Intel ОЧЕНЬ жестко проебался и в погоне за производительностью допустил доступ пользовательскому контексту к памяти ядра (Meltdown) или памяти другого процесса (Spectre). Проблеме также подвержены ARM процессоры, AMD подвержен только проблеме Spectre.
Демонстрация успешной атаки:
Код будет опубликован на следующей неделе, после чего начнется использование эксплойта. Он позволит исполняемому Java скрипту с сайта перехватить все ваши вводимые пароли на устройстве - компьютере, планшете, телефоне. Хотя код Spectre публикуют уже сейчас.
Microsoft выпустил обновление для устранения уязвимости Meltdown
Win 8.1 - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
Win 7 - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
Линукс выпускает обновление аналогично, MacOS - вроде как. Как видите обновлений для XP нет, пользоваться ей придется на свой страх и риск, как, впрочем, и старыми линуксовыми ядрами.
Установка данного обновления снижает производительность процессоров Intel до 30%. Процессоры AMD не затрагиваются данной проблемой и сохраняют свою производительность (привет ноутбуку MSI S12). Больше всего страдают владельцы виртуальных ферм и облаков. Возможно, произойдет подорожание VPS.
Дополнительно можно включить изоляцию в браузере Chrome, это повышает безопасность использования, но снижает производительность.
Обсуждение уязвимости
на хабре - https://habrahabr.ru/search/?q=%5Bmeltdown%5D&target_type=posts
на гиках - https://geektimes.ru/post/297003/
Это самый эпичный проеб в компьютерной безопасности за последние 10 лет. Количество украденных данных и паролей будет слишком велико, чтобы это можно было даже представить. Думаю, в течение года в сеть будет вывалено немало интересного.