Чипапокалипсис сегодня — все обладатели компьютеров и мобильных гаджетов в опасности

04 января 2018 18:06


Благодаря усилиям журналистов раньше времени (и раньше выпуска срочных патчей) была опубликована информация об очень серьезных уязвимостях Meltdown и Spectre, аппаратно заложенных в большинство современных процессоров. Эту проблему обнаружили эксперты Google, и к 9 января производители операционных систем намеревались выпустить закрывающие патчи. Наиболее опасным является то, что уязвимость присутствует во всех процессорах Intel, выпускавшихся c 1995 года. В меньшей степени подвержены опасности компьютеры на процессорах AMD и устройства на ARM.

Аппаратная уязвимость позволяет получить доступ к защищенной памяти, например, других процессов, без наличия необходимых прав. Причина проблемы – внедрение в середине 90-х годов Intel и другими чипмейкерами технологии спекулятивного исполнения команд в микропроцессорах. Это значит, что при выполнении сложных вычислений процессор будет предугадывать, какие вычисления потребуются в будущем и заранее считать результат для ускорения работы.

 

Уязвимость в процессорах Intel может замедлить ПК на 5–30 %

 

Как оказалось, архитектура спекулятивного выполнения команд дает злоумышленникам доступ к информации в общей памяти в кэше микропроцессора. На основании уязвимостей спрогнозирована возможность двух типов атак. Meltdown — нарушение границы между выполняемым приложением и памятью операционной системы, что дает злоумышленнику возможность считывать любые данные в памяти ОС. Вторая, Spectre, это доступ процесса к памяти других приложений.

Главная проблема этой уязвимости — распространенность процессоров Intel и наличие проблемы практически у всех моделей, находящихся в данный момент в эксплуатации. Для компьютеров на базе чипов и архитектуры AMD вероятность использования таких уязвимостей почти нулевая. Также в зоне риска ARM микропроцессоры с ядрами Cortex-A, в том числе и многие устройства Apple.

Google Project Zero утверждает, что метод атаки Meltdown в данный момент подтвержден на процессорах Intel, а Spectre можно эксплуатировать на чипах Intel, AMD и ARM. На практике это означает что можно запустить JavaScript в браузере и он получит полный дамп памяти системы, или вредоносное ПО на виртуальном сервере получит доступ к информации любого VPS клиентов холстинговой компании.

Уязвимость можно компенсировать только заплатками для операционных систем. Для операционок на базе Linux уже вышло обновление ядра. Google готовит обновление своего браузера и Chrome OS, а Microsoft выпустила 4 января срочный патч, устраняющий возможность использования данной уязвимости процессоров.

Вторая проблема из-за этой уязвимости состоит в том, что по мнению многих экспертов использование единственно возможной защита от этой уязвимости — с помощью изоляции процессов (заплатки ядра ОС называются патчем KPTI Kernel Page Table Isolation). В результате производительность компьютеров может упасть на 7-30%. Что уже успели ощутить пользователи AWS и скоро почувствуют клиенты Microsoft Azure. Но альтернативы нет. Это очень серьезная, фундаментальная уязвимость аппаратного уровня которая подвергает опасности любые данные на мобильных устройствах, локальных компьютерах или серверах в дата-центрах.





Обсудить материал (0)


Предыдущая статья

В кафе в Аргентине ноутбуки клиентов заставляли майнить криптовалюту
Следующая статья

Директор ARM прокомментировал уязвимости Meltdown и Spectre



Отсутствие интереса и проблемы с безопасностью привели к закрытию Google+

Компания Google официально сообщила в своем блоге о закрытии социальной сети Google+. Речь идет о прекращении доступа к этой службе у обычных пользователей. Для корпораций Google+ сохранится и будет даже развиваться. Полное закрытие социальной сети произойдет до лета 2019 года.

 

Читать далее...

Bloomberg считает, что Samsung сократит производство памяти, чтобы продавать ее подороже

Ресурс Bloomberg, ссылаясь на собственных информаторов, сообщил о планах южнокорейского гиганта уменьшить производство чипов памяти в 2019 году. Это будет ответ Samsung Electronics на ожидаемое сокращение спроса из-за дефицита 14-нанометровых микросхем Intel и других факторов.

Читать далее...

Юбилей Google Chrome — самому популярному браузеру исполнилось 10 лет

Браузер Google Chrome стал настолько привычен и распространен, что многими воспринимает неотъемлемым атрибутом интернет-жизни, который был всегда. На днях эта программа, постепенно превратившаяся в платформу, отпраздновала 10-летний юбилей. 1 сентября 2008 года в блоге Google появилась публикация о выпуске компанией собственного браузера, а второго сентября можно уже было загрузить бета версию.

Читать далее...

Android 9.0 все больше заботится о безопасности и блокирует некоторые приложения

Кроме нововведений, заметных обычным пользователям, в последней версии Android Pie появились новинки, ударившие по сторонним разработчикам вспомогательных утилит. Например, заблокированы приложения для записи звонков. Теперь это можно будет делать только, получив на смартфоне права суперпользователя. В прошлом Google была не против программ записи разговоров, если собеседник в начале предупреждался специальным сигналом.

Читать далее...

eLwis умер, для сети немецких супермаркетов

Неудачей закончилась попытка немецкой сети супермаркетов Lidl внедрить в своих подразделениях систему управления бизнесом eLwis. Это EPR разрабатывалась специалистами Lidl в сотрудничестве известным производителем корпоративного ПО SAP с 2011 года. Издание Lebensmittelzeitung опросила экспертов по внедрению такого ПО, по их мнению, немецкая сеть супермаркетов потратила на этот неудавшийся проект не менее 500 миллионов евро.

Читать далее...

Реорганизация в Microsoft сделало будущее Andromeda туманным

Во второй половине июня Wccftech опубликовала подробности о загадочном проекте нового смартфоно-планшета Microsoft под названием Andromeda. У этого флагмана должна была быть высокопроизводительная начинка и уникальный складывающийся дизайн. Теперь, после того как руководство софтверной компании пересмотрело приоритеты и провела реорганизацию, судьба футуристического складного гаджета оказалась под большим вопросом.

 

Читать далее...

Google сделал для бизнес-пользователей конструктор приложений

Анонсированный более полугода назад инструмент App Maker вышел и доступен всем подписчикам сервиса G Suite (пакеты «Бизнес», «Предприятие» или «Образование»). Это онлайн конструктор, он позволяет создавать приложения без знаний в программировании. С помощью App Maker можно создавать и быстро развертывать веб-приложения для нужд бизнеса.

Читать далее...

Роскомнадзор угрожает отключить сервисы Apple

Роскомнадзор потребовал от компании Apple удалить из магазина приложений Telegram а также прекратить рассылку push-сообщений мессенджера пользователям AppStore. При этом если американская компания не подчиниться РКН грозится заблокировать на территории России работу сервисов AppStore.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов