Meltdown and Spectre: Chip hack otrzymuje nazwę, awaryjną łatkę i oficjalne oświadczenie od Microsoft
3 minuta. czytać
Zaktualizowano na
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Historia dotycząca ogromnej luki w zabezpieczeniach niemal każdego komputera i najwyraźniej także telefonu w ciągu ostatnich 20 lat szybko się rozwija, a więcej szczegółów zostało ujawnionych przez dwóch badaczy bezpieczeństwa, którzy znaleźli się w centrum odkrycia.
Nazywana „Meltdown” i „Spectre” iw „prawie każdym systemie” luka ta najwyraźniej istnieje od 1995 roku i umożliwia hakerom dostęp do danych z dowolnego miejsca w fizycznej pamięci systemu.
„Atakujący może być w stanie ukraść dowolne dane w systemie” — powiedział Daniel Gruss, badacz bezpieczeństwa.
Zespół potwierdził, że problem dotyczy nie tylko chipów Intela, ale także niektórych, ale nie wszystkich chipów AMD. AMD powiedziało jednak: „Z powodu różnic w architekturze AMD uważamy, że obecnie ryzyko dla procesorów AMD jest bliskie zeru”.
Firma ARM dodała, że problem dotyczy niektórych procesorów, w tym układów Cortex-A. Rdzenie Cortex-A są również używane w popularnej serii Snapdragon firmy Qualcomm.
Używając hacka Meltdown, nieuprzywilejowana aplikacja, taka jak kod JavaScript, może potencjalnie odczytać Twoje hasła z pamięci i wyeksportować je w dowolne miejsce w Internecie. Mozilla to potwierdziła możliwy jest atak oparty na JavaScript i łatamy Firefoksa, aby to złagodzić. Intel powiedział, że atakujący nie będą jednak mogli modyfikować pamięci RAM komputera lub telefonu, co nieco ogranicza uszkodzenia. Spectre może jednak nakłonić aplikacje do ujawnienia informacji.
Obecnie brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego stwierdziło, że nie ma dowodów na występowanie złośliwych exploitów na wolności, ale biorąc pod uwagę zakres luki, zakładamy, że hakerzy spieszą się z wyprodukowaniem kodu exploita, a dowód koncepcyjny kodu został już opublikowany na Twitterze przez badacz bezpieczeństwa Erik Bosman.
Pełne szczegóły luki zostały już opublikowane tutaj.
Microsoft wydał poprawkę bezpieczeństwa poza pasmem, aby rozwiązać ten problem, mówiąc w oświadczeniu:
Jesteśmy świadomi tego problemu w całej branży i ściśle współpracujemy z producentami chipów, aby opracować i przetestować środki łagodzące, aby chronić naszych klientów. Jesteśmy w trakcie wdrażania środków zaradczych w usługach w chmurze, a także wydaliśmy aktualizacje zabezpieczeń, aby chronić klientów Windows przed lukami w obsługiwanych układach sprzętowych firm Intel, ARM i AMD. Nie otrzymaliśmy żadnych informacji wskazujących, że te luki zostały wykorzystane do ataku na naszych klientów.
Apple podobno załatało usterkę w systemie macOS 10.13.2. Dostępne są również łatki dla systemów Linux, a nowe procesory mają zostać przeprojektowane, aby rozwiązać ten problem.
Łatka dla systemu Windows 10 zostanie automatycznie zastosowana dzisiaj o godzinie 5:2 ET / XNUMXPM PT, natomiast łatki dla starszych wersji systemu Windows zostaną udostępnione we wtorek. Microsoft nie powiedział, czy będzie łatał Windows XP.
Poprawka może spowalniać komputery, ale nowsze procesory, takie jak Skylake, są mniej dotknięte i nie wszystkie zadania są w równym stopniu dotknięte, a zadania takie jak dostęp do wielu małych plików są bardziej dotknięte niż na przykład zwykłe przeglądanie.
Chociaż luka ta była początkowo sprzedawana jako problem Intela, komputery PC są znacznie łatwiejsze do naprawienia niż ogromna liczba telefonów z Androidem, które nie otrzymują już aktualizacji, co sugeruje, że w końcu może to stać się problemem z telefonem na długo w przyszłości.
Daniel Gruss, zauważając, jak trudne są ataki Spectre, powiedział, że problem „będzie nas prześladować przez lata”.
