90% процесорів виявилися небезпечними. Що робити власникам гаджетів?
Уразливості Meltdown і Spectre в процесорах майже всіх комп'ютерів і смартфонів дозволяють зловмисникам вкрасти будь-які дані жертви.
Що сталося?
Фахівці з кібербезпеки Google Project Zero і Грацського технічного університету (Австрія) виявили дві критичні уразливості в безпеці 90% процесорів на планеті.
З їх допомогою можна вкрасти будь-яку інформацію з ПК, ноутбуків, смартфонів, планшетів, які працюють на процесорах Intel, AMD та ARM.
1 червня 2017 року фахівці направили в Intel, AMD та ARM інформацію про своє відкриття.
9 січня 2018 року виробники процесорів мали намір випустити спільний звіт про вирішення проблеми, але інформація опинилася в публічному доступі за тиждень до цього. 2 січня про вразливості повідомив сайт The Register.
Що за вразливості і чим вони небезпечні?
Дві уразливості дозволяють проводити два типи атак, які отримали умовні імена Meltdown ("Розплавлювання") і Spectre ("Привид"). Перша порушує бар'єр між пам'яттю операційної системи і додатками. Це дозволяє отримати доступ до конфіденційних даних користувача.
Друга порушує бар'єр між додатками. Це дозволяє будь-якому додатку "залізти" у вміст іншої програми і також вкрасти дані користувача.
Простіше кажучи, за допомогою вразливостей зловмисник може вкрасти паролі, номери банківських карт, ключі шифрування і багато іншого в обхід будь-яких засобів захисту і на будь-якій операційній системі.
Яким процесорам уразливості загрожують найбільше?
Компанія Intel зізналася, що вразливості існують майже в усіх її процесорах, випущених з 1995 року, за винятком серверних чіпів Itanium і процесорів Atom, виготовлених до 2013 року.
AMD не заперечує наявність уразливостей у своїх виробах, проте стверджує, що ризик їх експлуатації майже нульовий.
У ARM стверджують, що вразливості є в процесорах Cortex-A, які використовуються в чіпсетах для смартфонів і планшетів, але їх нема в чіпах Cortex-M для пристроїв "інтернету речей".
Фахівці Google Project Zero з'ясували, що атака Meltdown можлива лише на мікросхемах Intel, а Spectre можна також експлуатувати на процесорах AMD і ARM.
Що зробили виробники процесорів?
4 січня Microsoft випустила екстрене оновлення Windows 10 (патч KB4054022), воно встановиться на комп'ютери автоматично. З 9 січня аналогічний патч доступний для комп'ютерів з Windows 7 і 8, але встановлювати його доведеться вручну.
Google випустила захист Android від Spectre із січневим оновленням безпеки, яке передусім буде доступне для смартфонів Pixel першого і другого поколінь, Nexus 5X і 6P, планшета Pixel C і приставки Nexus Player.
Дані користувачів та сервіси Google (в тому числі Google Search, YouTube, Google Ads, Maps, Blogger, Gmail, Calendar, Drive, Docs і G Suite) вже захищені.
Компанія Apple випустила оновлення для операційних систем iOS, macOS і браузера Safari, які захистять процесори пристроїв від атак Spectre, в результаті яких одні додатки можуть "залазити" в пам'ять інших.
Патчі безпеки для Linux, орієнтовані на захист від Meltdown і Spectre, випускаються з грудня 2017 року.
Як оновлення вплинуть на роботу комп'ютерів і смартфонів?
Оновлення знизять продуктивність процесорів на 5-30% залежно від конкретної моделі "каменю". Найбільше падіння продуктивності користувачі побачать у ресурсомістких завданнях.
Що робити користувачам Windows?
Негайно оновити операційну систему.
Microsoft оперативно опублікувала оновлення безпеки, які повинні захистити операційну систему Windows від реалізації атак через уразливості Meltdown і Spectre.
Були випущені оновлення для Windows 10, Windows 7/Windows Server 2008 R2 (KB4056898) і Windows 8.1/Windows Server 2012 R2 (KB4056897).
Оновлення повинні автоматично встановитися на комп'ютері через Windows Update/WSUS за умови, що користувач сам не відключив сервіс автоматичного оновлення.
У такому випадку користувач може сам завантажити і встановити оновлення:
Windows 10 1507 — KB4056893 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056893
Windows 10 1511 — KB4056888 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056888
Windows 10 1607 — KB4056890 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056890
Windows 10 1703 — KB4056891 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056891
Windows 10 1709 — KB4056892 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056892
Windows 8.1 x86/x64 і Windows Server 2012 R2 (KB4056898):
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
Windows 7 SP1 x86/x64, Windows Server 2008 R2 і Windows Embedded Standard 7 (KB4056897):
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
Що робити користувачам Android?
Завантажувати додатки тільки з Google Play.
Поки відомо, що оновлення отримали лише користувачі пристроїв Google, зокрема, Nexus 5X, Nexus 6P, Pixel C, Pixel, Pixel 2. Коли оновлення випустять виробники інших гаджетів на Android — невідомо.
ОС бюджетних смартфонів на Android сторонніх виробників оновлюється раз за період користування.
Через це їх користувачам варто дотримуватися таких правил: завантажувати додатки лише з Google Play після перевірки автора програми, не скачувати неперевірені додатки, особливо APK-файли, регулярно перевіряти наявність оновлень, встановити антивірус і не скачувати зайві утиліти.
Що робити користувачам iOS?
Завантажувати додатки тільки з Apple Store і перед завантаженням перевіряти автора програми.