• Изменены правила обновления Android-приложений (3 фото)

    Корпорация Google представила новый API для операционной системы Android. С помощью нововведения пользователь сможет обновлять приложение и пользоваться им одновременно.
    Читать дальше
  • В России взялись за все мобильные платежи и переводы (2 фото)

    Операторы хотели бы сделать мобильные переводы и платежи более популярными, однако в планах государства – максимально жёсткий контроль данного сегмента. А значит, развиваться услуга будет весьма ограниченно.
    Читать дальше
  • Смартфон с гибким экраном - что на самом деле показал Samsung (8 фото)

    Как и предрекали многочисленные инсайдеры, южнокорейская компания Samsung в рамках ежегодной конференции для разработчиков Samsung Developer Conference открыто продемонстрировала свой первый складной гаджет с гибким дисплеем.
    Читать дальше
  • Harley-Davidson показал свой первый серийный электробайк (16 фото)

    Harley-Davidson — производитель мотоциклов из США, не нуждающийся в представлении. На мотошоу EICMA 2018, прошедшем в Милане, компания показала свой первый электромотоцикл LiveWire. Модель похожа на прототип, представленный ещё 4 года назад.
    Читать дальше
  • Новая беззеркалка на Android подружилась с объективами Canon (2 фото)

    Традиционно, операционная система Android встречается в смартфонах, планшетах, автомобильных системах и даже в домашних гаджетах. Как ни странно, вездесущая ОС от Google редко используется в камерах. На её основе, конечно, было выпущено несколько фотокамер, но они были дорогими и не так хороши при съёмке. Теперь китайский производитель Yo...
    Читать дальше

Чипокалипсис: уязвимы все процессоры от Intel и других производителей

Чипокалипсис: уязвимы все процессоры от Intel и других производителей

Компания Intel сообщила о найденной уязвимости в собственных чипах, после чего проинформировала о той же проблеме в изделиях аналогичного типа от других разработчиков. Подтверждение беззащитности чипсетов, работающих под разными операционными системами (Linux, Windows, Android, iOS, macOS), было подтверждено и в отчёте экспертов Google Project Zero. Специалисты обнаружили два типа уязвимости, носящие условные наименования Meltdown ("Крах") и Spectre ("Призрак"). Суть проблемы заключается в уязвимости процессов при спекулятивном выполнении инструкций чипом. Первая позволяет преодолеть преграду между приложениями и внутренней памятью операционной системы, тем самым давая доступ к конфиденциальным данным, хранящимся там. Вторая же обходит барьер между самими приложениями, то есть одна программа может "залезть" в память другой. В настоящее время под угрозой решения от Intel, AMD и ARM.

Процессоры Intel с архитектурой x86-64 и отдельные типы чипов ARM64 подвержены уязвимости типа Meltdown. Ошибка даёт возможность приложениям получать информацию о содержании памяти ядра ОС, в директории которой могут содержаться данные о логинах, паролях и иная конфиденциальная информация. В процессе спекулятивного исполнения происходит ускорение процессов за счёт предсказания и обработки инструкции до получения подтверждения. При отсутствии подтверждения данные уничтожаются.

Основная проблема такого процесса состоит в том, что злоумышленник может получить доступ к находящимся в кэше процессора данным, опираясь на скорость реакции на запросы. Осуществление атаки по обходным каналам позволит открыть доступ к сведениям, содержащимся в памяти процессора. Такой процесс достаточно трудоёмок и сложен, но осуществим, и не распознаётся антивирусными программами. Доступ к информации, содержащейся в памяти постороннего компьютера с использованием уязвимости Meltdown, возможно осуществить при помощи виртуального компьютера или хост-системы.

Для ликвидации уязвимости специалисты пошли по пути разделения памяти ядра и пользовательского пространства. В данный момент уже ликвидирована проблема в ядре Linux 4.15, компания Microsoft обезопасила Windows10 и в ближайшее время защитит Windows 7 и 8 (по некоторым сведениям обновление планируется выпустить сегодня, то есть 9 января). Корпорация Apple отчиталась о защите в macOS High Sierra 10.13.2, iOS 11.2 и tvOS 11.2 (опасности подвержены все модели iMac и iPhone, а также тв-приставки Apple TV), а Google разработала патч для операционных систем Android и Chrome OS. Завершается работа над браузером Google Chrome 64.

Чипы с архитектурой ARM, с аналогичной уязвимостью (Cortex-A75, Cortex-A73, Cortex-A72, Cortex-A57, Cortex-A17 и Cortex-A9), также получили обновление, закрывающее проблему. Объявлено о защите от Meltdown облачных сервисов Amazon Web Services, Microsoft Azure и Google Cloud Services.

Технология защиты KPTI (Kernel page-table isolation) снижает производительность работы системы, что объясняется необходимостью обнуления TLB-буфера быстрой переадресации при каждом переключении между пользовательским режимом и ядром. Снижение быстродействия составляет от 5 до 30 процентов и зависит от типа выполняемой задачи. Наибольшее падение производительности происходит в приложениях, которые часто ссылаются на ядро (процессы с диском или сетью). Геймеров данная проблема практически не затронет. Кроме того, компания Intel обещает снизить отрицательное влияние обновлений на производительность и даже устранить его полностью.

Уязвимость Spectre позволяет злоумышленникам получить доступ к личным данным приложений, используя спекулятивное выполнение инструкций в большинстве современных процессоров Intel, AMD и ARM. Выполнить на практике такое проникновение гораздо сложнее, чем при помощи уязвимости Meltdown, однако такая возможность есть. Пути преодоления данной проблемы ещё не найдены — методы, аналогичные работе с Meltdown, не срабатывают. Есть мнение, что для ликвидации проблемы придётся изменить архитектуру процессоров. Обновление микрокодов и повышение уровня безопасности лишь уменьшают вероятность проникновения, но не ликвидируют проблему.

Пока нет сведений об атаках, осуществленных с использованием Meltdown или Spectre. Кроме того, специалисты Google не смогли воссоздать уязвимость на Android-устройствах с ARM-процессором даже без последних патчей. И всё же для защиты своих систем и данных специалисты рекомендуют своевременно установить обновления для используемой операционной системы и браузера. Обнародованную опасность для большинства устройств в мире, работающих на чипсетах американского производства, в прессе уже прозвали "чипокалипсисом".
Понравился пост? Просоединяйтесь к нам в Facebook!

Написать комментарий


Включите эту картинку для отображения кода безопасности
обновить, если не виден код


Комментарии: 7

avatar
9 января 2018 12:34 Neon Leo
Весь секрет кроется в слове "американские". Но не менее подозрительно, что решено массово внедрить якобы "заплатки"...
+ 2
Ответить
avatar
9 января 2018 18:36 Ваше имя
И пусть еще скажут, что руководство изначально не в курсе было этой "лазейки" ...
+ 3
Ответить
avatar
10 января 2018 00:48 Гость_sonysan
В статьях на эту тему упомянают AMD, но ниодного примера "взлома" не приводится. AMD в свою очередь заверяет что её системы "защищены" разнообразием архитектур и т.п. и заверяет что риск ничтожен...
Кто-нибудь уже видел опровержение словам AMD, или может кто-нибудь дерзнёт и взломает?
Или их системы действительно, на сегодня, надёжны?!
+ 0
Ответить
avatar
10 января 2018 12:32 n3ur0
Meltdown - расплавление, а не крах
А призрак - это specter. Spectre почти не используется, чаще как "дурное предчувствие"
+ 0
Ответить
avatar
10 января 2018 14:36 Змей Горыныч
Вроде как на рисунке к статье имеем три "беременных" конденсатора... :)
Заплатки MS к Win7 ломают системы на Athlon 64 X2. А вот на Athlon II X2 - всё отлично.
Кроме того ломаются на Athlon 64 и Turion.
+ 1
Ответить
avatar
11 января 2018 14:50 SRX242
реально перепаять и все работает ))
+ 0
Ответить
avatar
11 января 2018 14:50 SRX242
Вопрос: Где таких мелких чуваков что на фото взять???.. оч надо )))))!!!!
+ 0
Ответить
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.