TechFusion.ruГаджетыMeltdown и Spectre: «Чипокалипсис» нового года

Meltdown и Spectre: «Чипокалипсис» нового года

Meltdown и Spectre
Екатерина Рыбачёк

Екатерина Рыбачёк

Новостной редактор TechFusion.ru,
гедонист, оптимист,
любитель котиков и технологий
Екатерина Рыбачёк

В процессорах Intel обнаружены критические уязвимости, которые ставят под угрозу большую часть компьютеров, выпущенных за последние 20 лет. И хотя пока нет доказанных случаев реального использования этих уязвимостей мошенниками, СМИ уже назвали это событие «Чипокалипсисом»

Обнаруженные уязвимости Meltdown и Spectre могут использоваться злоумышленниками для перехвата персональных данных, паролей и другой информации пользователей. Уязвимости обнаружены группой специалистов по кибербезопасности. Они уверены, что «Чипокалипсис» касается большинства процессоров Intel, разработанных и выпущенных после 1995 года. Это относится к ПК под управлением операционных систем Windows, macOS и Linux.

Слабыми местами в процессорах стали наборы алгоритмов внеочередного и спекулятивного исполнения. Алгоритмы позволяют существенно сократить время простоя процессора и значительно ускорить вычисления. Уязвимость Meltdown позволяет мошенникам получить доступ к кэшу и извлечь из него различные данные, включая шифрованную информацию и пароли. Spectre же может с помощью специального вредоносного кода заставить процессор прогнозировать и исполнять команды, которые для текущего процесса не нужны.

Как пишет издание The Guardian, подавляющее большинство современных чипов (до 90%), построенных по архитектурам Intel, имеют указанные уязвимости. Более того, уязвимость Spectre может также касаться устройств, построенных на процессорах AMD и ARM. В AMD опасность уязвимости своих процессоров назвали «почти нулевой». А в ARM отметили, что уязвимости подвержены только некоторые процессоры из серии Cortex-A. В Intel признали наличие уязвимостей в некоторых моделях процессоров и сообщили о мерах, принятых к их устранению. В частности, компания выпустила обновления для защиты от эксплойтов.

Примечательно, что производитель знал о наличии уязвимостей еще летом 2017 года, уверены в Project Zero. Подробные описания уязвимостей будут опубликованы в конце текущего месяца. А 9 января ожидается публикация совместного отчета компаний-производителей процессоров.

Сейчас обновления, предназначенные для устранение уязвимостей Meltdown и Spectre может привести к значительному падению производительности ПК — от 5 % до 30 %, сообщает издание The Register. Например, при работе СУБД PostgreSQL исправление KPTI приносит падение производительности в лучшем случае на 17 %, а в худшем — на 23 %. Как пишет издание TechCrunch, меньше всего от устранения проблем пострадают пользователи современных процессоров, для которых падение производительности будет минимальным.

Устранять уязвимости планируется с помощью Kernel Page Table Isolation (KPTI), которые перенесут ядро ОС в другое адресное пространство. Но не исключено, что будут найдены и более эффективные способы решение данной аппаратной проблемы.

Apple признала наличие уязвимостей, отметив, что их чрезвычайно сложно использовать. Компания пообещала выпустить соответствующие обновления для Safari, MacOS и iOS в ближайшие дни. Как сообщает издание Engadget, Microsoft и Google также разрабатывают патчи для своих операционных систем.

Сообщество Linux уже выложило обновленное ядро операционной системы, также обновления затронули и NT, говорится в материалах Python Sweetness. Исправления в свое программное обеспечение внес и разработчик виртуальных машин VMWare. В Google заявили, что планируют частично решить проблему с помощью включения в Chrome функции изоляции сайтов. О работе над исправлениями объявили и некоторые облачные сервисы, включая DigitalOcean, Microsoft и AWS.

Пользователям в этой ситуации не предлагается ничего сверхоригинального. Производители софта и железа рекомендуют не паниковать и вовремя устанавливать предлагаемые обновления только из проверенных источников.

Фото на обложке: meltdownattack.com