Head uut aastat! Kolmapäeval (3. jaanuaril) avalikustati kolm suurt turvaviga Intelis, AMD -s, ARM -is ja teistes protsessorites. Microsoft andis välja hädaabiplatsi kõigi Windowsi toetatud versioonide jaoks, sealhulgas Windows 7, Windows 8.1 ja Windows 10, kuid lisas, et kasutajad peaksid rakendama ka püsivara värskendusi, kui need seadme tootjatelt kättesaadavaks saavad. Google parandas Androidi vea teisipäeval (2. jaanuaril) välja antud jaanuari 2022-2023–2022 värskendusega, kuigi praegu on see ainult Google'i hallatavatel seadmetel. MacOS -i, iOS -i ja Linuxi plaastrid ei pruugi veel täielikult saadaval olla.
Kaks kontseptsiooni tõestavat rünnakut, mis kannavad nime "Meltdown" ja "Spectre", kasutavad ära neid kolme viga, mis puudutavad viisi, kuidas kaasaegsed arvutiprotsessorid töötavad praeguste operatsioonisüsteemide rakenduste ja põhisüsteemi ehk kerneli jooksva mäluga.
"Meltdown ja Spectre töötavad personaalarvutites, mobiilseadmetes ja pilves," ütlevad igale veale pühendatud veebisaidid, millel on identne sisu. "Sõltuvalt pilveteenuse pakkuja infrastruktuurist võib olla võimalik teistelt klientidelt andmeid varastada."
Google'i ajaveebi postituses selgitati, et vead võimaldasid nii, et "volitamata osapool võib lugeda süsteemi mälust tundlikku teavet, näiteks paroole, krüpteerimisvõtmeid või rakendustes avatud tundlikku teavet."
Meltdown kustutab piirid kerneli protsesside ja kasutajaprotsesside vahel ning näib piirduvat Inteli kiipidega. Spectre varastab andmeid töötavatest rakendustest ja töötab ka AMD ja ARM kiipidega. Spectre ja Meltdown veebisaidid ei kirjeldanud üksikasjalikult, kuidas see mõjutas erinevaid mobiilseadmetes kasutatavaid kiibistikke.
AMD aga eitas, et see oleks puudustest mõjutatud.
"AMD ei ole kõigi kolme variandi suhtes vastuvõtlik," ütles ettevõte CNBC -le. "AMD arhitektuuri erinevuste tõttu usume, et praegu on AMD protsessorite risk nullilähedane."
Mida teha
Kui kasutate operatsioonisüsteemi Windows 7, 8.1 või 10, peaksite rakendama täna avaldatud Windowsi turvavärskenduse. Plaastrite varasemad versioonid saadeti Windows Insideri kasutajatele novembris ja detsembris.
"Me kasutame leevendusi pilveteenustele ja avaldame täna turvavärskendusi, et kaitsta Windowsi kliente haavatavuste eest, mis mõjutavad AMD, ARM ja Inteli toetatud riistvarakiipe," ütles Microsofti avaldus. "Me ei ole saanud teavet, mis viitaks sellele, et neid turvaauke on kasutatud meie klientide ründamiseks."
Siiski on paar saaki. Esiteks, kui te ei kasuta Microsofti varustatud sülearvutit või tahvelarvutit, näiteks Surface, Surface Pro või Surface Book, peate rakendama ka oma arvuti tootja püsivara värskenduse.
"Kliendid, kes installivad ainult Windowsi jaanuari 2022-2023 turvavärskendusi, ei saa kõiki teadaolevaid kaitset turvaaukude eest," seisis Microsofti veebis avaldatud tugidokumendis. "Lisaks jaanuari turvavärskenduste, protsessori mikrokoodi või püsivara installimisele on vajalik värskendus. See peaks olema saadaval teie seadme tootja kaudu. Surface'i kliendid saavad Windowsi värskenduse kaudu mikrokoodi värskenduse."
Teiseks nõuab Microsoft, et kliendid veenduksid enne plaastri paigaldamist, et nad oleksid toetanud viirusetõrjetarkvara. Eraldi dokumendis, mis selgitab uut turvapaika, ütleb Microsoft, et plaastri saavad automaatselt ainult seda tarkvara kasutavad masinad.
Pole täpselt selge, mida Microsoft tähendab "toetatud" viirusetõrjetarkvara all või miks Microsoft nõuab, et selline tarkvara peaks masinas olema enne plaastri paigaldamist. Seal on link dokumendile, mis peaks seda kõike selgitama, kuid selle kirjutamise seisuga ei läinud link kuhugi.
Lõpuks tunnistab Microsoft, et plaastritega on seotud võimalikud toimivusmõjud. Teisisõnu, pärast plaastrite paigaldamist võib masin töötada aeglasemalt.
"Enamiku tarbeseadmete puhul ei pruugi mõju olla märgatav," märgitakse nõuandes. "Kuid konkreetne mõju varieerub sõltuvalt riistvara genereerimisest ja juurutamisest kiibitootja poolt."
Windows Update'i käsitsi käivitamiseks klõpsake nuppu Start, hammasrattaikooni ikooni Seaded, värskendusi ja turvalisust ning klõpsake nuppu Otsi värskendusi.
Apple'i kasutajad peaksid tulevased värskendused installima, klõpsates Apple'i ikoonil, valides App Store, klõpsates Updates ja klõpsates Apple'i üksuste kõrval nuppu Update. Twitteris oli kinnitamata teade, et Apple oli juba detsembri alguses parandanud vead macOS 10.13.2 -ga, kuid detsembri Apple'i plaastrites sisalduvad haavatavuse ID -numbrid (CVE -d) ei ühti Meltdownile ja Spectre'ile määratud numbritega.
Linuxi masinad vajavad ka plaastreid ja tundub, et midagi võib olla peaaegu valmis. Nagu eespool mainitud, parandab jaanuari 2022-2023–2022 Androidi turvapaigas vea, kuigi praegu saab seda vaid väike osa Android-seadmetest. (Pole selge, kui palju Android -seadmeid on vastuvõtlikud.)
Kuidas rünnakud toimivad
Meltdowni rünnak, mis teadlastele teadaolevalt puudutab ainult pärast 1995. aastat välja töötatud Inteli kiipe (välja arvatud Itaniumi liin ja 2013. aastale eelnev Atomi liin), võimaldab tavaprogrammidel juurdepääsu süsteemiteabele, mis peaks olema kaitstud. See teave salvestatakse kernelisse, süsteemi sügavasse süvendisse, mille kasutajate toimingud ei ole kunagi ette nähtud.
"Meltdown lõhub kõige põhilisema isolatsiooni kasutajarakenduste ja operatsioonisüsteemi vahel," selgitasid Meltdown ja Spectre veebisaidid. "See rünnak võimaldab programmil pääseda juurde teiste programmide ja operatsioonisüsteemi mälule ja seega ka saladustele."
"Kui teie arvutil on haavatav protsessor ja see töötab patseerimata operatsioonisüsteemiga, ei ole tundliku teabega töötamine ohutu ilma teabe lekkimiseta."
Meltdown nimetati selliseks, kuna see "sulab põhimõtteliselt turvapiirid, mida tavaliselt riistvara rakendab".
Sellega seotud vea parandamiseks peaks tuumamälu olema kasutajate protsessidest veelgi rohkem eraldatud, kuid sellel on tõrge. Näib, et viga esineb osaliselt seetõttu, et mälu jagamine kerneli ja kasutajaprotsesside vahel võimaldab süsteemidel kiiremini töötada ning selle jagamise peatamine võib CPU jõudlust vähendada.
Mõne aruande kohaselt võivad parandused aeglustada süsteemide tööd kuni 30 protsenti. Meie kolleegid Tom's Hardware'ist arvavad, et süsteemi jõudluse mõju oleks palju väiksem.
Spectre seevastu on universaalne ja "lõhub isolatsiooni erinevate rakenduste vahel", teatasid veebisaidid. "See võimaldab ründajal petta häid tavasid järgivaid vigadeta programme oma saladusi lekitama. Tegelikult suurendavad nimetatud parimate tavade ohutuskontrollid tegelikult rünnakupinda ja võivad muuta rakendused Spectre'ile vastuvõtlikumaks."
"Kõik kaasaegsed protsessorid, mis on võimelised lendama paljude juhistega, on potentsiaalselt haavatavad". "Eelkõige oleme kontrollinud Spectre'i Inteli, AMD ja ARM protsessorites."
Saitidel selgitatakse, et selliste rünnakute tuvastamine oleks peaaegu võimatu ja viirusetõrjetarkvara tuvastaks ainult pahavara, mis sisenes süsteemi enne rünnakute käivitamist. Nad ütlevad, et Spectrit on raskem maha tõmmata kui Meltdownit, kuid pole tõendeid, et sarnaseid rünnakuid oleks "looduses" korraldatud.
Kuid nad ütlesid, et Spectre, nn sellepärast, et see kuritarvitab spekulatiivset täitmist, tavalist kiibistikuprotsessi, "jääb meid juba mõnda aega kummitama".
Kadunud kunst saladust hoida
Google teatas nendest puudustest Intelile, AMD-le ja ARM-ile juunis 2022-2023–2022 ning kõik asjaosalised püüdsid seda kõike vaikuses hoida, kuni plaastrid järgmisel nädalal valmis saavad. Kuid infoturbeeksperdid, kes polnud saladuses, võiksid öelda, et tulemas on midagi suurt.
Arutelud Linuxi arendusfoorumites puudutasid operatsioonisüsteemi kernelmälu käitlemise radikaalset uuendamist, kuid üksikasju ei avaldatud. Microsofti, Amazoni ja Google'i e -posti aadressidega inimesed olid salapäraselt seotud. Ebatavaliselt tuli kapitaalremont tagasi teisaldada mitmesse varasemasse Linuxi versiooni, mis näitab, et suur turvaprobleem on lahendamisel.
See tekitas Redditis ja 4chanis paar päeva vandenõuteooriaid. Esmaspäeval (1.
Teisipäeva hiline aeg (2. jaanuar). Register koondas palju sarnast teavet. Samuti märkis ta, et Amazon Web Services teostab reede õhtul (5. jaanuaril) hooldust ja taaskäivitab oma pilveserverid. ja et Microsofti Azure Cloudis oli 10. jaanuariks plaanitud midagi sarnast.
Tamm purunes kolmapäeval, kui üks Hollandi julgeolekuuurija säutsus Twitteris, et on loonud kontseptsiooni tõestava vea, mis näib ära kasutavat vähemalt ühte puudust.
Kell 15.00. EST kolmapäeval avaldas Intel, kelle aktsia oli selle päeva kauplemises langenud umbes 10 protsenti, avaldas pressiteate, mis vähendas puudusi ja selle aktsiad said vastavalt oma osa tagasi. Kuid ettevõte tunnistas, et vigu võib kasutada andmete varastamiseks ning et tema ja teised kiibitootjad töötavad probleemi lahendamiseks.
"Intel ja teised müüjad plaanisid selle probleemi avalikustada järgmisel nädalal, kui on saadaval rohkem tarkvara- ja püsivaravärskendusi," seisis avalduses. "Kuid Intel teeb selle avalduse täna, kuna praegused ebatäpsed meediaaruanded."
Kell 17 astus Austria Grazi tehnikaülikooli infoturbe järeldoktorant Daniel Gruss välja, et kuulutada välja Meltdown ja Spectre. Ta ütles ZDNeti Zack Whittakerile, et puudused mõjutasid peaaegu kõiki Inteli kiipidel põhinevaid süsteeme alates 1995. aastast. Selgus, et probleem oli veelgi hullem.
Gruss oli üks seitsmest Grazi teadlasest, kes avaldas oktoobris 2022-2023–2022 tehnilise dokumendi, milles kirjeldati üksikasjalikult Linuxi kernelmälu käitlemise teoreetilisi vigu, ja pakkus välja paranduse. Selle loo alguses viidatud pseudonüümne blogija Python Sweetness arvas ilmselt õigesti, kui arvas, et see paber on kesksel kohal Inteli vea kallal, millega praegu tegeletakse.
Kell 18.00. EST, Spectre ja Meltdown saidid käivitati koos Google'i ajaveebi postitusega, milles kirjeldati üksikasjalikult selle ettevõtte uuringuid. Selgus, et kaks meeskonda olid Meltdowni iseseisvalt avastanud ja kolm erinevat meeskonda leidsid samaaegselt Spectre'i. Google'i Project Zero ja Grussi meeskond Grazis olid abiks mõlemas.
Pildikrediit: Natascha Eidl/Avalik domeen
- 12 arvutiturbe viga, mida tõenäoliselt teete
- Parim viirusetõrje arvutile, Macile ja Androidile
- Teie ruuteri turvalisus haiseb: kuidas seda parandada