С Новым Годом! В среду (3 января) были обнаружены три серьезных недостатка безопасности в процессорах Intel, AMD, ARM и других. Microsoft выпустила аварийный патч для всех поддерживаемых версий Windows, включая Windows 7, Windows 8.1 и Windows 10, но добавила, что пользователи также должны применять обновления прошивки, когда они становятся доступными от производителей устройств. Google исправил недостаток в Android с помощью обновления за январь 2022-2023, выпущенного во вторник (2 января), хотя пока оно есть только на устройствах под управлением Google. Патчи для macOS, iOS и Linux могут быть еще не полностью доступны.
Две проверочные атаки, получившие название «Meltdown» и «Spectre», используют эти три недостатка, которые касаются того, как современные компьютерные процессоры обрабатывают текущую память приложений и основную систему или ядро в текущих операционных системах.
«Meltdown и Spectre работают на персональных компьютерах, мобильных устройствах и в облаке», - говорят сайты, посвященные каждой уязвимости и имеющие идентичный контент. «В зависимости от инфраструктуры поставщика облачных услуг может оказаться возможным украсть данные у других клиентов».
В сообщении в блоге Google поясняется, что эти недостатки позволили «неавторизованной стороне прочитать конфиденциальную информацию в памяти системы, такую как пароли, ключи шифрования или конфиденциальную информацию, открытую в приложениях».
Meltdown стирает границы между процессами ядра и пользовательскими процессами и, похоже, ограничивается чипами Intel. Spectre крадет данные из запущенных приложений, а также работает на чипах AMD и ARM. На сайтах Spectre и Meltdown не было подробно описано, как были затронуты различные чипсеты, используемые на мобильных устройствах.
AMD, однако, отрицала наличие каких-либо недостатков.
«AMD не восприимчива ко всем трем вариантам», - заявили в компании CNBC. «Из-за различий в архитектуре AMD мы считаем, что в настоящее время риск для процессоров AMD практически нулевой».
Что делать
Если вы используете Windows 7, 8.1 или 10, вам следует применить обновление безопасности Windows, выпущенное сегодня. Ранние версии исправлений были отправлены пользователям Windows Insider в ноябре и декабре.
«Мы находимся в процессе развертывания средств защиты для облачных сервисов и сегодня выпускаем обновления безопасности для защиты клиентов Windows от уязвимостей, затрагивающих поддерживаемые аппаратные чипы AMD, ARM и Intel», - частично говорится в заявлении Microsoft. «Мы не получили никакой информации, указывающей на то, что эти уязвимости использовались для атаки на наших клиентов».
Однако есть пара уловок. Во-первых, если вы не используете ноутбук или планшет, предоставленный Microsoft, например Surface, Surface Pro или Surface Book, вам также придется применить обновление прошивки от производителя вашего компьютера.
«Клиенты, которые устанавливают только обновления безопасности Windows за январь2022-2023 гг., Не получат всех известных средств защиты от уязвимостей», - говорится в документе поддержки Microsoft, размещенном в Интернете. «Помимо установки январских обновлений безопасности, требуется обновление микрокода процессора или микропрограммы. Это должно быть доступно у производителя вашего устройства. Покупатели Surface получат обновление микрокода через Центр обновления Windows».
Во-вторых, Microsoft настаивает на том, чтобы клиенты перед применением исправления удостоверились, что у них запущено «поддерживаемое» антивирусное программное обеспечение. В отдельном документе, объясняющем новый патч безопасности, Microsoft говорит, что только машины, на которых запущено такое программное обеспечение, получат патч автоматически.
Не совсем ясно, что именно Microsoft подразумевает под «поддерживаемым» антивирусным программным обеспечением или почему Microsoft настаивает на том, чтобы такое программное обеспечение было на компьютере до применения исправления. Есть ссылка на документ, который должен все это объяснить, но на момент написания этой статьи поздно вечером в среду ссылка никуда не делась.
Наконец, Microsoft признает, что исправления могут «повлиять на производительность». Другими словами, после применения исправлений ваш компьютер может работать медленнее.
«Для большинства потребительских устройств воздействие может быть незаметным», - говорится в сообщении. «Однако конкретное воздействие зависит от поколения оборудования и его реализации производителем микросхемы».
Чтобы вручную запустить Центр обновления Windows, нажмите кнопку «Пуск», щелкните значок шестеренки «Параметры», щелкните «Обновления и безопасность» и щелкните «Проверить наличие обновлений».
Пользователи Apple должны устанавливать будущие обновления, щелкнув значок Apple, выбрав App Store, щелкнув «Обновления» и нажав «Обновить» рядом с любыми элементами от Apple. В Twitter появилось неподтвержденное сообщение о том, что Apple уже исправила недостатки в macOS 10.13.2 в начале декабря, но идентификационные номера уязвимостей (CVE), указанные в декабрьских исправлениях Apple, не совпадают с номерами, присвоенными Meltdown и Spectre.
Для компьютеров с Linux также потребуются исправления, и, похоже, что-то уже почти готово. Как упоминалось выше, исправление безопасности Android, выпущенное за январь 2022-2023–2022 годов, исправляет эту уязвимость, хотя на данный момент только небольшой процент устройств Android получит ее. (Неясно, сколько устройств Android восприимчиво.)
Как работают атаки
Атака Meltdown, которая, насколько известно исследователям, затрагивает только чипы Intel, разработанные с 1995 года (за исключением линейки Itanium и линии Atom до 2013 года), позволяет обычным программам получать доступ к системной информации, которая должна быть защищена. Эта информация хранится в ядре, глубоко утопленном центре системы, к которому никогда не должны приближаться пользовательские операции.
«Meltdown разрушает самую фундаментальную изоляцию между пользовательскими приложениями и операционной системой», - поясняют веб-сайты Meltdown и Spectre. «Эта атака позволяет программе получить доступ к памяти и, следовательно, к секретам других программ и операционной системы».
«Если ваш компьютер имеет уязвимый процессор и работает под управлением незащищенной операционной системы, небезопасно работать с конфиденциальной информацией без возможности утечки информации».
Meltdown был назван так потому, что «в основном размывает границы безопасности, которые обычно устанавливаются оборудованием».
Чтобы исправить связанный с этим недостаток, память ядра должна быть еще более изолирована от пользовательских процессов, но есть одна загвоздка. Похоже, что недостаток существует отчасти потому, что совместное использование памяти между ядром и пользовательскими процессами позволяет системам работать более быстро, а прекращение этого совместного использования может снизить производительность ЦП.
В некоторых отчетах говорилось, что исправления могут замедлить работу системы на 30 процентов. Наши коллеги из Tom's Hardware считают, что влияние на производительность системы будет намного меньше.
Spectre, с другой стороны, универсален и «нарушает изоляцию между различными приложениями», говорится на веб-сайтах. «Это позволяет злоумышленнику обмануть безошибочные программы, которые следуют передовым методам, и заставить их раскрыть свои секреты. Фактически, проверки безопасности с помощью упомянутых передовых методов фактически увеличивают поверхность атаки и могут сделать приложения более уязвимыми для Spectre».
«Все современные процессоры, способные хранить множество инструкций в полете, потенциально уязвимы» для Spectre. «В частности, мы проверили Spectre на процессорах Intel, AMD и ARM».
Сайты продолжают объяснять, что обнаружение таких атак было бы почти невозможным, и что антивирусное программное обеспечение могло обнаруживать только вредоносные программы, которые проникли в систему до запуска атак. Они говорят, что Spectre сложнее осуществить, чем Meltdown, но нет никаких доказательств того, что подобные атаки проводились «в дикой природе».
Однако они сказали, что Spectre, названный так потому, что он злоупотребляет спекулятивным исполнением, обычным процессом набора микросхем, «будет преследовать нас в течение некоторого времени».
Утраченное искусство хранить секрет
Intel, AMD и ARM сообщили Google об этих недостатках еще в июне 2022-2023 годов, и все заинтересованные стороны старались держать все в секрете до тех пор, пока исправления не будут готовы на следующей неделе. Но эксперты по информационной безопасности, не знавшие секрета, могли сказать, что надвигается что-то грандиозное.
Обсуждения на форумах разработчиков Linux касались радикальных изменений в работе операционной системы с памятью ядра, но никаких подробностей раскрыто не было. Таинственным образом замешаны люди с адресами электронной почты Microsoft, Amazon и Google. Необычно то, что капитальные ремонты должны были быть перенесены на несколько более ранних версий Linux, что указывало на то, что основная проблема безопасности решалась.
Это вызвало пару дней теории заговора на Reddit и 4chan. В понедельник (1 января) блогер, называющий себя Python Sweetness, «соединил невидимые точки» в длинном посте, в котором подробно описываются некоторые параллельные разработки разработчиков Windows и Linux, касающиеся обработки памяти ядра.
Поздний вторник (2 января). В Регистре собрано много похожей информации. Он также отметил, что Amazon Web Services будет выполнять техническое обслуживание и перезагружать свои облачные серверы в ближайшую пятницу вечером (5 января). и что в Microsoft Azure Cloud на 10 января запланировано нечто подобное.
Плотина прорвалась в среду, когда голландский исследователь безопасности написал в Твиттере, что он создал экспериментальную ошибку, которая, похоже, использовала по крайней мере один из недостатков.
В 3 часа дня. В среду, EST, компания Intel, акции которой упали примерно на 10% в ходе торгов в тот день, выпустила пресс-релиз, в котором преуменьшили недостатки, и, соответственно, ее акции немного восстановили свои позиции. Но компания признала, что недостатки могут быть использованы для кражи данных, и что она и другие производители микросхем работают над ее устранением.
«Intel и другие поставщики планировали раскрыть эту проблему на следующей неделе, когда будет доступно больше обновлений программного обеспечения и прошивки», - говорится в заявлении. «Однако сегодня Intel делает это заявление из-за неточных сообщений СМИ».
В 17:00 Даниэль Грусс, аспирант по информационной безопасности в Техническом университете Граца в Австрии, вышел вперед, чтобы объявить о Meltdown и Spectre. Он сказал Заку Уиттакеру из ZDNet, что «почти каждая система», основанная на чипах Intel с 1995 года, имела недостатки. Оказалось, проблема была еще хуже.
Грусс был одним из семи исследователей из Граца, которые в октябре 2022-2023 годов опубликовали техническую статью, в которой подробно описывали теоретические недостатки в том, как Linux обрабатывает память ядра, и предлагали исправление. Питон Сладость, блоггер под псевдонимом, упомянутый в начале этой истории, по-видимому, был прав, предполагая, что эта статья была центральной в проблеме Intel, над которой сейчас работают.
В 18:00. Были запущены сайты EST, Spectre и Meltdown, а также появилась запись в блоге Google, в которой подробно рассказывалось о собственном исследовании этой компании. Оказалось, что две команды независимо друг от друга обнаружили Meltdown, а три разные команды одновременно нашли Spectre. Проект Zero Google и команда Gruss в Граце приложили руку к обоим.
Изображение предоставлено: Наташа Эйдл / общественное достояние
- 12 ошибок, связанных с компьютерной безопасностью, которые вы, вероятно, делаете
- Лучшая антивирусная защита для ПК, Mac и Android
- Воняет безопасность вашего маршрутизатора: вот как это исправить
