Šťastný nový rok! Ve středu (3. ledna) byly odhaleny tři velké bezpečnostní chyby v procesorech Intel, AMD, ARM a dalších. Společnost Microsoft vydala nouzovou opravu pro všechny podporované verze systému Windows, včetně Windows 7, Windows 8.1 a Windows 10, ale dodala, že uživatelé by měli také použít aktualizace firmwaru, jakmile budou k dispozici od výrobců zařízení. Google opravil chybu v systému Android aktualizací z ledna 2022-2023–2022 vydanou v úterý (2. ledna), i když to zatím mají pouze zařízení spravovaná společností Google. Opravy pro macOS, iOS a Linux ještě nemusí být plně k dispozici.
Dva útoky typu proof-of-concept, přezdívané „Meltdown“ a „Spectre“, využívají těchto tří nedostatků, které se týkají způsobu, jakým moderní počítačové procesory zpracovávají běžící paměť aplikací a základní systém neboli jádro na současných operačních systémech.
„Meltdown a Spectre fungují na osobních počítačích, mobilních zařízeních a v cloudu,“ říkají webové stránky věnované každé chybě, které mají stejný obsah. „V závislosti na infrastruktuře poskytovatele cloudových služeb může být možné ukrást data jiným zákazníkům.“
Příspěvek na blog Google vysvětlil, že tyto chyby to umožňují, aby „neoprávněná strana mohla číst citlivé informace v paměti systému, jako jsou hesla, šifrovací klíče nebo citlivé informace otevřené v aplikacích“.
Meltdown maže hranice mezi jádrovými procesy a uživatelskými procesy a zdá se, že je omezen na čipy Intel. Spectre krade data ze spuštěných aplikací a funguje i na AMD a ARM čipech. Webové stránky Spectre a Meltdown neuváděly podrobně, jak byly ovlivněny různé čipové sady používané na mobilních zařízeních.
AMD však popřel, že by byla ovlivněna některou z nedostatků.
„AMD není náchylná ke všem třem variantám,“ uvedla společnost pro CNBC. „Vzhledem k rozdílům v architektuře AMD se domníváme, že v současné době existuje pro procesory AMD téměř nulové riziko.“
Co dělat
Pokud používáte Windows 7, 8.1 nebo 10, měli byste použít dnes vydanou aktualizaci zabezpečení systému Windows. Počáteční verze oprav byly uživatelům Windows Insider zaslány v listopadu a prosinci.
„Jsme v procesu nasazování zmírnění dopadů na cloudové služby a dnes vydáváme aktualizace zabezpečení, abychom ochránili zákazníky Windows před zranitelnostmi ovlivňujícími podporované hardwarové čipy od AMD, ARM a Intel,“ uvádí se v části prohlášení společnosti Microsoft. „Nedostali jsme žádné informace, které by naznačovaly, že tyto chyby zabezpečení byly použity k útoku na naše zákazníky.“
Existuje však několik úlovků. Za prvé, pokud nepoužíváte notebook nebo tablet poskytovaný společností Microsoft, jako je Surface, Surface Pro nebo Surface Book, budete muset použít také aktualizaci firmwaru od výrobce počítače.
„Zákazníci, kteří si nainstalují pouze aktualizace zabezpečení systému Windows leden 2022-2023–2022, nezískají výhodu všech známých ochran proti zranitelnostem,“ uvádí se v dokumentu podpory společnosti Microsoft zveřejněném online. "Kromě instalace lednových bezpečnostních aktualizací je vyžadována také aktualizace mikrokódu procesoru nebo firmwaru. To by mělo být k dispozici u výrobce vašeho zařízení. Zákazníci Surface obdrží aktualizaci mikrokódu prostřednictvím aktualizace systému Windows."
Za druhé, Microsoft trvá na tom, aby se zákazníci před aplikací opravy ujistili, že mají „podporovaný“ antivirový software spuštěný. V samostatném dokumentu, který vysvětluje novou opravu zabezpečení, Microsoft uvádí, že opravu automaticky získají pouze počítače s takovým softwarem.
Není jasné, co přesně má Microsoft na mysli „podporovaným“ antivirovým softwarem, ani proč Microsoft trvá na tom, že by takový software měl být na počítači ještě před aplikací opravy. Existuje odkaz na dokument, který to všechno má vysvětlit, ale v době psaní této zprávy ve středu pozdě večer odkaz nikam nevedl.
Microsoft konečně připouští, že s opravami jsou spojeny „potenciální dopady na výkon“. Jinými slovy, po použití záplat může stroj běžet pomaleji.
„U většiny spotřebitelských zařízení nemusí být dopad znatelný,“ uvádí poradní sbor. „Konkrétní dopad se však liší podle generace hardwaru a implementace výrobcem čipu.“
Chcete -li Windows Update spustit ručně, klikněte na tlačítko Start, klikněte na ikonu ozubeného kola Nastavení, klikněte na Aktualizace a zabezpečení a klikněte na Zkontrolovat aktualizace.
Uživatelé Apple by si měli nainstalovat budoucí aktualizace kliknutím na ikonu Apple, výběrem App Store, kliknutím na Aktualizace a kliknutím na Aktualizovat vedle všech položek od společnosti Apple. Na Twitteru byla nepotvrzená zpráva, že Apple již na začátku prosince opravil nedostatky v systému macOS 10.13.2, ale čísla ID zranitelnosti (CVE) zahrnutá v prosincových opravách Apple neodpovídají číslům přiřazeným Meltdown a Spectre.
Linuxové počítače budou také vyžadovat opravy a zdá se, že něco může být téměř připraveno. Jak již bylo uvedeno výše, bezpečnostní oprava z ledna 2022-2023-2022 pro Android tuto chybu opravuje, i když ji prozatím obdrží pouze malé procento zařízení Android. (Není jasné, kolik zařízení Android je náchylných.)
Jak útoky fungují
Útok Meltdown, který, jak vědci vědí, se týká pouze čipů Intel vyvinutých od roku 1995 (kromě řady Itanium a řady Atom před rokem 2013) umožňuje běžným programům přístup k informacím o systému, které mají být chráněny. Tyto informace jsou uloženy v jádře, hluboce zapuštěném středu systému, ke kterému se uživatelské operace nikdy nemají přiblížit.
„Meltdown prolomí nejzákladnější izolaci mezi uživatelskými aplikacemi a operačním systémem,“ vysvětlily weby Meltdown a Spectre. "Tento útok umožňuje programu přístup k paměti, a tím také k tajemstvím, jiných programů a operačního systému."
„Pokud má váš počítač zranitelný procesor a běží na něm nepatchovaný operační systém, není bezpečné pracovat s citlivými informacemi bez možnosti úniku informací.“
Meltdown byl takto pojmenován, protože „v zásadě taví hranice zabezpečení, které jsou normálně vynucovány hardwarem“.
Chcete -li opravit související chybu, paměť jádra bude muset být ještě více izolována od uživatelských procesů, ale má to háček. Zdá se, že chyba existuje částečně, protože sdílení paměti mezi jádrem a uživatelskými procesy umožňuje systémům běžet rychleji a zastavení tohoto sdílení může snížit výkon procesoru.
Některé zprávy uvádějí, že opravy mohou zpomalit systémy až o 30 procent. Naši kolegové z Tom's Hardware si myslí, že dopad na výkon systému by byl mnohem menší.
Spectre je na druhou stranu univerzální a „prolomí izolaci mezi různými aplikacemi“, uvedly webové stránky. "Útočníkovi umožňuje oklamat bezchybné programy, které dodržují osvědčené postupy, aby prozradily jejich tajemství. Ve skutečnosti bezpečnostní kontroly uvedených osvědčených postupů ve skutečnosti zvětšují povrch útoku a mohou způsobit, že aplikace budou náchylnější k Spectre."
„Všechny moderní procesory schopné udržet mnoho instrukcí za letu jsou potenciálně zranitelné“ vůči Spectre. „Zejména jsme ověřili Spectre na procesorech Intel, AMD a ARM.“
Stránky dále vysvětlují, že detekce takových útoků by byla téměř nemožná a že antivirový software mohl detekovat pouze malware, který se do systému dostal před zahájením útoků. Říká se, že Spectre je těžší stáhnout než Meltdown, ale že neexistují žádné důkazy o tom, že by podobné útoky byly zahájeny „ve volné přírodě“.
Řekli však, že Spectre, takzvaný proto, že zneužívá spekulativní provádění, běžný proces čipové sady, „nás bude pronásledovat už nějakou dobu“.
Ztracené umění udržet tajemství
Společnost Intel, AMD a ARM byly společností Google o těchto nedostatcích informovány již v červnu 2022-2023–2022 a všechny zúčastněné strany se snažily udržet vše ticho, dokud nebyly záplaty připraveny příští týden. Experti na informační bezpečnost, kteří neměli tajemství, ale mohli tušit, že se chystá něco velkého.
Diskuse na fórech pro vývoj Linuxu se týkaly radikálních oprav zpracování paměti jádra operačním systémem, ale nebyly zveřejněny žádné podrobnosti. Lidé s e -mailovými adresami Microsoft, Amazon a Google byli záhadně zapojeni. Neobvykle měly být generální opravy přeneseny zpět do několika dřívějších verzí Linuxu, což naznačuje, že byl vyřešen zásadní bezpečnostní problém.
To vyvolalo pár dní konspiračních teorií na Redditu a 4chanu. V pondělí (1. ledna) blogger, který si říká Python Sweetness, „spojil neviditelné body“ v dlouhém příspěvku, který podrobně popisoval několik paralelních vývojů mezi vývojáři Windows a Linux ohledně manipulace s pamětí jádra.
Pozdě úterý (2. ledna). Register agregoval mnoho podobných informací. Rovněž poznamenal, že Amazon Web Services bude provádět údržbu a restartovat své cloudové servery příští pátek v pátek večer (5. ledna). a že Azure Cloud společnosti Microsoft měl něco podobného naplánováno na 10. ledna.
Přehrada se protrhla ve středu, když nizozemský výzkumník bezpečnosti tweetoval, že vytvořil chybu důkazu o konceptu, která jako by zneužila alespoň jednu z nedostatků.
V 15 hodin EST Wednesday, Intel, který zaznamenal pokles akcií o asi 10 procent v ten den obchodování, vydal tiskovou zprávu, která nedostatky bagatelizovala, a její akcie podle toho získaly určitou půdu pod nohama. Společnost ale připustila, že nedostatky lze použít ke krádeži dat a že ona a další výrobci čipů pracují na vyřešení problému.
„Intel a další prodejci plánovali zveřejnit tento problém příští týden, až bude k dispozici více aktualizací softwaru a firmwaru,“ uvádí se v prohlášení. „Intel však dnes činí toto prohlášení kvůli aktuálním nepřesným zprávám v médiích.“
V 17 hodin přišel Daniel Gruss, doktorand v oboru informační bezpečnosti na Technické univerzitě v rakouském Grazu, aby oznámil Meltdown a Spectre. Řekl ZDNet Zack Whittaker, že „téměř každý systém“ založený na čipech Intel od roku 1995 byl ovlivněn nedostatky. Ukázalo se, že problém byl ještě horší.
Gruss byl jedním ze sedmi badatelů ve Štýrském Hradci, kteří v říjnu 2022-2023–2022 publikovali technický dokument s podrobnými teoretickými nedostatky ve způsobu, jakým Linux zpracovával paměť jádra, a navrhli opravu. Python Sweetness, pseudonymní blogger, o kterém se mluvilo na začátku tohoto příběhu, zjevně správně usoudil, že tento papír byl ústředním bodem chyby, na které se nyní pracuje.
V 18 hodin Stránky EST, Spectre a Meltdown byly zveřejněny spolu s příspěvkem na blogu Google, který podrobně popisoval vlastní výzkum této společnosti. Ukázalo se, že dva týmy nezávisle objevily Meltdown a tři různé týmy současně našly Spectre. Na obou měl prsty projekt Google Zero a Grussův tým z Grazu.
Obrazový kredit: Natascha Eidl/Veřejná doména
- 12 chyb v počítačové bezpečnosti, kterých se pravděpodobně dopouštíte
- Nejlepší antivirová ochrana pro PC, Mac a Android
- Zabezpečení vašeho routeru smrdí: Zde je návod, jak jej opravit