Laimingų Naujųjų metų! Trečiadienį (sausio 3 d.) Buvo atskleisti trys didžiuliai „Intel“, AMD, ARM ir kitų procesorių saugumo trūkumai. „Microsoft“ išleido skubų pataisą visoms palaikomoms „Windows“ versijoms, įskaitant „Windows 7“, „Windows 8.1“ ir „Windows 10“, tačiau pridūrė, kad vartotojai taip pat turėtų taikyti programinės įrangos atnaujinimus, kai jie bus prieinami iš įrenginių gamintojų. Antradienį (sausio 2 d.) Išleistą „Android“ trūkumą „Google“ pataisė 2022-2023–2022 m. Sausio mėn. Atnaujinimu, nors kol kas jį turi tik „Google“ valdomi įrenginiai. „MacOS“, „iOS“ ir „Linux“ pataisos dar gali būti visiškai nepasiekiamos.
Dvi koncepcinės atakos, pavadintos „Meltdown“ ir „Spectre“, išnaudoja šiuos tris trūkumus, susijusius su tuo, kaip šiuolaikiniai kompiuterių procesoriai tvarko veikiančią programų atmintį ir pagrindinę sistemą arba branduolį dabartinėse operacinėse sistemose.
„„ Meltdown “ir„ Spectre “veikia asmeniniuose kompiuteriuose, mobiliuosiuose įrenginiuose ir debesyje“, - sako kiekvienai klaidai skirtos svetainės, turinčios identišką turinį. „Priklausomai nuo debesies paslaugų teikėjo infrastruktūros, gali būti įmanoma pavogti kitų klientų duomenis“.
„Google“ tinklaraščio įraše paaiškinta, kad trūkumai leido „neįgaliotai šaliai skaityti sistemos atmintyje esančią slaptą informaciją, pvz., Slaptažodžius, šifravimo raktus ar programose atidarytą neskelbtiną informaciją“.
„Meltdown“ ištrina ribas tarp branduolio procesų ir vartotojo procesų ir, atrodo, apsiriboja „Intel“ lustais. „Spectre“ vagia duomenis iš veikiančių programų ir taip pat veikia su AMD ir ARM lustais. „Spectre“ ir „Meltdown“ svetainėse nebuvo išsamiai aprašyta, kaip tai paveikė įvairius mobiliuosiuose įrenginiuose naudojamus mikroschemų rinkinius.
Tačiau AMD neigė, kad ji turėjo kokių nors trūkumų.
„AMD nėra jautrus visiems trims variantams“, - sakė bendrovė CNBC. „Dėl AMD architektūros skirtumų, manome, kad šiuo metu rizika AMD procesoriams yra beveik lygi nuliui“.
Ką daryti
Jei naudojate „Windows 7“, 8.1 arba 10, turėtumėte taikyti šiandien išleistą „Windows“ saugos naujinimą. Ankstyvosios pataisų versijos buvo išsiųstos „Windows Insider“ vartotojams lapkričio ir gruodžio mėn.
„Šiuo metu diegiame sušvelninimo priemones debesų paslaugoms ir šiandien išleidžiame saugos naujinimus, kad apsaugotume„ Windows “klientus nuo pažeidžiamumų, turinčių įtakos palaikomoms AMD, ARM ir„ Intel “aparatūros mikroschemoms“, - iš dalies buvo pateiktas „Microsoft“ pareiškime. „Mes negavome jokios informacijos, rodančios, kad šie pažeidžiamumai buvo panaudoti atakuojant mūsų klientus“.
Tačiau yra pora laimikių. Pirma, nebent naudojate „Microsoft“ aprūpintą nešiojamąjį kompiuterį ar planšetinį kompiuterį, pvz., „Surface“, „Surface Pro“ ar „Surface Book“, taip pat turėsite pritaikyti savo kompiuterio gamintojo programinės įrangos naujinį.
„Klientai, kurie tik įdiegs„ Windows 2022-2023 “saugos naujinimus, negaus visų žinomų apsaugos nuo pažeidžiamumų pranašumų“,-rašoma internete paskelbtame „Microsoft“ palaikymo dokumente. "Be sausio mėnesio saugos naujinimų diegimo, reikia atnaujinti procesoriaus mikrokodą arba programinę -aparatinę įrangą. Tai turėtų būti pasiekiama per jūsų įrenginio gamintoją." Surface "klientai gaus mikrokodo naujinį per" Windows "naujinimą."
Antra, „Microsoft“ primygtinai reikalauja, kad klientai prieš dėdami pataisą įsitikintų, ar „palaiko“ antivirusinę programinę įrangą. Atskirame dokumente, paaiškinančiame naują saugos pataisą, „Microsoft“ teigia, kad tik mašinos, kuriose veikia tokia programinė įranga, pataisą gaus automatiškai.
Neaišku, ką „Microsoft“ reiškia „palaikoma“ antivirusinė programinė įranga, ar kodėl „Microsoft“ reikalauja, kad tokia programinė įranga būtų įrenginyje prieš dedant pleistrą. Yra nuoroda į dokumentą, kuris turėtų visa tai paaiškinti, tačiau nuo šio rašymo vėlai trečiadienio vakarą nuoroda niekur nedingo.
Galiausiai „Microsoft“ pripažįsta, kad yra „galimas poveikis veikimui“, susijęs su pataisomis. Kitaip tariant, uždėjus pleistrus, mašina gali veikti lėčiau.
„Daugumos vartotojų prietaisų poveikis gali būti nepastebimas“, - teigiama patariamajame pranešime. "Tačiau specifinis poveikis skiriasi priklausomai nuo aparatūros generavimo ir lusto gamintojo įdiegimo."
Norėdami rankiniu būdu paleisti „Windows Update“, spustelėkite mygtuką Pradėti, spustelėkite „Nustatymų“ krumpliaračio piktogramą, spustelėkite „Atnaujinimai ir sauga“ ir spustelėkite „Tikrinti, ar nėra naujinimų“.
„Apple“ vartotojai turėtų įdiegti būsimus naujinimus spustelėdami „Apple“ piktogramą, pasirinkę „App Store“, spustelėję „Atnaujinimai“ ir spustelėję „Atnaujinti“ šalia bet kokių „Apple“ elementų. „Twitter“ buvo paskelbta nepatvirtinta ataskaita, kad „Apple“ gruodžio pradžioje jau ištaisė „MacOS 10.13.2“ trūkumus, tačiau pažeidžiamumo ID numeriai (CVE), nurodyti gruodžio mėnesio „Apple“ pataisose, neatitinka „Meltdown“ ir „Spectre“ priskirtų.
„Linux“ mašinoms taip pat reikės pataisų, ir atrodo, kad kažkas gali būti beveik paruoštas. Kaip minėta aukščiau, 2022-2023–2022 m. Sausio mėn. „Android“ saugos pataisymas pašalina trūkumą, nors kol kas jį gaus tik nedidelė „Android“ įrenginių dalis. (Neaišku, kiek „Android“ įrenginių yra jautrūs.)
Kaip veikia atakos
„Meltdown“ ataka, kuri, tyrėjų žiniomis, veikia tik nuo 1995 m. Sukurtas „Intel“ mikroschemas (išskyrus „Itanium“ liniją ir „Atom“ liniją iki 2013 m.), Leidžia įprastoms programoms pasiekti sistemos informaciją, kuri turėtų būti apsaugota. Ši informacija yra saugoma branduolyje, giliai įterptame sistemos centre, kurio vartotojo operacijos niekada nėra skirtos.
„„ Meltdown “nutraukia pagrindinę vartotojų programų ir operacinės sistemos izoliaciją“, - paaiškino „Meltdown“ ir „Spectre“ svetainės. „Ši ataka leidžia programai pasiekti kitų programų ir operacinės sistemos atmintį, taigi ir paslaptis“.
„Jei jūsų kompiuteryje yra pažeidžiamas procesorius ir veikia nesugadinta operacinė sistema, nėra saugu dirbti su neskelbtina informacija be galimybės nutekinti informaciją“.
„Meltdown“ buvo pavadintas tokiu, nes „iš esmės ištirpina saugumo ribas, kurias paprastai vykdo aparatinė įranga“.
Norint ištaisyti susijusią klaidą, branduolio atmintis turėtų būti dar labiau izoliuota nuo vartotojo procesų, tačiau yra trūkumų. Panašu, kad trūkumas iš dalies egzistuoja todėl, kad dalijantis atmintimi tarp branduolio ir vartotojo procesų sistemos gali veikti greičiau, o to bendrinimo sustabdymas gali sumažinti procesoriaus našumą.
Kai kuriose ataskaitose teigiama, kad pataisymai gali sulėtinti sistemų veikimą net 30 proc. Mūsų kolegos iš „Tom's Hardware“ mano, kad poveikis sistemos veikimui būtų daug mažesnis.
Kita vertus, „Spectre“ yra universalus ir „nutraukia skirtingų programų izoliaciją“, rašoma svetainėse. "Tai leidžia užpuolikui apgauti be klaidų programas, kurios laikosi geriausios praktikos, atskleisti jų paslaptis. Tiesą sakant, minėtos geriausios praktikos saugos patikrinimai iš tikrųjų padidina atakos paviršių ir gali padaryti programas jautresnes" Spectre "."
„Visi šiuolaikiniai procesoriai, galintys išlaikyti daugybę instrukcijų skrydžio metu, yra potencialiai pažeidžiami“. "Visų pirma mes patikrinome" Spectre "" Intel "," AMD "ir" ARM "procesorius.
Toliau svetainėse aiškinama, kad tokių atakų aptikti būtų beveik neįmanoma, o antivirusinė programinė įranga galėtų aptikti tik kenkėjiškas programas, patekusias į sistemą prieš pradedant atakas. Jie sako, kad „Spectre“ yra sunkiau ištraukti nei „Meltdown“, tačiau nėra įrodymų, kad panašios atakos buvo pradėtos „gamtoje“.
Tačiau jie sakė, kad „Spectre“, vadinamasis, nes piktnaudžiaujama spekuliaciniu vykdymu, įprastu mikroschemų rinkinio procesu, „kurį laiką mus persekios“.
Prarastas paslapties laikymo menas
„Intel“, „AMD“ ir „ARM“ apie šiuos trūkumus „Google“ pranešė dar 2022-2023–2022 m. Birželio mėn., O visos susijusios šalys stengėsi viską nutylėti, kol pataisos bus paruoštos kitą savaitę. Tačiau informacijos saugumo ekspertai, kurie neslėpė paslapties, galėjo pasakyti, kad artėja kažkas didelio.
Diskusijos „Linux“ kūrimo forumuose buvo susijusios su radikaliais operacinės sistemos branduolio atminties tvarkymo pakeitimais, tačiau jokia informacija nebuvo atskleista. Žmonės, turintys „Microsoft“, „Amazon“ ir „Google“ el. Pašto adresus, buvo paslaptingai įtraukti. Neįprastai kapitalinis remontas turėjo būti perkeltas į kelias ankstesnes „Linux“ versijas, o tai rodo, kad buvo išspręsta didelė saugumo problema.
Tai sukėlė porą dienų sąmokslo teorijų „Reddit“ ir „4chan“. Pirmadienį (sausio 1 d.) Tinklaraštininkas, pasivadinęs „Python Sweetness“, „sujungė nematomus taškus“ į ilgą įrašą, kuriame išsamiai aprašė kelis lygiagrečius „Windows“ ir „Linux“ kūrėjų pokyčius, susijusius su branduolio atminties tvarkymu.
Vėlyvą antradienį (sausio 2 d.). Registras surinko daug panašios informacijos. Ji taip pat pažymėjo, kad šį ateinančio penktadienio vakarą (sausio 5 d.) „Amazon Web Services“ atliks techninę priežiūrą ir iš naujo paleis debesies serverius. ir kad „Microsoft“ „Azure Cloud“ planavo kažką panašaus sausio 10 d.
Užtvanka lūžo trečiadienį, kai olandų saugumo tyrinėtojas tviteryje paskelbė sukūręs koncepcijos įrodymo klaidą, kuri, atrodo, išnaudojo bent vieną trūkumą.
15 val. EST trečiadienį „Intel“, kurios akcijos per tą dieną sumažėjo apie 10 procentų, išplatino pranešimą spaudai, kuriame sumažėjo trūkumai, ir atitinkamai jos akcijos atgavo tam tikrą poziciją. Tačiau bendrovė pripažino, kad trūkumai gali būti panaudoti duomenims pavogti ir kad ji bei kiti mikroschemų gamintojai stengiasi išspręsti problemą.
„„ Intel “ir kiti pardavėjai planavo šią problemą atskleisti kitą savaitę, kai bus galima gauti daugiau programinės įrangos ir programinės įrangos atnaujinimų“, - sakoma pareiškime. „Tačiau„ Intel “šiandien daro tokį pareiškimą dėl šiuo metu netikslių žiniasklaidos pranešimų.
17 val. Graco technikos universiteto Austrijoje informacijos saugumo doktorantas Danielis Grussas paskelbė apie „Meltdown and Spectre“. „ZDNet“ žurnalistui Zackui Whittakeriui jis sakė, kad „beveik kiekviena sistema“, pagrįsta „Intel“ mikroschemomis nuo 1995 m., Buvo paveikta trūkumų. Paaiškėjo, kad problema buvo dar blogesnė.
Grussas buvo vienas iš septynių Graco tyrinėtojų, kuris 2022-2023–2022 m. Spalio mėn. Paskelbė techninį dokumentą, kuriame išsamiai aprašė teorinius „Linux“ tvarkymo branduolio atmintyje trūkumus ir pasiūlė pataisyti. Šios istorijos pradžioje minėtas pseudoniminis tinklaraštininkas „Python Sweetness“, matyt, buvo teisus spėdamas, kad šis dokumentas yra pagrindinis „Intel“ trūkumas, su kuriuo dabar dirbama.
18 val. Pradėjo veikti EST, „Spectre“ ir „Meltdown“ svetainės kartu su „Google“ tinklaraščio įrašu, kuriame išsamiai aprašomi pačios įmonės tyrimai. Paaiškėjo, kad dvi komandos savarankiškai atrado „Meltdown“, o trys skirtingos komandos tuo pačiu metu rado „Spectre“. „Google“ projektas „Zero“ ir „Gruss“ komanda Grace padėjo abu.
Vaizdo kreditas: Natascha Eidl/Viešasis domenas
- 12 kompiuterio saugumo klaidų, kurias tikriausiai darote
- Geriausia antivirusinė apsauga asmeniniams kompiuteriams, „Mac“ ir „Android“
- Jūsų maršrutizatoriaus sauga smirdi: štai kaip tai išspręsti