Подтверждены новые уязвимости типа Spectre: что делать - ОтзывыExpert.net

Intel, AMD, ARM и IBM вчера (21 мая) подтвердили, что в их процессорах действительно были обнаружены дополнительные недостатки типа Spectre, как утверждал ранее в этом месяце немецкий журнал, наряду с новым недостатком типа Meltdown. Уязвимости могут быть использованы в атаках на пользователей через браузер, но в ближайшие недели их необходимо исправить на системном уровне.

О недостатках, подобных Spectre, которые упоминаются как вариант 4 в блоге Лесли Калбертсона, исполнительного вице-президента и генерального менеджера Intel по обеспечению безопасности продуктов и безопасности продукции Intel, впервые сообщил в начале мая немецкий компьютерный журнал C'T. о недостатках рассказали тогда еще неназванные исследователи (некоторые из которых работали в Microsoft и Google) и назвали недостатки Spectre NG или Next Generation. (, и вот список затронутых процессоров Intel.)

Недостаток, похожий на Meltdown, называется Вариант 3a и в целом менее серьезен. Он будет исправлен через предстоящие обновления прошивки ЦП, а не через исправления операционной системы.

AMD опубликовала собственное заявление о том, что исправления Варианта 4 выпускаются дистрибьюторами Microsoft и Linux. ARM заявила, что четыре из ее более поздних процессоров Cortex серии A были затронуты вариантом 4, и перечислила технические меры по снижению риска. IBM подробно рассказала, как недостатки Variant 4 повлияли на ее чипы POWER.

БОЛЬШЕ: Meltdown и Spectre: как защитить свой ПК, Mac и телефон

Что ты можешь сделать

Калбертсон сказал, что «средства защиты на основе браузера [для варианта 4… уже развернуты и доступны для использования сегодня», поэтому обновляйте свой браузер. Chrome должен обновиться автоматически, если вы время от времени перезагружаете компьютер. Чтобы проверить, есть ли в Chrome ожидающее обновление, перейдите в chrome: // settings / help, где вы увидите статус его версии.

Firefox также должен обновиться, но вы можете сами убедиться в его статусе. Просто нажмите кнопку меню, нажмите «Справка» и выберите «О Firefox». Если обновления доступны, Firefox загрузит их автоматически.

Браузеры Microsoft Edge и Internet Explorer обновляются через Центр обновления Windows, который вы захотите проверить на наличие общесистемных обновлений. Браузер Apple Safari также совмещает обновления системы, хотя от Intel и Apple пока не поступало ни слова о том, были ли исправлены или будут исправлены новые недостатки Spectre на компьютерах Mac.

Калбертсон сказал, что Intel «уже доставила обновление микрокода для варианта 4 в бета-форме производителям систем OEM и поставщикам системного программного обеспечения», и что этот патч должен быть «выпущен в производственные обновления BIOS и программного обеспечения в ближайшие недели».

Ожидайте появления системных уведомлений от проприетарного программного обеспечения обновлений в вашей системе, такого как Dell SupportAssist или HP Support Assistant. Они скоро появятся, и их следует загрузить, чтобы защитить ваш компьютер.

Подробнее о варианте 4

Калбертсон пишет, что Intel «не видела никаких сообщений об использовании этого метода в реальных эксплойтах», но это не должно побуждать пользователей откладывать обновления.

Подобно другим уже раскрытым уязвимостям Spectre и Meltdown, уязвимости Variant 4 и Variant 3a коренятся в спекулятивном выполнении, методе ускорения процессов ЦП, который стал обычным явлением в последние два десятилетия.

Исправление или устранение каких-либо недостатков Spectre или Meltdown замедляет процессы ЦП, и Калбертсон говорит, что чипы Intel, в которых были реализованы исправления для Spectre Variant 4, «наблюдали влияние на производительность примерно от 2 до 8 процентов» на основе общих результатов тестирования производительности.