В процессорах Intel нашли критическую уязвимость: кто может пострадать и что делать Статьи редакции
Собрали информацию о том, чем опасны найденные уязвимости и как на них отреагировали крупнейшие компании.
Что случилось
3 января 2018 года эксперты рассказали об уязвимости в процессорах Intel, выпущенных в последние 20 лет. Ошибка в проектировании чипов может позволить злоумышленникам получить доступ к защищённой части памяти ядра и хранящимся там логинам, паролям и другим файлам.
Чтобы перехватить эти данные, преступникам достаточно запустить JavaScript-код через веб-браузер пользователя.
Как это работает
Уязвимость открывает два типа атак: Meltdown («Крах») и Spectre («Призрак»). Meltdown — проблема, которая в первую очередь грозит облачным сервисам, отмечает The New York Times. Эта уязвимость позволяет разрушить барьер между приложениями и внутренней памятью ОС, то есть получить данные, хранимые в памяти системы.
Например, одно приложение способно в реальном времени видеть через внутреннюю память системы, какие данные (в том числе пароли) вводятся через другое приложение.
Using #Meltdown to steal passwords in real time #intelbug #kaiser #kpti /cc @mlqxyz @lavados @StefanMangard…
Уязвимость Spectre, по мнению экспертов, проблема, которую специалисты будут исправлять «в течение многих десятилетий». Среди прочего, она позволяет обычным приложениям извлекать данные из других приложений, работающих в той же системе.
Этот баг более сложен в исполнении для злоумышленников, однако его также сложнее исправить, считают специалисты.
Кто подвержен атаке
О проблемах с безопасностью объявил производитель чипов Intel, компания также рассказала, что аналогичные проблемы есть и у других производителей. В заявлениях Intel и Microsoft упоминаются уязвимости в чипах компаний AMD и ARM, однако в AMD свою причастность к проблеме отрицают.
Что будет с Intel
На фоне новостей об уязвимостях в чипа компании стоимость акций Intel упала на 3%. По данным Business Insider, в ноябре 2017 года глава компании Брайан Кржанич продал пакет акций компании стоимостью около $24 млн.
При этом Google передала Intel данные об уязвимости в июне того же года. После продажи пакета Кржанич остался владельцем 250 тысяч ценных бумаг. В Intel заявили, что продажа доли компании никак не связана с уязвимостью процессоров, так как была запланирована заранее.
Как производители решают проблему
Чтобы обезопасить пользователей, компании выпускают патчи, которые отделяют ядра от пользовательских процессов, переносят их в отдельное адресное пространство. Проблема этого решения в том, что оно ухудшает производительность компьютеров, по общим оценкам, на 5-30%.
При этом обычные пользователи могут не заметить изменений: тесты патчей для Intel показали, что, например, при запуске игр на Linux производительность устройств практически не страдает.
Microsoft уже выпустила экстренное обновление Windows, Apple частично закрыла уязвимость в обновлении для macOS от 6 декабря. Обновление ядра Linux также вышло в декабре.
Google выпустит обновления для защиты смартфонов Nexus 5X, Nexus 6P, Pixel C, Pixel/XL, и Pixel 2/XL в январе, они загрузятся на устройства автоматически. Компания также внесла некоторые обновления в браузер Chrome, полностью уязвимость будет закрыта в версии Chrome 64.
О работе над исправлениями также рассказали некоторые облачные сервисы, включая DigitalOcean, Microsoft, Google и AWS.
Что делать
Компании, комментирующие ситуацию, советуют пользователям устанавливать обновления и обещают, что клиенты не заметят снижения производительности своих устройств.
По данным Bloomberg, экспертам пока не удалось зафиксировать ни одной атаки, связанной с Meltdown и Spectre.
А тема то старая, похоже. Помню, как еще в далёком 2008 я читал о том, что наш известный исследователь в области информационной безопасности Крис Касперски (AKA мыщъх) заявлял, что он нашел уязвимость в процессорах Интел, которая позволяет "совершить удаленный взлом системы при помощи скрипта на JavaScript или TCP/IP-пакета вне зависимости от операционной системы". Он даже собирался продемонстрировать эксплоит на конференции, но вдруг отказался. Говорили, что ему якобы даже дали отступного, чтобы он помалкивал. В те годы в профессиональной среде развернулось нешуточное бурление на тему выдумал ли он эту уязвимость, возможна ли такая уязвимость в принципе, но как видим, похоже, прав был Крис.
http://cnews.ru/news/top/kasperskij_vzlomal_protsessory_intel
И они с 2008 решили не закрывать это? Ну-ну.
Прочитайте в оригинальной новости процессоры каких поколений подвержены уязвимости (Хинт: все, выпущенные за последние 10 лет), прикиньте во сколько обошлась бы переделка архитектуры процессора. А потом уже "ну-ну" ;-)
И поэтому давайте продолжать выпускать с уязвимостью и дальше, хотя можно было просто переработать следующие поколения и плавно избавиться?
Конспиролухи.
Ну вы почитайте в чем уязвимость заключается, а так же примите к сведенью, почему она проявляется в процессорах _РАЗНЫХ_ архитектур и производителей.
Плюс к этому прикиньте, сколько разработка процессора по-вашему стоит ?
И какой % схемы в новом процессоре от старого (не забываем еще и про совместимость).
А пока, извините, рассуждения на уровне школьника у которого "если очень захотеть можно в космос полететь"
Это вы лучше прикиньте, сколько процессоров они спроектировали за это время — и решение то как раз вполне простое, никакого rocket science.
Идея, что компания будет на ровном месте продолжать рисковать своей капитализацией — вот мысли школьника.
Практика опровергает ваши домыслы. Про Фольксваген уже писали ниже.
А как писали выше есть разница между затратами на перепроектирование и потенциальным ущербом. Вопрос в том, что больше: затраты на исправление ошибки или потери от неё. Или вы и с этим спорить будете ?