Исследователи безопасности раскрыли два новых эксплойта, которые можно запускать против современных процессоров. Названные "Meltdown" и "Spectre", эксплойты используют аналогичные методы для воздействия на процессоры Intel, AMD и ARM на ПК, мобильных устройствах и в облаке. Исследователи объясняют:
Meltdown и Spectre используют критические уязвимости современных процессоров. Эти аппаратные ошибки позволяют программам красть данные, которые в настоящее время обрабатываются на компьютере. Хотя программам обычно не разрешается читать данные из других программ, вредоносная программа может использовать Meltdown и Spectre, чтобы завладеть секретами, хранящимися в памяти других запущенных программ. Это могут быть ваши пароли, хранящиеся в диспетчере паролей или браузере, ваши личные фотографии, электронные письма, мгновенные сообщения и даже важные для бизнеса документы.
Meltdown и Spectre - разные атаки, но обе они позволяют злоумышленникам нарушить изоляцию приложений для доступа к информации. Однако, пожалуй, самая большая разница заключается в том, на какие процессоры влияет каждая атака. Исследователи говорят, что Meltdown влияет только на процессоры Intel. Однако диапазон потенциально затронутых процессоров огромен:
С технической точки зрения, каждый процессор Intel, реализующий выполнение вне очереди, потенциально затронуты, каковыми являются практически все процессоры с 1995 г. (кроме Intel Itanium и Intel Atom ранее 2013). Мы успешно протестировали Meltdown на процессорах Intel поколений, выпущенных еще в 2011 году. В настоящее время мы проверили Meltdown только на процессорах Intel. На данный момент неясно, затронуты ли процессоры ARM и AMD также Meltdown.
Spectre, с другой стороны, имеет гораздо более широкий охват. По словам исследователей, Spectre влияет почти на все типы устройств; он был проверен на совместимость с процессорами Intel, AMD и ARM. Призрак является труднее использовать, чем Meltdown, но исследователи предупреждают, что от него также труднее защититься. Атаки также работают против облачных серверов, что может сделать данные клиентов уязвимыми.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
К счастью, по крайней мере, некоторые исправления находятся в разработке или в разработке. Со стороны Google у него есть FAQ перечисление статуса своих продуктов и их влияния:
- Google говорит она имеет исправил уязвимости в январский патч безопасности будет выпущен для устройств Android.
- Chromebook с процессором Intel и ядром 3.18 или 4.4 исправлены с Chrome OS 63. Chromebook со старыми ядрами будет исправлен через Kernel Page Table Isolation (KPTI) в будущем выпуске. Не известно, что Chromebook на процессорах ARM уязвим, но все равно получит KPTI в будущем обновлении.
- Версия 64 браузера Chrome, который должен быть выпущен в этом месяце, «будет содержать средства защиты от эксплуатации».
- Google Home, Chromecast, Google Wifi и Google OnHub перечислены как «никаких дополнительных действий со стороны пользователя не требуется».
- G Suite (Google Apps) исправлен на внутренней стороне и не требует взаимодействия с пользователем.
Google также утверждает, что ему «неизвестно об успешном воспроизведении этой уязвимости, которая позволила бы несанкционированное раскрытие информации на устройствах Android на базе ARM». В вопрос, конечно, в том, как это может измениться сейчас, когда было раскрыто больше подробностей об эксплойтах и до того, как мириады производителей Android выпустят исправления безопасности для своих устройств.
Для настоящих ботаников среди нас, ARM подробно рассказала о том, какие типы процессоров, использующие определенные конструкции ARM, будут уязвимы для определенных типов этих атак.
Существуют патчи против Meltdown для Linux, Windows и macOS. Похоже, что Spectre - непростое решение, и исследователи говорят, что сейчас ведется работа по "укреплению программного обеспечения против будущего использования Spectre, соответственно, для исправления программного обеспечения после эксплуатации через Призрак ".
Вы можете прочитать больше о Spectre и Meltdown, в том числе технические подробности, в полный отчет исследователей.
Вы слушали подкаст Android Central на этой неделе?
Каждую неделю Android Central Podcast знакомит вас с последними техническими новостями, аналитикой и горячими комментариями с участием знакомых соведущих и специальных гостей.
- Подпишитесь в Pocket Casts: Аудио
- Подпишитесь в Spotify: Аудио
- Подпишитесь в iTunes: Аудио
Мы можем получать комиссию за покупки, используя наши ссылки. Учить больше.
Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.
Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.
Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.
Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.
Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.
Защитите свой дом с помощью дверных звонков и замков SmartThings.
Одна из лучших особенностей SmartThings заключается в том, что вы можете использовать множество других сторонних устройств в своей системе, включая дверные звонки и замки. Поскольку все они, по сути, имеют одинаковую поддержку SmartThings, мы сосредоточились на том, какие устройства имеют лучшие характеристики и приемы, чтобы оправдать добавление их в ваш арсенал SmartThings.