Srečno novo leto! Tri velike varnostne napake v procesorjih Intel, AMD, ARM in drugih so bile razkrite v sredo (3. januarja). Microsoft je izdal popravek v sili za vse podprte različice sistema Windows, vključno z operacijskimi sistemi Windows 7, Windows 8.1 in Windows 10, vendar je dodal, da bi morali uporabniki uporabiti tudi posodobitve vdelane programske opreme, ko bodo na voljo pri proizvajalcih naprav. Google je napako v sistemu Android popravil z posodobitvijo januarja 2022-2023–2022, ki je bila izdana v torek (2. januar), čeprav jo imajo zaenkrat le naprave, ki jih upravlja Google. Popravki za macOS, iOS in Linux morda še niso v celoti na voljo.
Dva napada z dokazom koncepta, poimenovana "Meltdown" in "Spectre", izkoriščata te tri pomanjkljivosti, ki zadevajo način, kako sodobni računalniški procesorji obravnavajo tekoči pomnilnik aplikacij in jedrnega sistema ali jedra v trenutnih operacijskih sistemih.
"Meltdown in Spectre delujeta na osebnih računalnikih, mobilnih napravah in v oblaku," pravijo spletne strani, namenjene vsaki pomanjkljivosti, ki imajo enako vsebino. "Odvisno od infrastrukture ponudnika storitev v oblaku bi bilo mogoče ukrasti podatke od drugih strank."
Objava v Googlovem spletnem dnevniku je pojasnila, da so pomanjkljivosti omogočile, da lahko "nepooblaščena stranka prebere občutljive podatke v pomnilniku sistema, kot so gesla, šifrirni ključi ali občutljivi podatki, odprti v aplikacijah."
Meltdown izbriše meje med jedrskimi procesi in uporabniškimi procesi in zdi se, da je omejen na čipe Intel. Spectre ukrade podatke iz izvajanih aplikacij in deluje tudi na čipih AMD in ARM. Spletni strani Spectre in Meltdown nista podrobno opisala vpliva različnih čipov, ki se uporabljajo v mobilnih napravah.
AMD pa je zanikal, da bi nanj vplivala katera od pomanjkljivosti.
"AMD ni dovzeten za vse tri različice," so v podjetju povedali za CNBC. "Zaradi razlik v arhitekturi AMD verjamemo, da trenutno obstaja skoraj nič tveganja za procesorje AMD."
Kaj storiti
Če uporabljate Windows 7, 8.1 ali 10, uporabite varnostno posodobitev sistema Windows, ki je bila izdana danes. Zgodnje različice popravkov so bile uporabnikom sistema Windows Insider poslane novembra in decembra.
"Trenutno smo v postopku uvajanja ublažitev za storitve v oblaku in danes objavljamo varnostne posodobitve za zaščito strank operacijskega sistema Windows pred ranljivostmi, ki vplivajo na podprte čipe strojne opreme AMD, ARM in Intel," je delno navedena Microsoftova izjava. "Nismo prejeli nobenih informacij, ki bi kazale, da so bile te ranljivosti uporabljene za napad na naše stranke."
Vendar pa obstaja nekaj ulovov. Prvič, če ne uporabljate prenosnega računalnika ali tabličnega računalnika, ki ga zagotavlja Microsoft, na primer Surface, Surface Pro ali Surface Book, boste morali uporabiti tudi posodobitev vdelane programske opreme proizvajalca računalnika.
"Stranke, ki namestijo samo varnostne posodobitve sistema Windows januar 2022-2023, ne bodo deležne vseh znanih zaščit pred ranljivostmi," je zapisal Microsoftov dokument za podporo, objavljen na spletu. "Poleg namestitve januarskih varnostnih posodobitev, mikrokode procesorja ali vdelane programske opreme je potrebna tudi posodobitev. To bi moralo biti na voljo pri proizvajalcu vaše naprave. Površinske stranke bodo prejele posodobitev mikrokode prek posodobitve sistema Windows."
Drugič, Microsoft vztraja, da se stranke pred uporabo popravka prepričajo, da imajo "podprto" protivirusno programsko opremo. V ločenem dokumentu, ki pojasnjuje nov varnostni popravek, Microsoft pravi, da bodo popravki samodejno prejeli samo stroji, ki uporabljajo takšno programsko opremo.
Ni povsem jasno, kaj Microsoft misli s "podprto" protivirusno programsko opremo ali zakaj Microsoft vztraja, da bi morala biti takšna programska oprema na računalniku, preden se namesti popravek. Obstaja povezava do dokumenta, ki naj bi vse to pojasnil, a od tega pisanja pozno v sredo zvečer povezava ni šla nikamor.
Nazadnje Microsoft priznava, da so s popravki povezani "možni vplivi na zmogljivost". Z drugimi besedami, po uporabi popravkov bo vaš stroj deloval počasneje.
"Za večino potrošniških naprav učinek morda ne bo opazen," piše v svetovanju. "Vendar pa je poseben vpliv odvisen od proizvodnje strojne opreme in izvedbe proizvajalca čipa."
Če želite ročno zagnati Windows Update, kliknite gumb Start, kliknite ikono zobnika Settings, kliknite Updates & Security in kliknite Check for updates.
Uporabniki Apple bi morali namestiti prihodnje posodobitve tako, da kliknejo ikono Apple, izberejo App Store, kliknejo Posodobitve in kliknejo Posodobi poleg vseh Appleovih elementov. Na Twitterju je bilo nepotrjeno poročilo, da je Apple v začetku decembra že popravil pomanjkljivosti z macOS 10.13.2, vendar se identifikacijske številke ranljivosti (CVE), zajete v decembrskih popravkih za Apple, ne ujemajo s tistimi, ki so bile dodeljene Meltdown in Spectre.
Stroji za Linux bodo potrebovali tudi popravke in zdi se, da je nekaj skoraj pripravljeno. Kot je navedeno zgoraj, varnostni popravek za januar 2022-2023–2022 za Android odpravlja napako, čeprav jo bo zaenkrat prejel le majhen odstotek naprav Android. (Ni jasno, koliko naprav Android je dovzetnih.)
Kako delujejo napadi
Napad Meltdown, ki po mnenju raziskovalcev vpliva le na čipe Intel, razvite od leta 1995 (razen linije Itanium in linije Atom pred letom 2013), rednim programom omogoča dostop do sistemskih informacij, ki naj bi bile zaščitene. Ti podatki so shranjeni v jedru, globoko vdrtem središču sistema, ki se mu uporabniške operacije nikoli ne približujejo.
"Meltdown ruši najbolj temeljno izolacijo med uporabniškimi aplikacijami in operacijskim sistemom," sta pojasnili na spletnih straneh Meltdown in Spectre. "Ta napad omogoča programu dostop do pomnilnika in s tem tudi skrivnosti drugih programov in operacijskega sistema."
"Če ima vaš računalnik ranljiv procesor in poganja neopažen operacijski sistem, delo z občutljivimi informacijami ni varno, ne da bi prišlo do uhajanja informacij."
Meltdown je bil imenovan kot tak, ker "v bistvu topi varnostne meje, ki jih običajno uveljavlja strojna oprema."
Če želite odpraviti s tem povezano napako, bi moral biti pomnilnik jedra še bolj izoliran od uporabniških procesov, vendar obstaja ulov. Zdi se, da napaka deloma obstaja, ker deljenje pomnilnika med jedrom in uporabniškimi procesi omogoča hitrejše delovanje sistemov, ustavitev te skupne rabe pa lahko zmanjša zmogljivost procesorja.
Nekatera poročila navajajo, da bi popravki lahko upočasnili sisteme za kar 30 odstotkov. Naši sodelavci pri podjetju Tom's Hardware menijo, da bi bil vpliv na zmogljivost sistema veliko manjši.
Spectre je na drugi strani univerzalen in "razbija izolacijo med različnimi aplikacijami", so zapisala spletna mesta. "Omogoča napadalcem, da programe brez napak, ki sledijo najboljšim praksam, izigrajo v skrivnosti. Pravzaprav varnostni pregledi omenjenih najboljših praks dejansko povečajo površino napada in lahko naredijo aplikacije bolj dovzetne za Spectre."
"Vsi sodobni procesorji, ki lahko med letom hranijo številna navodila, so potencialno ranljivi" za Spectre. "Zlasti smo preverili Spectre na procesorjih Intel, AMD in ARM."
Spletna mesta razlagajo, da bi bilo odkrivanje takih napadov skoraj nemogoče in da bi protivirusna programska oprema lahko odkrila samo zlonamerno programsko opremo, ki je vstopila v sistem, preden so napadi začeli. Pravijo, da je Spectra težje izvleči kot Meltdown, vendar ni dokazov, da bi bili podobni napadi izvedeni "v divjini".
Vendar so dejali, da nas bo Spectre, tako imenovani, ker zlorablja špekulativno izvajanje, pogost proces nabora čipov, "preganjal kar nekaj časa."
Izgubljena umetnost ohranjanja skrivnosti
Google je Intel, AMD in ARM za te pomanjkljivosti povedal že v juniju 2022-2023–2022, vse vpletene strani pa so poskušale ohraniti vse tiho, dokler popravki niso pripravljeni naslednji teden. Toda strokovnjaki za varnost informacij, ki niso bili v tajnosti, bi lahko povedali, da prihaja nekaj velikega.
Razprave na razvojnih forumih Linuxa so se nanašale na radikalno prenovo ravnanja operacijskega sistema s pomnilnikom jedra, vendar podrobnosti niso bile razkrite. Skrivnostno so bili vpleteni ljudje z e -poštnimi naslovi Microsoft, Amazon in Google. Nenavadno je bilo treba prenove prenesti na več starejših različic Linuxa, kar kaže na odpravo velike varnostne težave.
To je sprožilo nekaj dni teorij zarote na Redditu in 4channu. V ponedeljek (1. januarja) je bloger, ki se imenuje Python Sweetness, "povezal nevidne pike" v dolgi objavi, v kateri je podrobno opisal več vzporednih dogodkov med razvijalci operacijskega sistema Windows in Linux v zvezi z ravnanjem s pomnilnikom jedra.
Pozno v torek (2. januar). Register je zbral veliko podobnih podatkov. Ugotovil je tudi, da bodo Amazon Web Services v petek zvečer (5. januar) izvajale vzdrževanje in znova zagnale strežnike v oblaku. in da je imel Microsoftov Azure Cloud za 10. januar nekaj podobnega.
Jez se je v sredo razbil, ko je nizozemski varnostni raziskovalec na Twitterju zapisal, da je ustvaril hrošč, ki je dokazal koncept in za katerega se je zdelo, da izkorišča vsaj eno od pomanjkljivosti.
Ob 15. uri EST v sredo je Intel, ki je v tem dnevu zabeležil padec svojih delnic za približno 10 odstotkov, izdal sporočilo za javnost, ki je omalovažilo pomanjkljivosti, zato so se njegove delnice ponovno umaknile. Družba pa je priznala, da bi lahko pomanjkljivosti uporabili za krajo podatkov in da so si skupaj z drugimi proizvajalci čipov prizadevali odpraviti težavo.
"Intel in drugi prodajalci so to težavo načrtovali razkriti prihodnji teden, ko bo na voljo več posodobitev programske in vdelane programske opreme," je zapisano v izjavi. "Vendar Intel danes to daje zaradi trenutnih netočnih poročil medijev."
Ob 17. uri se je oglasil Daniel Gruss, podiplomski študent informacijske varnosti na Tehniški univerzi v Gradcu v Avstriji, ki je napovedal Meltdown in Spectre. Zack Whittaker je za ZDNet povedal, da so pomanjkljivosti prizadele "skoraj vsak sistem", ki temelji na čipih Intel od leta 1995. Izkazalo se je, da je problem še hujši.
Gruss je bil eden od sedmih graških raziskovalcev, ki so oktobra 2022-2023–2022 objavili tehnični članek s podrobnostmi o teoretskih pomanjkljivostih v načinu ravnanja Linuxa s pomnilnikom jedra in predlagali popravek. Python Sweetness, psevdonimni bloger, omenjen na začetku te zgodbe, je očitno pravilno sklepal, da je ta papir osrednji del pomanjkljivosti Intel, na kateri zdaj delajo.
Ob 18. uri EST, spletna mesta Spectre in Meltdown sta zaživela skupaj z Googlovim spletnim dnevnikom s podrobnimi raziskavami tega podjetja. Izkazalo se je, da sta dve skupini neodvisno odkrili Meltdown, tri različne ekipe pa so hkrati našle Spectra. Googlov Project Zero in Grussova ekipa v Gradcu sta sodelovala pri obeh.
Zasluga za sliko: Natascha Eidl/Javna domena
- 12 napak pri računalniški varnosti, ki jih verjetno delate
- Najboljša protivirusna zaščita za računalnike, Mac in Android
- Varnost vašega usmerjevalnika smrdi: Evo, kako to popraviti