Dwa nowe warianty Spectre można uruchomić za pomocą JavaScriptu

Fot. Pixabay
Zespół Google'a "Project Zero" odkrył luki w procesorach już 6 lutego. Od razu poinformował o tym producentów, dając im 90 dni na wprowadzenie poprawek. Dlatego dopiero teraz ta informacja pojawiła się publicznie. Równolegle o lukach poinformował Microsoft. Na nowe ataki podatne są procesory Intela, AMD i stworzone w architekturze ARM.

Intel już pracuje nad poprawkami w mikrokodzie. AMD z kolei zaleca aktualizowanie systemów operacyjnych. Aktualizacją powinny zostać objęte wszystkie komputery od tych pracujących na procesorach Bulldozer z 2011 r. do najnowszych. Obie firmy zapewniają, że wykorzystanie luk nie jest łatwe i wymaga dużej wiedzy. Choć niepokoi fakt, że luki w zabezpieczeniach można wykorzystać za pomocą JavaScriptu. Producenci najpopularniejszych przeglądarek wprowadzili już poprawki, które blokują możliwość uruchomienia exploitu.

Spectre jest niebezpieczny ponieważ wykorzystuje luki występujące na poziomie sprzętowym. Z tego powodu wykrycie ataku z jego użyciem jest trudne, a haker może nie zostawić po sobie śladów. Teraz okazuje się, że złodzieje danych maja do dyspozycji także kod JavaScript. Informowaliśmy o tym, że Microsoft zamierza umożliwić wykorzystanie skryptów tego języka programowania w Excelu. Jeden z ekspertów od bezpieczeństwa umieścił w komórce arkusza kalkulacyjnego kod CoinHive obliczający kryptowaluty. Łatwo sobie wyobrazić, że w ten sposób mogą przenosić się także konie trojańskie wykradające dane i korzystające z nowych wariantów Spectre.

Pomimo, że do tej pory takich ataków nie stwierdzono, ryzyko istnieje. O ile ryzyko użycia występującej tylko w procesorach Intela luki Meltdown zostało zażegnane, to ze Spectre i jego kolejnymi wariantami sprawa nie jest tak oczywista. Problem dotyczy większości dostępnych na rynku procesorów, a naprawianie błędów przypomina walkę z hydrą. Głównie ze względu na to, że wymaga współpracy producentów sprzętu i oprogramowania. | CHIP