Sikkerhetsforskere har avslørt to nye bedrifter som kan utføres mot moderne prosessorer. Kalt "Meltdown" og "Spectre", utnytter utnytter lignende metoder for å påvirke prosessorer fra Intel, AMD og ARM på tvers av PCer, mobile enheter og i skyen. Forskerne forklarer:
Meltdown og Spectre utnytter kritiske sårbarheter i moderne prosessorer. Disse maskinvarefeilene lar programmer stjele data som for øyeblikket behandles på datamaskinen. Mens programmer vanligvis ikke har lov til å lese data fra andre programmer, kan et ondsinnet program utnytte Meltdown og Spectre for å få tak i hemmeligheter som er lagret i minnet til andre programmer som kjører. Dette kan omfatte passordene dine som er lagret i en passordbehandling eller nettleser, dine personlige bilder, e-post, direktemeldinger og til og med forretningskritiske dokumenter.
Meltdown og Spectre er forskjellige angrep, men begge lar angripere bryte isolasjonen mellom applikasjoner for å få tilgang til informasjon. Kanskje den største forskjellen er imidlertid de spesifikke prosessorer som er berørt av hvert angrep. Meltdown, sier forskerne, er bare vurdert å påvirke Intel-prosessorer. Utvalget av potensielt berørte prosessorer er imidlertid stort:
Mer teknisk er hver Intel-prosessor som implementerer utføring av ordre potensielt påvirket, som faktisk er hver prosessor siden 1995 (unntatt Intel Itanium og Intel Atom tidligere 2013). Vi testet vellykket Meltdown på Intel-prosessorgenerasjoner utgitt så tidlig som i 2011. Foreløpig har vi bare bekreftet Meltdown på Intel-prosessorer. For øyeblikket er det uklart om ARM- og AMD-prosessorer også er påvirket av Meltdown.
Spectre, derimot, ser ut til å ha en mye bredere rekkevidde. Ifølge forskere påvirkes nesten alle typer enheter av Spectre; det er bekreftet at det fungerer på tvers av Intel-, AMD- og ARM-prosessorer. Spekter er vanskeligere å utnytte enn Meltdown, men forskere advarer om at det også er vanskeligere å beskytte seg mot. Angrepene fungerer også mot skyservere, noe som kan gi kundedata sårbare.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Heldigvis er i det minste noen reparasjoner ute i naturen eller på vei. For Googles del har den en FAQ som viser status for produktene og hvordan de påvirkes:
- Sier Google det har lappet sårbarhetene i sikkerhetsoppdateringen i januar for å bli utgitt til Android-enheter.
- Chromebooks med en Intel-prosessor og kjerne 3.18 eller 4.4 er lappet med Chrome OS 63. Chromebooks med eldre kjerner blir lappet via Kernel Page Table Isolation (KPTI) i en fremtidig utgivelse. Chromebooks på ARM-prosessorer er ikke kjent for å være sårbare, men vil uansett motta KPTI i en fremtidig oppdatering.
- Versjon 64 av Chrome-nettleseren, som skal utgis denne måneden, "vil inneholde avbøtende forhold for å beskytte mot utnyttelse."
- Google Home, Chromecast, Google Wifi og Google OnHub er alle oppført som "ingen ekstra brukerhandling nødvendig."
- G Suite (Google Apps) er løst på baksiden og krever ingen brukerinteraksjon.
Google hevder også at de er "uvitende om vellykket reproduksjon av dette sårbarheten som vil tillate uautorisert avsløring av informasjon på ARM-baserte Android-enheter." De Spørsmålet er selvfølgelig hvordan det kan endre seg nå når flere detaljer om utnyttelsene er blitt avslørt og før de utallige Android-produsentene får sikkerhetsoppdateringer frigitt til sine enheter.
For de sanne nerdene blant oss, ARM har gått i detalj om hvilke typer prosessorer som bruker spesifikke ARM-design, vil være sårbare for spesifikke typer av disse angrepene.
Det er oppdateringer mot Meltdown for Linux, Windows og macOS. Spectre er ikke en enkel løsning, ser det ut til, og forskerne sier at det pågår arbeid for å "herde programvare mot fremtidig utnyttelse av Specter, henholdsvis for å lappe programvare etter utnyttelse gjennom Spekter."
Du kan lese mer om Spectre og Meltdown, inkludert flere tekniske detaljer, i forskernes fulle rapport.
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Sikre hjemmet ditt med disse SmartThings dørklokkene og låser.
En av de beste tingene med SmartThings er at du kan bruke en rekke andre tredjepartsenheter på systemet ditt, inkludert dørklokker og låser. Siden de i det vesentlige deler den samme SmartThings-støtten, har vi fokusert på hvilke enheter som har de beste spesifikasjonene og triksene for å rettferdiggjøre å legge dem til SmartThings-arsenalet ditt.