Godt nytt år! Tre massive sikkerhetsfeil i Intel, AMD, ARM og andre prosessorer ble avslørt onsdag (3. januar). Microsoft utstedte en nødrettingsoppdatering for alle støttede versjoner av Windows, inkludert Windows 7, Windows 8.1 og Windows 10, men la til at brukere også bør bruke fastvareoppdateringer når de blir tilgjengelige fra enhetsprodusenter. Google la opp feilen i Android med oppdateringen januar 2022-2023-2022, utgitt tirsdag (2. januar), selv om bare Google-administrerte enheter har den foreløpig. Patcher for macOS, iOS og Linux er kanskje ikke fullt tilgjengelig ennå.
To proof-of-concept-angrep, kalt "Meltdown" og "Spectre", utnytter disse tre feilene, som angår måten moderne datamaskinprosessorer håndterer driftsminnet til applikasjoner og kjernesystemet, eller kjernen, på nåværende operativsystemer.
"Meltdown og Spectre fungerer på personlige datamaskiner, mobile enheter og i skyen," sier nettstedene som er dedikert til hver feil, som har identisk innhold. "Avhengig av nettleverandørens infrastruktur, kan det være mulig å stjele data fra andre kunder."
Et blogginnlegg fra Google forklarte at feilene gjorde det mulig slik at "en uautorisert part kan lese sensitiv informasjon i systemets minne, for eksempel passord, krypteringsnøkler eller sensitiv informasjon som er åpen i applikasjoner."
Meltdown sletter grensene mellom kjerneprosesser og brukerprosesser og ser ut til å være begrenset til Intel -brikker. Spectre stjeler data fra kjørende applikasjoner og fungerer også på AMD og ARM -brikker. Spectre og Meltdown -nettstedene beskrev ikke hvordan de forskjellige brikkesettene som ble brukt på mobile enheter ble påvirket.
AMD benektet imidlertid at det var påvirket av noen av feilene.
"AMD er ikke utsatt for alle tre variantene," sa selskapet til CNBC. "På grunn av forskjeller i AMDs arkitektur, tror vi det er en nesten null risiko for AMD-prosessorer på dette tidspunktet."
Hva å gjøre
Hvis du bruker Windows 7, 8.1 eller 10, bør du bruke Windows -sikkerhetsoppdateringen som ble utgitt i dag. Tidlige versjoner av oppdateringene ble sendt til Windows Insider -brukere i november og desember.
"Vi er i ferd med å distribuere begrensninger for skytjenester og slipper sikkerhetsoppdateringer i dag for å beskytte Windows -kunder mot sårbarheter som påvirker støttede maskinvarebrikker fra AMD, ARM og Intel," heter det i en uttalelse fra Microsoft. "Vi har ikke mottatt informasjon som indikerer at disse sårbarhetene hadde blitt brukt til å angripe kundene våre."
Imidlertid er det et par fangster. Først, med mindre du kjører en bærbar datamaskin eller nettbrett med Microsoft, for eksempel en Surface, Surface Pro eller Surface Book, må du også bruke en fastvareoppdatering fra datamaskinens produsent.
"Kunder som bare installerer sikkerhetsoppdateringene for Windows januar2021-2022, vil ikke motta alle kjente beskyttelsene mot sårbarhetene," sa et Microsoft-støttedokument som ble lagt ut på nettet. "I tillegg til å installere sikkerhetsoppdateringene i januar, en prosessormikrokode eller fastvare, er oppdatering nødvendig. Dette bør være tilgjengelig gjennom enhetsprodusenten. Surface -kunder vil motta en mikrokodeoppdatering via Windows -oppdatering."
For det andre insisterer Microsoft på at kundene må kontrollere at de har "støttet" antivirusprogramvare som kjører før de bruker oppdateringen. I et eget dokument som forklarer den nye sikkerhetsoppdateringen, sier Microsoft at bare maskiner som kjører slik programvare, får oppdateringen automatisk.
Det er ikke klart hva Microsoft mener med "støttet" antivirusprogramvare, eller hvorfor Microsoft insisterer på at slik programvare skal være på maskinen før oppdateringen brukes. Det er en lenke til et dokument som skal forklare alt dette, men da vi skrev sent onsdag kveld, gikk koblingen ingen steder.
Sist innrømmer Microsoft at det er "potensielle ytelsespåvirkninger" knyttet til oppdateringene. Med andre ord, etter at du har brukt lappene, kan maskinen kjøre saktere.
"For de fleste forbrukerenheter er virkningen kanskje ikke merkbar," heter det i rådgivningen. "Den spesifikke virkningen varierer imidlertid etter maskinvaregenerering og implementering av brikkeprodusenten."
Hvis du vil kjøre Windows Update manuelt, klikker du på Start -knappen, klikker på tannhjulikonet Innstillinger, klikker på Oppdateringer og sikkerhet og klikker på Søk etter oppdateringer.
Apple -brukere bør installere fremtidige oppdateringer ved å klikke på Apple -ikonet, velge App Store, klikke på Oppdateringer og klikke på Oppdater ved siden av elementer fra Apple. Det var en ubekreftet rapport på Twitter om at Apple allerede hadde reparert feilene med macOS 10.13.2 i begynnelsen av desember, men sårbarhets -ID -numrene (CVE -er) som ble dekket i Apple -oppdateringene i desember, samsvarer ikke med de som er tilordnet Meltdown og Spectre.
Linux -maskiner vil også kreve oppdateringer, og det ser ut til at noe kan være nesten klart. Som nevnt ovenfor fikser sikkerhetsoppdateringen for januar2022-2023 Android feilen, men bare en liten prosentandel av Android-enheter vil motta den for nå. (Det er ikke klart hvor mange Android -enheter som er mottakelige.)
Hvordan angrepene fungerer
Meltdown-angrepet, som så langt forskerne vet, påvirker bare Intel-brikker utviklet siden 1995 (unntatt Itanium-linjen og Atom-linjen før 2013), lar vanlige programmer få tilgang til systeminformasjon som skal beskyttes. Denne informasjonen er lagret i kjernen, det dypt nedfelte senteret i systemet som brukeroperasjoner aldri er ment å komme i nærheten av.
"Meltdown bryter den mest grunnleggende isolasjonen mellom brukerprogrammer og operativsystemet," forklarte Meltdown og Specter -nettstedene. "Dette angrepet gir et program tilgang til minnet, og dermed også hemmelighetene til andre programmer og operativsystemet."
"Hvis datamaskinen din har en sårbar prosessor og kjører et upatchet operativsystem, er det ikke trygt å jobbe med sensitiv informasjon uten sjanse for å lekke informasjonen."
Meltdown ble navngitt som sådan fordi det "i utgangspunktet smelter sikkerhetsgrenser som normalt håndheves av maskinvaren."
For å fikse den tilhørende feilen, må kjerneminnet være enda mer isolert fra brukerprosesser, men det er en fangst. Det ser ut til at feilen delvis eksisterer fordi deling av minne mellom kjernen og brukerprosessene tillater systemer å kjøre raskere, og å stoppe den delingen kan redusere CPU -ytelsen.
Noen rapporter sa at reparasjonene kan bremse systemene med opptil 30 prosent. Våre kolleger på Toms maskinvare tror at systemytelsen vil bli mye mindre.
Spectre, derimot, er universell og "bryter isolasjonen mellom forskjellige applikasjoner," sa nettstedene. "Det gjør at en angriper kan lure feilfrie programmer, som følger beste praksis, til å lekke hemmelighetene sine. Faktisk øker sikkerhetskontrollene av nevnte beste praksis faktisk angrepsflaten og kan gjøre applikasjoner mer utsatt for Spectre."
"Alle moderne prosessorer som er i stand til å holde mange instruksjoner under flyging, er potensielt sårbare" for Spectre. "Spesielt har vi verifisert Specter på Intel-, AMD- og ARM -prosessorer."
Nettstedene fortsetter med å forklare at det ville være nesten umulig å oppdage slike angrep, og at antivirusprogramvare bare kunne oppdage skadelig programvare som kom inn i systemet før angrepene ble startet. De sier Spectre er vanskeligere å trekke av enn Meltdown, men at det ikke var bevis på at lignende angrep hadde blitt utført "i naturen".
Imidlertid sa de at Spectre, såkalt fordi det misbruker spekulativ utførelse, en vanlig brikkesettprosess, "vil hjemsøke oss en god stund."
Den tapte kunsten å holde på en hemmelighet
Intel, AMD og ARM ble fortalt av Google om disse feilene tilbake i juni2021-2022, og alle involverte parter prøvde å holde det helt stille til lappene var klare neste uke. Men informasjonssikkerhetseksperter som ikke var inne på hemmeligheten, kunne fortelle at noe stort kom.
Diskusjoner i Linux -utviklingsfora gjaldt radikale overhalinger av operativsystemets håndtering av kjerneminne, men ingen detaljer ble avslørt. Personer med e -postadresser fra Microsoft, Amazon og Google var mystisk involvert. Uvanlig skulle overhalingene porteres tilbake til flere tidligere versjoner av Linux, noe som indikerer at et stort sikkerhetsproblem ble løst.
Det utløste et par dager med konspirasjonsteorier om Reddit og 4chan. Mandag (1. januar), koblet en blogger som kalte seg Python Sweetness "de usynlige prikkene" i et langt innlegg som beskriver flere parallelle utviklinger blant Windows- og Linux -utviklere angående håndtering av kjerneminne.
Sent tirsdag (2. januar). Registeret samlet mye lignende informasjon. Det bemerket også at Amazon Web Services ville utføre vedlikehold og starte skyservere på nytt fredag kveld (5. januar). og at Microsofts Azure Cloud hadde noe lignende planlagt 10. januar.
Demningen brøt onsdag da en nederlandsk sikkerhetsforsker twitret at han hadde laget en proof-of-concept-feil som syntes å utnytte minst en av feilene.
Klokken 15.00 EST onsdag, Intel, som hadde sett aksjen synke om lag 10 prosent i dagens handel, ga ut en pressemelding som bagatelliserte feilene, og aksjen gjenvunnet følgelig grunnen. Men selskapet innrømmet at feilene kan være bruk for å stjele data, og at det og andre chipmakere jobbet med å fikse problemet.
"Intel og andre leverandører hadde planlagt å avsløre dette problemet neste uke når flere programvare- og fastvareoppdateringer vil være tilgjengelige," heter det i uttalelsen. "Imidlertid kommer Intel med denne uttalelsen i dag på grunn av de nåværende unøyaktige medieoppslagene."
Klokken 17.00 sto Daniel Gruss, en postdoktor i informasjonssikkerhet ved det tekniske universitetet i Graz i Østerrike, fram for å kunngjøre Meltdown og Spectre. Han fortalte ZDNets Zack Whittaker at "nesten alle systemer" basert på Intel -brikker siden 1995 var påvirket av feilene. Det viste seg at problemet var enda verre.
Gruss var en av syv Graz-forskere som i oktober2022-2023 publiserte et teknisk papir som beskriver teoretiske feil i måten Linux håndterte kjerneminne på, og foreslo en løsning. Python Sweetness, den pseudonyme bloggeren det ble referert til i begynnelsen av denne historien, hadde tilsynelatende riktig i å gjette at det papiret var sentralt i Intel -feilen som det arbeides med nå.
Klokken 18.00 EST, Spectre og Meltdown -nettstedene gikk live, sammen med et Google -blogginnlegg som beskriver selskapets egen forskning. Det viste seg at to lag uavhengig av hverandre hadde oppdaget Meltdown, og tre forskjellige lag samtidig hadde funnet Spectre. Googles Project Zero og Gruss team på Graz hadde en hånd i begge deler.
Bildekreditt: Natascha Eidl/Public domain
- 12 datasikkerhetsfeil du sannsynligvis gjør
- Beste antivirusbeskyttelse for PC, Mac og Android
- Sikkerheten til ruteren din stinker: Slik løser du det