Loading
6ae192d5fd88dd14b0de16ed4f99b5992cada7f2

Уязвимость процессоров, кому грозят уязвимости?

Сама громкая новость с начала года о том, что в процессорах Intel может быть уязвимость – вызвала целый снежный ком новостей от всех ведущих компаний ИТ-индустрии. Радует и тот факт, что Intel сотрудничает с AMD, ARM и некоторыми разработчиками операционных систем, чтобы разработать отраслевый подход и как можно быстрее решить проблему.

Итак, что же такое Meltdown

Безопасность современных систем основывается на изоляции адресного пространства, например память ядра защищена от доступа со стороны пользователя и его приложений. Meltdown использует «побочный эффект» исполнения-вне-очереди в современных процессорах, чтобы прочитать данные из ядра, в том числе личную информацию и пароли. Исполнение-вне-очереди сильно влияет на производительность и включено в большинство современных процессоров. Атака не зависима от операционной системы и не эксплуатирует программные уязвимости. Meltdown ломает всю безопасность системы основанную на изоляции адресного пространства в том числе виртуального. Весь шум изначально поднялся вокруг процессоров Intel, но сейчас уже и другие производители начали заявлять, что у них с процессорами тоже проблемы(кроме AMD – эти стоят на своем, что у них все в порядке). Например, ARM опубликовали список процессоров, которые также подвержены атаке.

Теперь тоже самое, но простым языком: не важно какое у вас устройство – смартфон или сервер, который используется для построения облачного сервиса, которым вы пользуетесь каждый день. Не важно какую операционную систему вы используете – Windows, MacOS, Linux, Android или еще что-то. Все это подвержено атаке из-за того, что ошибка возникает на уровне железа и для её устранения нужно исправление в самом железе, программно эта ошибка не устраняется.

Что же делать

Да, ошибка в железе не устраняется, но производители ПО уже работают над обновлением операционных систем. Для того, чтобы обеспечить требуемый уровень безопасности памяти ядра потребуются дополнительные «заплатки», которые, по заявлениям экспертов и производителей ПО могут снизить производительность системы на 5-30%, но зато это обеспечит вам требуемую защиту. Так что единственно, что можно сейчас посоветовать – следите за обновлениями своих операционных систем.

Реакция компаний

Спойлер – это вам не замедление телефона из-за батарейки, это самая большая проблема проблема за последние лет 10 в ИТ индустрии.

Google выпустили различные руководства для пользователей Android, Chrome, Chrome OS и его многочисленных облачных сервисов. Написали целый пост, если вы пользователь Google — изучайте внимательно. Что касается Android – в Google заявляют о том, что в последней версии Android содержатся исправления и нет информации об «успешной эксплуатации Meltdown или Spectre на устройствах на базе ARM».

Компания Apple подтвердила, что все её устройства на базе операционных систем iOS, macOS и tvOS могут быть подвержены уязвимостям процессоров под названием Meltdown и Spectre. При этом – Apple самые молодцы и уже выпустили iOS 11.2, macOS 10.13.2 и tvOS 11.2 в которых частично поставили заплатки от Meltdown. В ближайшее время еще выпустят обновления Safari, чтобы закрыть проблему с еще одной уязвимостью – Spectre. Кстати, исправление в операционных система решение против Meltdown не показало резкого снижения производительности на бенчмарках GeekBench 4, Speedometer, JetStream и ARES-6. В случае с патчем от Spectre не произошло снижения производительности на бенчмарках Speedometer и ARES-6, а тест JetStream показал снижение всего на 2,5%.

Ребята из Microsoft  уже выпустили патч для Windows 10, другие версии будут обновлены во вторник, 9 января. При этом старые операционные системы типа Windows XP(неужели кто-то еще пользуется) обновления не получат.

Провайдеры облачной инфраструктуры Amazon Web Services и Microsoft Azure заявили, что больших проблем не будет и все уже сделано для того, чтобы отдельные виртуальные сервера были надежно отделены друг от друга. Да, есть небольшая часть виртуальных серверов, которые потребуют перезагрузки, но не более.

Ядро Linux также получило обновления. Свежие релизы (версии 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 и 3.2.97) можно загрузить с Kernel.org.

Производители ПО для виртуализации VMware и Citrix также выпустили заплатки для своих продуктов. Практически весь спектр ПО требует обновления – более подробные списки обновлений доступные на официальных сайтах VMware и Citrix соответственно.

P.S.: Что будет с устройствами на старых версиях Android, устройствах с нелицензионным ПО – не понятно.

comments powered by HyperComments