Spectre и Meltdown, новая глобальная уязвимость IT.

Опубликовано

Ну вот и бахнуло, точнее всё это было и сейчас (если это не утка конечно) об этом сказали прямо и официально. Большинство процессоров установленных на современных устройствах подвержены уязвимости. Покопавшись на просторах интернета я нашел более-менее развёрнутую статью на одном интересном ресурсе http://www.spy-soft.net/meltdown-spectre/, выдержками из неё я воспользуюсь ниже.

В современных процессорах обнаружены две новые уязвимости, называемые Meltdown (CVE-2017-5754) и Spectre (CVE-2017-5753 и CVE-2017-5715). Атака с применением этих уязвимостей позволяет получить доступ к защищенной памяти из кода, который не обладает соответствующими правами.
Суть уязвимости, заключается в том, что процессоры Интел при спекулятивном выполнении кода не выполняют проверки на безопасность инструкций, которые позволяют читать сегменты памяти, что позволяет любому пользовательскому приложению получить доступ к памяти ядра.

Что же мы имеем? Доступ к кэшу процессора ещё не «всё пропало» , но шухер получается приличный.

Атаки Meltdown и Spectre

Meltdown и Spectre — худшие уязвимости ИТ за последние много лет. Heartbleed и Krack по сравнению с ними — детский сад.

Пожалуй, самое очевидное и неприятное применение на данный момент — получение дампа системной памяти во время выполнения JavaScript. Это означает, что вредоносный скрипт может получить доступ к памяти и вытащить пароли, информацию об учетной записи, ключи шифрования, т.е. теоретически все, что хранится в памяти.

FAQ — список вопросов и ответов касаемо уязвимостей Meltdown и Spectre:

Влияет ли на меня данная уязвимость?

Конечно, да.

Могу ли я обнаружить, что кто-то применил атаки Meltdown или Spectre против меня?

Нет. Эксплуатация данных атак не оставляет следов в файлах журнала.

Может ли мой антивирус обнаружить или заблокировать эту атаку?

На данный момент — нет. В отличие от обычных вредоносных программ, Meltdown и Specter почти невозможно отличить от обычных приложений.

Есть ли исправления?

Существуют патчи против Meltdown для Linux (KPTI (ранее KAISER)), Windows и OS X. Также ведется работа по созданию новых патчей.

На какие системы влияет Meltdown?

Атаке Meltdown подвержены любые компьютеры (как стационарные, так и ноутбуки), облачные серверы, смартфоны работающие на всех операционных системах. Каждый процессор Intel выпущенный с 1995 года потенциально подвержен атаке. На данный момент неясно, затронуты ли процессоры ARM и AMD.

05.01.2018 Выяснилось, что процессоры AMD также подвержены атаке Spectre.

На какие облачные провайдеры влияет Meltdown?

На те, которые используют процессоры Intel и Xen PV в качестве виртуализации без применения патчей. Кроме того, облачные провайдеры без реальной виртуализации оборудования, полагающиеся на контейнеры, которые используют одно ядро, например Docker, LXC или OpenVZ, подвержены влиянию.

Аппаратная уязвимость означает определённую реакцию чипа или платы на комбинацию байтов, «чтение дампа» это не нарушение процесса, ступор, ошибки и т. п. — это машинная команда и странно слышать о «вдруг обнаружили» . Значит была эта команда для процессора, только вот не в документации, значит умышленно скрыли.

Защита от атак Meltdown и Spectre

Как защититься от атак Meltdown и Spectre?

Установить последние обновления системы и браузера. Если вы не уверены в том, что уязвимость точно закрыта, и ваша система в безопасности, тогда лучше полностью отключить JavaScript.

Судя по тестам, выпущенные патчи сильно повлияют на производительность существующих систем. Тесты показывают падение на 10-30% в некоторых задачах. Да-да, вы все правильно поняли, ваш компьютер может навсегда стать медленнее, а AWS заметно дороже.

Не вполне понятна логика и путь затыкания дырок, если проблема глобальна ИМХО можно и выделить в отдельную операцию ввод важных данных, а после ввода и пересылки адресату данных кэш очищать, не должно компьютер замедлить кроме момента передачи.

Новости о способах защиты от Spectre и Meltdown

Поставщики начали выкладывать информацию о том, как пользователи могут защититься от Spectre или Meltdown. Чтобы было легче найти эту информацию, я буду добавлять в эту статью ссылки на различные способы защиты от уязвимости Meltdown и Spectre по мере их выпуска.

Для подробного изучения материала рекомендую перейти на сайт оригинальной статьи, указанный в начале и в конце публикации, там присутствуют ссылки на дополнительные материалы.

Amazon
Amazon выпустила бюллетень по безопасности, в котором содержится информация о том, насколько Amazon AWS-сервисы затронуты Meltdown и Spectre.

AMD
Компания AMD по сути, утверждает, что их процессоры не уязвимы для уязвимостей Meltdown и Spectre.

Android
Команда Android обновила свой бюллетень в январе 2018 года следующим примечанием:
Мы рекомендуем пользователям Android принимать доступные обновления безопасности на своих устройствах. Дополнительную информацию см. В блоге безопасности Google.

Apple
На данный момент Apple пока не опубликовала официального ответа.

ARM
ARM выпустила бюллетень по безопасности, в котором перечислены процессоры ARM, которые подвержены атакам Meltdown и Spectre.

Chromium
Проект Chromium опубликовал статью, в которой предоставляет рекомендации для веб-разработчиков и советуют пользователям Chromium включать изоляцию сайта.

Google
Поскольку Google была одной из трех команд, которые обнаружили эту ошибку, у них есть самая подробная информация о Spectre и Meltdown.

Intel
Корпорация Intel выпустила пресс-релиз об этих уязвимостях.

Linux
Томас Глейкснер, разработчик ядра Linux, опубликовал в своей рассылке информацию о новых исправлениях изоляции KAISER. Предполагается, что они были введены для устранения ошибок Meltdown и Spectre в Linux.

Microsoft
Microsoft выложила рекомендации как для Windows Servers, так и для клиентов Windows, связанных с уязвимостью Spectre и Meltdown. Эти рекомендации можно найти по следующим ссылкам:

Руководство для персональных компьютеров
Руководство для Windows Server

Microsoft также выложила рекомендацию для клиентов Azure, в которой говорится:
Большинство инфраструктур Azure уже обновлены для устранения этой уязвимости. Некоторые аспекты Azure по-прежнему обновляются и требуют перезагрузки клиентских виртуальных машин для обновления безопасности. Многие из вас получили уведомление в последние недели о запланированном обслуживании Azure и уже перезагрузили виртуальные машины, чтобы применить исправление. Других действий от вас пока не требуется.

Mozilla
03.01.2018 Mozilla опубликовала сообщение о том, что Firefox может быть подвержен этим атакам.

04.01.2018 Mozilla выпустила Firefox 57.0.4. Новая версия Firefox поставляется с двумя ограничениями по времени, предназначенными для защиты пользователей Firefox от атак Meltdown и Spectre. Новое обновления доступно для скачивания с официальной страницы проекта или с помощью автообновления браузера.

Nvidia
Nvidia сообщила, что в настоящее время их GPU не затронуты этой ошибкой, но они продолжают исследовать данную атаку:
Основной бизнес NVIDIA — это графические процессоры. Мы полагаем, что наше оборудование GPU невосприимчиво к сообщаемой проблеме безопасности и обновляет наши драйверы графического процессора, чтобы помочь устранить проблему безопасности ЦП. Что касается наших SoC с процессорами ARM, мы анализируем их, чтобы определить, какие из них подвержены данной атаке, и для каких необходимо выпустить патч.

Redhat
Redhat опубликовал рекомендацию, которая содержит список затронутых продуктов и их статус. В этом сообщении говорится:
Пользователям Red Hat настоятельно рекомендуется немедленно применить соответствующие выпущенные обновления.

Xen
Проект Xen опубликовал очень подробное сообщение о том, как уязвимости Spectre и Meltdown влияют на гипервизоры Xen:
Гости Xen могут иметь возможность выводить содержимое произвольной памяти хоста, включая память, назначаемую другим гостям.

Вероятно сие событие поколбасит IT мир какое-то время, особенно в финансовой сфере, но по большему счету конца IT-технологий не предвидится. Воспользоваться данной уязвимостью ещё надо суметь, ведь разрешение на использование машинных кодов обычно возможно на нулевом кольце операционных систем, а туда добраться сложновато. Что касаемо линукса, то предполагаю что эту дырку заткнут уже в следующем ядре.
Интересно, в списке отсутствуют отечественные производители процессоров, как у них обстоят дела с данной угрозой?

по материалам статьи http://www.spy-soft.net/meltdown-spectre

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *