Spectre Meltdown

В последнее время западные СМИ начали сотрясать новости о том, что практически все процессоры Intel, выпущенные за последние 20 лет, подвержены серьёзной уязвимости.

Используя эту лазейку, злоумышленники могут получить доступ ко всем логинам и паролям, кешированным файлам и любым другим личным данным пользователей.

Независимые группы исследователей ещё в прошлом году нашли в современных процессорах две критические уязвимости, позволяющие зловредным программам воровать данные, которые обрабатываются компьютером. Эти уязвимости получили название Meltdown и Spectre.

Spectre Meltdown

Благодаря Meltdown и Spectre зловредный софт может считывать информацию из памяти запущенных программ. А это могут быть пароли в браузере, сообщения электронной почты, фотографии, криптографические ключи, данные платёжных карт.

Кроме этого, проблема Meltdown и Spectre касается и серверных процессоров, поэтому злоумышленники могут получить доступ к данным, которые хранятся в облаке.

Какие процессоры в зоне риска?

Уязвимость Meltdown пока удалось воспроизвести только на компьютерах с процессорами Intel. В то же время, исследователи из Google Project Zero сообщают, что уязвимости Spectre подвержены компьютеры с чипами Intel, AMD и даже смартфоны с процессорами на базе архитектуры ARM.

Исследователи передали информацию об уязвимостях Intel, AMD и ARM ещё в июне 2017 года, поэтому у компаний было время, чтобы изучить проблему и найти решение.

Компания Intel сразу признала проблему со своими процессорами после того, как информация об уязвимостях попала в СМИ. Им подвержены все чипы производителя, выпущенные с 1995 года, кроме Intel Itanium и Intel Atom до 2013 года.

В то же время в AMD заявляют, что они изучили вопрос и их процессоры не подвержены данным атакам. «Из-за различий в архитектуре AMD мы считаем, что в настоящее время для процессоров AMD существует почти нулевой риск» – уверяют в компании. Впрочем, они обещают опубликовать в ближайшие дни дополнительную информацию на этот счёт.

В ARM сообщили, что процессоры Cortex-A, используемые в смартфонах, могут быть подвержены угрозе, но точная оценка риска требует большего времени.

Какие атаки возможны?

Условно уязвимость позволяет осуществлять два типа атак, которые названы Meltdown и Spectre.

Meltdown по большей части касается только чипов Intel и нарушает изоляцию между программами и ядром операционной системы, за счёт чего можно получить доступ ко всем хранимым данным.

Spectre же позволяет через локальные приложения получить доступ к содержимому виртуальной памяти других программ.

Мой компьютер в опасности?

Пока не известно о случаях, когда с помощью Meltdown и Spectre были бы украдены данные. Кроме этого, важно отметить, что для использования данных уязвимостей компьютер уже должен быть заражён вредоносным кодом. Поэтому если у вас установлены все обновления безопасности и программ, а антивирус не находит вирусов и троянов, то не стоит паниковать.

Когда уязвимость будет полностью устранена?

На данный момент патчи, полностью или частично закрывающие уязвимость вышли для операционных систем Windows 10, macOS 10.13.2 и Linux. Кроме этого Google готовит обновление для Android и Chrome, а Mozilla для Firefox. Соответственно, чтобы минимизировать риск, стоит поставить новые обновления операционных систем и программ.

Но важно отметить, что если уязвимость Meltdown можно уже сейчас закрыть программными патчами, то полностью решить проблему со Spectre пока нельзя. Она является более сложной для использования злоумышленниками, но в то же время, обеспечить безопасность патчами можно только по уже известным способам её внедрения. Таким образом, исследователи сходятся на том, что полностью закрыть уязвимость Spectre можно будет только с новым процессорами.

В то же время, стоит отметить, что старые компьютеры и мобильные устройства вряд ли будут обновлены даже для закрытия уязвимости Meltdown.

Смартфоны тоже подвержены опасности?

Что касается мобильных устройств, риск атак тоже есть, но на большинстве гаджетов уязвимость сложно воспроизводима. И тем не менее свежие патчи безопасности от Google уже выпущены для Nexus 5X, Nexus 6P, Pixel C, Pixel/XL и Pixel 2/XL.

Производители других смартфонов тоже получили необходимый патч. Но с какой скоростью он будет разослан на устройства — неизвестно.

Внимание!

Единственный верный вариант решения проблемы для пользователей ПК и смартфонов — оперативная установка всех доступных обновлений для операционной системы и ПО. Не откладывайте загрузку доступных апдейтов и не забывайте перезагружать устройство после обновления.

Следите за новостями в нашем Telegram-канале. Присоединяйтесь к нам в Twitter, ВКонтакте, InstagramFacebook или через RSS чтобы быть в курсе всех последних новостей из мира Apple, Samsung, Microsoft и Google.