время (если они еще не получили его).
Также было предоставлено видео демонстрации исследования атаки Melthdown
Поскольку уязвимости были раскрыты, цены акций Intel упали, а AMD выросли.
А что вы думаете по этому поводу? Напишите пожалуйста в комментариях ниже.
[…] поправки по предотвращению уязвимостей Meltdown и […]