Опять Spectre: Intel, Google и Microsoft подтвердили наличие очередной уязвимости
Опять Spectre: Intel, Google и Microsoft подтвердили наличие очередной уязвимости

В Variant 4 используется распространенная в большинстве современных процессорных архитектур функция спекулятивного выполнения,


09:37 28.05.2018   |  Фергюс Холлидей |  PC World, Австралия

Рубрика Технологии |   1571 прочтение



Атака Variant 4 использует распространенную в большинстве современных процессорных архитектур функцию, позволяющую предугадывать дальнейший ход выполнения программы

Microsoft и Google совместными усилиями выявили новую брешь в системе безопасности центральных процессоров, которая получила название Speculative Store Bypass (Variant 4).

В германском компьютерном журнале C't была опубликована подтвержденная впоследствии Intel информация об обнаружении очередного варианта уязвимости Meltdown/Spectre, которая заставила понервничать поставщиков средств безопасности в конце 2017 года.

«В Variant 4 используется распространенная в большинстве современных процессорных архитектур функция спекулятивного выполнения, позволяющая предугадывать дальнейший ход выполнения программы, – указала исполнительный вице-президент и генеральный менеджер группы Intel Product Assurance and Security Лесли Калбертсон. – В связи с этим возможен потенциальный вывод определенных данных путем атаки по сторонним каналам. В данном случае исследователи продемонстрировали Variant 4 в исполняемой среде языка программирования. У нас пока нет информации об успешных браузерных эксплойтах, но наиболее распространенной областью применения исполняемых сред (например, JavaScript) являются именно браузеры».

В опубликованном Red Hat видео представлен краткий теоретический обзор того, как это все работает.

К счастью, начиная с января, большинство ведущих создателей браузеров интегрировали в свои управляемые исполняемые среды средства противодействия уязвимости Variant 1. Эти меры противодействия значительно снижают сложность использования сторонних каналов в веб-браузерах. Соответствующие средства актуальны и для Variant 4, и клиенты могут сегодня ими воспользоваться.

Но для надежного предотвращения применения этого метода другими способами разработчикам необходимо принять дополнительные меры противодействия к распространению Variant 4 и выпустить соответствующее сочетание микрокода и программных обновлений.

По словам Калбертсон, Intel уже предлагает OEM-производителям и поставщикам программного обеспечения бета-версию обновления микрокода для Variant 4. Ожидается, что в ближайшие недели она найдет отражение в BIOS и других программных обновлениях. По умолчанию обновления будут отключены, и клиенты сами смогут принять решение о том, стоит ли их использовать. У большинства партнеров Intel соответствующие средства по умолчанию скорее всего также будут отключены.

По сути, конечным пользователям предлагается выбор между увеличением производительности и укреплением безопасности.

По оценкам Intel, при включенном обновлении производительность может снижаться на 2-8%.

В Microsoft сообщили, что ранее им удалось выявить этот вариант, и в ноябре 2017 года они информировали об этом своих отраслевых партнеров в рамках программы Coordinated Vulnerability Disclosure (CVD).

Корпорация продолжает работать с производителями чипов и уже выпустила средства глубокой защиты, призванные закрыть уязвимости спекулятивного выполнения в ее продуктах и сервисах.

«У нас нет данных о том, что уязвимости этого класса как-то затронули Windows и инфраструктуру наших облачных сервисов, – указали в Microsoft. – Мы будем и дальше предоставлять своим клиентам средства защиты по мере их появления, а наша стандартная политика снижения рисков заключается в выпуске по вторникам обновлений в соответствии с ранее намеченным расписанием».

В Intel уже приступили к перестройке своих чипов, чтобы защитить их от атак Spectre, Meltdown и Variant 4. Более подробные сведения об обеспечении безопасности на аппаратном уровне будут опубликованы позже.


Теги: показывать на главной Самое интересное Intel Процессоры Уязвимости Кибербезопасность

На ту же тему: