Badacze bezpieczeństwa ujawnił dwa nowe exploity, które można wykonać na nowoczesnych procesorach. Exploity, nazwane „Meltdown” i „Spectre”, wykorzystują podobne metody do wpływania na procesory Intel, AMD i ARM na komputerach PC, urządzeniach mobilnych iw chmurze. Naukowcy wyjaśniają:
Meltdown i Spectre wykorzystują krytyczne luki w nowoczesnych procesorach. Te błędy sprzętowe umożliwiają programom kradzież danych, które są obecnie przetwarzane na komputerze. Podczas gdy programy zazwyczaj nie mogą odczytywać danych z innych programów, złośliwy program może wykorzystać Meltdown i Spectre, aby zdobyć sekrety przechowywane w pamięci innych uruchomionych programów. Może to obejmować hasła przechowywane w menedżerze haseł lub przeglądarce, osobiste zdjęcia, wiadomości e-mail, wiadomości błyskawiczne, a nawet dokumenty o znaczeniu krytycznym dla firmy.
Meltdown i Spectre to odrębne ataki, ale oba umożliwiają atakującym przełamanie izolacji między aplikacjami w celu uzyskania dostępu do informacji. Być może największą różnicą są jednak konkretne procesory, na które ma wpływ każdy atak. Naukowcy twierdzą, że Meltdown został oceniony tylko pod kątem wpływu na procesory Intela. Jednak gama procesorów, których może to dotyczyć, jest ogromna:
Mówiąc bardziej technicznie, każdy procesor Intela, który implementuje wykonanie poza kolejnością, jest potencjalnie dotyczy to każdego procesora od 1995 roku (z wyjątkiem Intel Itanium i Intel Atom wcześniej) 2013). Z powodzeniem przetestowaliśmy Meltdown na generacjach procesorów Intel wypuszczonych na rynek już w 2011 roku. Obecnie zweryfikowaliśmy Meltdown tylko na procesorach Intel. W tej chwili nie jest jasne, czy procesory ARM i AMD są również dotknięte przez Meltdown.
Z drugiej strony, Spectre wydaje się mieć znacznie szerszy zasięg. Według naukowców Spectre ma wpływ na prawie każdy rodzaj urządzenia; został sprawdzony pod kątem współpracy z procesorami Intel, AMD i ARM. Widmo jest trudniejsze do wykorzystania niż Meltdown, ale naukowcy ostrzegają, że trudniej jest się przed nim chronić. Ataki działają również na serwery w chmurze, co może narażać dane klientów.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Na szczęście przynajmniej niektóre poprawki są na wolności lub w drodze. Ze strony Google zawiera często zadawane pytania wymieniając stan swoich produktów i ich wpływ:
- Google mówi to ma załatał luki w styczniowa poprawka bezpieczeństwa do wydania na urządzenia z systemem Android.
- Chromebooki z procesorem Intel i jądrem 3.18 lub 4.4 są załatane z systemem operacyjnym Chrome 63. Chromebooki ze starszymi jądrami zostaną załatane przez Kernel Page Table Isolation (KPTI) w przyszłej wersji. Nie wiadomo, czy Chromebooki z procesorami ARM są podatne na ataki, ale mimo to otrzymają KPTI w przyszłej aktualizacji.
- Wersja 64 przeglądarki Chrome, która ma zostać wydana w tym miesiącu, „będzie zawierała środki zaradcze chroniące przed wykorzystywaniem”.
- Google Home, Chromecast, Google Wifi i Google OnHub są wymienione jako „żadne dodatkowe działania użytkownika nie są wymagane”.
- G Suite (Google Apps) został naprawiony na zapleczu i nie wymaga interakcji użytkownika.
Firma Google twierdzi również, że „nie jest świadoma żadnego udanego odtworzenia tej luki, która umożliwiłaby nieautoryzowane ujawnienie informacji na urządzeniach z systemem Android opartych na architekturze ARM”. Plik Pytanie brzmi oczywiście, jak mogłoby się to zmienić teraz, gdy ujawniono więcej szczegółów na temat exploitów i zanim niezliczeni producenci Androida udostępnią poprawki bezpieczeństwa urządzenia.
Dla prawdziwych kujonów wśród nas, ARM przeszedł do szczegółów o tym, które typy procesorów korzystających z określonych konstrukcji ARM będą narażone na określone typy tych ataków.
Istnieją poprawki przeciwko Meltdown dla systemów Linux, Windows i macOS. Wydaje się, że Spectre nie jest łatwym rozwiązaniem, a naukowcy twierdzą, że trwają prace nad „stwardnieniem” oprogramowania przed przyszłą eksploatacją Spectre, odpowiednio do łatania oprogramowania po wykorzystaniu Widmo."
Możesz przeczytać więcej o Spectre i Meltdown, w tym więcej szczegółów technicznych, w pełny raport badaczy.
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe budżetowe telefony z Androidem One poniżej 200 USD.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Zabezpiecz swój dom dzwonkami i zamkami SmartThings.
Jedną z najlepszych rzeczy w SmartThings jest to, że możesz używać wielu innych urządzeń innych firm w swoim systemie, w tym dzwonków do drzwi i zamków. Ponieważ wszystkie mają tę samą obsługę SmartThings, skupiliśmy się na tym, które urządzenia mają najlepsze specyfikacje i sztuczki, aby uzasadnić dodanie ich do arsenału SmartThings.