blog0015.jpg

Intel ОЧЕНЬ жестко проебался и в погоне за производительностью допустил доступ пользовательскому контексту к памяти ядра (Meltdown) или памяти другого процесса (Spectre). Проблеме также подвержены ARM процессоры, AMD подвержен только проблеме Spectre.

Демонстрация успешной атаки:


Код будет опубликован на следующей неделе, после чего начнется использование эксплойта. Он позволит исполняемому Java скрипту с сайта перехватить все ваши вводимые пароли на устройстве - компьютере, планшете, телефоне. Хотя код Spectre публикуют уже сейчас.

Microsoft выпустил обновление для устранения уязвимости Meltdown

Win 8.1 - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
Win 7 - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897

Линукс выпускает обновление аналогично, MacOS - вроде как. Как видите обновлений для XP нет, пользоваться ей придется на свой страх и риск, как, впрочем, и старыми линуксовыми ядрами.

Установка данного обновления снижает производительность процессоров Intel до 30%. Процессоры AMD не затрагиваются данной проблемой и сохраняют свою производительность (привет ноутбуку MSI S12). Больше всего страдают владельцы виртуальных ферм и облаков. Возможно, произойдет подорожание VPS.

Дополнительно можно включить изоляцию в браузере Chrome, это повышает безопасность использования, но снижает производительность.

Обсуждение уязвимости

на хабре - https://habrahabr.ru/search/?q=%5Bmeltdown%5D&target_type=posts

на гиках - https://geektimes.ru/post/297003/

Это самый эпичный проеб в компьютерной безопасности за последние 10 лет. Количество украденных данных и паролей будет слишком велико, чтобы это можно было даже представить. Думаю, в течение года в сеть будет вывалено немало интересного.

 

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна