Найденные в процессорах уязвимости касаются почти всех современных компьютеров и телефонов. Как с ними бороться?

Новые уязвимости затрагивают почти все процессоры. Фото Getty Images)

В начале января IT-исследователи рассказали о крупнейшей уязвимости, которой подвержены практически все современные компьютеры и телефоны. Дыра в безопасности, в результате которой злоумышленники могут получить доступ к личным данным пользователей, была обнаружена независимыми группами исследователей еще полгода назад, однако разработчики процессоров попросили до 9 января не разглашать данные, чтобы успеть исправить ошибку.

Что за уязвимости?

Уязвимости, получившие названия Meltdown и Spectre, были найдены командами Google Project Zero и Грацского технического университета. 1 июня 2017 года они отправили отчеты о проблеме компаниям Intel, AMD и ARM, занимающим более 90 процентов на рынке производителей процессоров.

Обнаруженные исследователями уязвимости особенно масштабны, поскольку фундаментальная ошибка содержится не в программном обеспечении, а в самих процессорах.

Meltdown («Расплавление») разрушает изоляцию между пользовательскими приложениями и операционной системой при спекулятивном выполнении команд. Таким образом, программа-злоумышленник может получить несанкционированный доступ к оперативной памяти ядра — и прочитать закрытые данные.

Spectre («Призрак», общее название для еще двух уязвимостей) позволяет вредоносному агенту считывать данные, к которым он не должен иметь доступ, — например, пароли из интернет-браузера.

Уязвимости Meltdown подвержены практически все процессоры, выпущенные компанией Intel с 1995 года (кроме моделей Intel Itanium и Intel Atom, выпущенных до 2013 года). Spectre же касается не только процессоров Intel, но и AMD и ARM (семейства Cortex-A и Cortex-R). Проще говоря, это почти все устройства — от персональных компьютеров и ноутбуков до смартфонов. При этом следов вторжения Meltdown и Spectre не оставляют — пользователи вряд ли смогут определить, украли ли у них данные.

Почему о них стало известно только сейчас?

2 января 2018 года об уязвимостях сообщил сайт The Register. 9 января производители процессоров и другие крупные IT-компании намеревались выпустить совместный отчет о решении проблемы — однако информация оказалась в публичном доступе за неделю до того. Обнаружившая уязвимости команда исследователей Грацского университета создала сайт с подробным описанием своих находок.

Что говорят производители процессоров и программ?

3 января компания Intel заявила, что в курсе проблемы и вместе с другими производителями работает над ее решением. Компания пообещала в ближайшие дни выпустить официальные обновления, которые устранят возникшие уязвимости. При этом в Intel подчеркнули, что выявленные ошибки «не могут повредить, изменить или удалить данные пользователей» — хотя проблема с уязвимостями прежде всего не в повреждении или изменении данных, а в их возможной краже.

В Apple подтвердили, что уязвимость присутствует на всех компьютерах и телефонах, произведенных компанией. В Google заявили, что устранили все уязвимости во всех своих продуктах, — и опубликовали технические инструкции по защите от потенциальных атак с помощью Meltdown и Spectre. Представители Amazon сообщили, что все клиенты компании защищены от уязвимостей Meltdown и Spectre. В компании также отметили, что не наблюдали значительного влияния уязвимостей на производительность своих продуктов.

Как с этим бороться? Мне что-то угрожает?

Если совсем просто: обновить все, что можно обновить (а лучше — включить автоматические обновления).

Уязвимость Meltdown проще эксплуатировать, однако для ее устранения достаточно обновить операционную систему — и Microsoft, и Apple уже выпустили соответствующие обновления для своего программного обеспечения. Если у вас версия Windows ниже 10, придется скачать и установить обновление вручную; в противном случае система обновится автоматически. Обновления, которые позволяют устранить Meltdown, способны серьезно (на треть) замедлить операции, которые требуют обращения к ядру системы, — например, если вам нужно посмотреть размер папки на диске, — однако для более обычных действий вроде просмотра сайтов в интернете или видеоигр таких операций требуется совсем немного.

Использовать во вредоносных целях уязвимость Spectre сложнее, но тоже возможно. Чтобы устранить ее, придется обновлять отдельные программы. Главным образом — браузеры: благодаря Spectre можно получать доступ к пользовательским паролям; это уже обнаружили и поправили в Firefox.

Производители (например, Apple) также рекомендуют не пользоваться никаким подозрительным программным обеспечением и скачивать приложения только из проверенных источников.

Начинать новую жизнь в иммиграции сложно - многому нужно учиться почти с нуля, а рядом далеко не всегда есть те, кто поможет и поддержит.

“Рубик” очень хочет помочь людям переехать и преуспеть в США. Мы публикуем сотни материалов в месяц. Всегда подробную и проверенную информацию.

Мы общаемся с иммиграционными адвокатами и экспертами, чтобы они бесплатно отвечали на ваши вопросы и помогали не наделать дорогостоящих ошибок. Мы помогаем соотечественникам, оказавшимся в тяжелых обстоятельствах, и жертвам домашнего насилия. И мы создаем среду общения без агрессии и осуждения, модерируя для вас группы в фейсбуке.

Над “Рубиком” работает более десяти человек, и у нас много затрат - зарплаты, хостинг, почта и так далее. Мы не хотим вводить платную подписку, чтобы не лишить нуждающихся людей доступа к информации.

Поэтому в некоторые месяцы нам очень сложно перекрыть расходы. У нас нет внешних инвесторов со скрытыми мотивами (которые взамен денег всегда хотят влиять на редакцию). Проект основан и принадлежит журналисту и иммигрантке Катерине Пановой и живет исключительно за счет рекламных доходов и поддержки аудитории.

Пожалуйста, поучаствуйте в нашем стремлении помочь иммигрантам, поддержав редакцию. Даже несколько долларов, которые вы бы потратили на кофе, помогут нам подготовить материал, который сохранит кому-то последние деньги и не позволит отдать их мошенникам.

Adblock
detector