Meltdown & Spectre: брешь в безопасности, которая затрагивает всех нас

Meltdown & Spectre: брешь в безопасности, которая затрагивает всех нас
Meltdown & Spectre: брешь в безопасности, которая затрагивает всех нас
  • 👤 Автор Селезнев Владимир 📧 [email protected].
  • Дата публикации 2025-03-14 08:47.
  • 🖍 Последние изменения 2025-06-01 03:25.
  • 👁 Количество просмотров 4.

Project Zero обнаружил серьезные уязвимости в процессорах еще в 1995 году. Как защитить себя от недавно обнаруженной угрозы безопасности?

Изображение
Изображение

На этой неделе собственная группа безопасности Google, известная как Project Zero, объявила подробности о многочисленных серьезных недостатках безопасности, затронувших процессоры Intel, AMD и ARM, начиная с 1995 года, независимо от операционной системы - так что победа здесь никого не затронет.

Эти недостатки получили названия Meltdown: https://meltdownattack.com/ и Spectre:

Эти уязвимости потенциально могут позволить злоумышленнику прочитать произвольные области памяти на сервере, рабочей станции или любом устройстве, что приведет к утечке очень конфиденциальной информации, такой как пароли, личные данные или данные клиентов. Это затрагивает как физические, так и виртуальные серверы, рабочие станции и устройства.

Компании, включая Microsoft, Amazon, Apple и Google, находятся в процессе выпуска исправлений, которые должны быть доступны в ближайшие несколько дней, при этом некоторые бета-версии уже доступны для тестирования. Патчи теперь доступны для некоторых сборок Windows и Linux. Для Linux они теперь попадают в последующие дистрибутивы.

Патчи обычно представляют собой небольшие (но иногда и большие) обновления программного обеспечения или данных, которые предназначены для улучшения решения, часто за счет повышения производительности или безопасности, но также могут быть исправлениями ошибок для решения проблемы.

Хотя это может показаться безумием, это также касается планшетов и мобильных телефонов. Вы увидите статьи в прессе, нацеленные на Intel и Apple, поскольку это приведет к увеличению кликов по статьям, но это затронет буквально всех.

Влияние на производительность

Поскольку уязвимость связана с дефектом конструкции физического оборудования, исправления для устранения этих уязвимостей требуют значительных изменений в ядрах операционной системы. К сожалению, эти исправления существенно влияют на производительность.

Сообщалось, что производительность систем может снизиться на 5-30 % в зависимости от характера рабочей нагрузки. Есть сообщения о том, что в некоторых тестовых случаях этот показатель достигает 60%. Это может повлиять на производительность веб-сайта, что приведет к увеличению времени загрузки страницы. Отчеты о мониторинге будут проверены, чтобы указать, какое влияние было выявлено, а ваша группа по цифровому планированию и поддержке будет работать с вами, чтобы определить, где это можно устранить.

Общественная информация

Уязвимости имеют следующие CVE-коды:

  • CVE-2017-5753: Вариант 1, обход проверки границ
  • CVE-2017-5715: Вариант 2, внедрение целевой ветки
  • CVE-2017-5754: Вариант 3, несанкционированная загрузка кэша данных

Дополнительную информацию также можно найти здесь:

  • https://googleprojectzero.blogspot.co.uk/2018/01/reading-privileged-memory-with-side.html
  • https://thehackernews.com/2018/01/meltdown-spectre-vulnerability.html
  • https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/
  • https://www.reddit.com/r/sysadmin/comments/7nyhc5/meltdown_and_spectre/