Meltdown and Spectre: Chip hack získává jméno, nouzovou opravu a oficiální prohlášení od Microsoftu

Příběh o masivní zranitelnosti téměř každého PC a zjevně i telefonu za posledních 20 let se dnes rychle rozvíjí a další podrobnosti nyní odhalili dva bezpečnostní výzkumníci, kteří jsou středem tohoto objevu.

Zranitelnost přezdívaná „Meltdown“ a „Spectre“ a „téměř každý systém“ se zjevně vyskytuje od roku 1995 a umožňuje hackerům přistupovat k datům z libovolného místa ve fyzické paměti systému.

"Útočník by mohl být schopen ukrást jakákoli data v systému," řekl Daniel Gruss, bezpečnostní výzkumník.

Tým potvrdil, že nejen čipy Intel jsou ovlivněny některými, ale také ne všechny čipy AMD. AMD však řeklo: „Vzhledem k rozdílům v architektuře AMD se domníváme, že v současné době existuje téměř nulové riziko pro procesory AMD.“

Společnost ARM dodala, že jsou ovlivněny některé její procesory, včetně čipů Cortex-A. Jádra Cortex-A jsou také použita v populární řadě Snapdragon od Qualcommu.

Pomocí hacku Meltdown by mohla neprivilegovaná aplikace, jako je kód Javascript, číst vaše hesla z paměti a exportovat je kamkoli na internet. Mozilla to potvrdila je možný útok založený na Javascriptu a opravují Firefox, aby to zmírnily. Intel uvedl, že útočníci však nebudou moci upravit RAM počítače nebo telefonu, což poněkud omezí poškození. Spectre však může aplikace přimět k odhalení informací.

V současné době Národní centrum pro kybernetickou bezpečnost Spojeného království uvedlo, že neexistují žádné důkazy o škodlivém zneužití ve volné přírodě, ale vzhledem k rozsahu zranitelnosti předpokládáme, že hackeři spěchají s vytvořením exploitu, přičemž důkaz o koncepčním kódu již zveřejnil na Twitteru. bezpečnostní výzkumník Erik Bosman.

Úplné podrobnosti o zranitelnosti byly nyní zveřejněny zde.

Společnost Microsoft vydala mimopásmovou bezpečnostní opravu k vyřešení problému a uvedla v prohlášení:

Jsme si vědomi tohoto problému v celém odvětví a úzce spolupracujeme s výrobci čipů na vývoji a testování zmírňujících opatření na ochranu našich zákazníků. Právě nasazujeme zmírnění dopadů na cloudové služby a také jsme vydali aktualizace zabezpečení, které chrání zákazníky Windows před zranitelnostmi ovlivňujícími podporované hardwarové čipy od Intel, ARM a AMD. Neobdrželi jsme žádné informace, které by naznačovaly, že tyto chyby zabezpečení byly použity k útoku na naše zákazníky.

Apple údajně opravil chybu v macOS 10.13.2 a záplaty pro systémy Linux jsou také k dispozici a očekává se, že nové procesory budou přepracovány, aby tento problém dále řešily.

Oprava systému Windows 10 bude automaticky aplikována dnes v 5:2 ET / XNUMX:XNUMX PT, zatímco opravy pro starší verze systému Windows budou spuštěny v úterý. Microsoft neřekl, zda budou záplatovat Windows XP.

Oprava má potenciál zpomalit počítače, ale novější procesory, jako je Skylake, jsou ovlivněny méně a ne všechny úkoly jsou stejně ovlivněny, přičemž úkoly, jako je přístup k mnoha malým souborům, jsou ovlivněny více než například pouhé procházení.

Zatímco zranitelnost byla zpočátku prodávána jako problém společnosti Intel, oprava počítačů je mnohem snazší než u obrovského množství telefonů s Androidem, které již nedostávají aktualizace, což naznačuje, že se to nakonec může stát problémem telefonu dlouho do budoucna.

Daniel Gruss, který si všiml, jak složité je útoky Spectre zmírnit, řekl, že problém nás „bude pronásledovat roky“.

Přes ZDNET, na vrcholu