Вчера западные СМИ начали сотрясать новости о том, что практически все процессоры Intel, выпущенные за последние 20 лет, подвержены серьёзной уязвимости. Используя её, злоумышленники могут получить доступ ко всем логинам и паролям, кешированным файлам и любым другим личным данным пользователей.
Какие процессоры в зоне риска
Представители Intel наличие угрозы официально подтвердили, отметив также, что уязвимости подвержены и другие производители. С таким мнением согласны и исследователи из Google Project Zero. В ARM сообщили, что процессоры Cortex-A, используемые в смартфонах, могут быть подвержены угрозе, но точная оценка риска требует большего времени. В AMD опасность ситуации тоже признали, однако при этом заявили о «почти нулевом риске» для своих процессоров.
Какие атаки возможны
Условно уязвимость позволяет осуществлять два типа атак, которые названы Meltdown и Spectre.
Meltdown по большей части касается только чипов Intel и нарушает изоляцию между программами и ядром операционной системы, за счёт чего можно получить доступ ко всем хранимым ОС данным.
Spectre же позволяет через локальные приложения получить доступ к содержимому виртуальной памяти других программ.
Как устранить уязвимость на ПК
Справиться с Meltdown вполне можно программным путём, то есть за счёт так называемых заплаток, которые установят запрет на использование приложениями внутренней памяти системы. Правда, после такого апдейта общая работа компьютера может быть замедлена на 5–30%.
Microsoft уже выпустила соответствующее обновление Windows 10, а 9 января ожидается выход аналогичных патчей для других версий ОС Windows. Необходимые обновления для Linux также выходят с начала декабря. В macOS 10.13.2, вышедшей в прошлом месяце, часть уязвимости Meltdown уже закрыта, но полностью проблема, вероятно, будет решена только со следующим обновлением.
Над устранением проблемы активно работает и Google, признавшая, что атаке подвержен и Chrome. До выхода обновления браузера пользователям предлагается вручную включить функцию изолирования сайтов друг от друга.
Что со смартфонами
Что касается мобильных устройств, риск атак тоже есть, но на большинстве гаджетов уязвимость сложно воспроизводима. И тем не менее свежие патчи безопасности от Google уже выпущены для Nexus 5X, Nexus 6P, Pixel C, Pixel/XL и Pixel 2/XL.
Производители других смартфонов тоже получили необходимый патч. Но с какой скоростью он будет разослан на гаджеты — неизвестно.
Когда уязвимость будет полностью устранена
Если ситуация с Meltdown с обновлениями ПО сойдёт на нет, то со Spectre всё куда сложнее. Готовых программных решений на данный момент нет. По предварительным данным, чтобы полностью обезопаситься от атак такого типа, может потребоваться изменение самой архитектуры процессора. Иными словами, заплатки тут не помогут. Проблема будет решена лишь в чипах следующего поколения.
Что делать пользователям
Единственный верный вариант решения проблемы для пользователей ПК и смартфонов — оперативная установка всех доступных обновлений для операционной системы и ПО. Не откладывайте загрузку доступных апдейтов и не забывайте перезагружать устройство после обновления.
