Spectre

Zagrożone są jednostki z rodzin Core i Xeon. Czyli zdecydowana większość procesorów, które aktualnie znajdują się w komputerach osobistych, stacjach roboczych i serwerach. Czy wszystkie CPU cechują się tą podatnością?

Nowe zagrożenie wykorzystuje metody znane ze Spectre i Meltdown. Lukę wykryto już w styczniu, jednak dopiero teraz została ujawniona. Intel w czwartek zaczął wprowadzać poprawki bezpieczeństwa. Podobnie jak Microsoft.

Od kolejnego wydania Chrome domyślnie będzie chronił użytkowników przed luką Spectre, która pozwala wykradać hasła np. za pomocą JavaScriptu. Ma to jednak swoją cenę w postaci większego obciążenia dla komputera.

Microsoft na oficjalnym blogu Visual Studio poinformował o udostępnieniu testowej wersji najnowszego Visual Studio 2017, popularnego środowiska programistycznego. Znajdziemy w nim usprawnienia pozwalajace lepiej kontrolować wydajność aplikacji pod kątem wykorzystania zasobów (np. użycie procesora), nowe narzędzia dla JavaScript i TypeScript, a także zabezpieczenia aplikacji przed luką Spectre.

Zespół Google'a "Project Zero" odkrył luki w procesorach już 6 lutego. Od razu poinformował o tym producentów, dając im 90 dni na wprowadzenie poprawek. Dlatego dopiero teraz ta informacja pojawiła się publicznie. Równolegle o lukach poinformował Microsoft. Na nowe ataki podatne są procesory Intela, AMD i stworzone w architekturze ARM.

Znaleziono łącznie osiem nowych sposobów przeprowadzenia ataków podobnych do Spectre. Wykryte podatności układów Intela nazwano "Spectre-ng". Zła wiadomość jest taka, że cztery z ośmiu nowo odkrytych luk to tzw. luki krytyczne. Umożliwiają one np. dostęp do hosta z poziomu prostej maszyny wirtualnej.

Chodzi o starsze modele Intel Core, Celeronów, Pentium i Xeonów.

MeltdownPrime i SpectrePrime to zautomatyzowane exploity umożliwiające wykradanie informacji za pomocą predykcji kodu. Działają nawet pomimo spowalniających działanie procesora poprawek Intela i AMD.

Intel, ARM, AMD, Oracle, IBM - wadę w architekturze układów obliczeniowych odnaleziono w podzespołach produkowanych przez największe firmy. "Zaskakujące jest to, że prawie w tym samym czasie odkryły ją niezależnie aż cztery zespoły ...jak gdyby świat badaczy otrzymał wskazówkę, gdzie warto szukać" - zauważa w rozmowie z nami Leszek Tasiemski z F-Secure.

AMD przygotowuje nową architekturę dla swoich CPU, obiecując w nich wyższy poziom bezpieczeństwa. Jednak najbliższe Ryzeny oparte na Zen+ jeszcze nie będą wolne od zagrożenia Spectre.

Twórca Linuxa publicznie skrytykował propozycje Intela. Według niego Intel zaśmieca kod Linuxa, powielając już istniejące obejścia problemu. W swoim stylu Torvalds zarzuca też koncernowi, że podejmuje pozorne działania, tylko po to, by uchronić się przed pozwami klientów.

Jak dowiedzieliśmy się, procesory SPARCv9 i IBM Power są zagrożone atakiem Spectre. Oracle i IBM przygotowują w tej chwili poprawki bezpieczeństwa.

Poprawki bezpieczeństwa restartują system i spowalniają pracę serwerów. Dotychczas było wiadomo, że problem dotyka dwóch rodzin CPU, teraz wiemy, że ta grupa jest szersza.

AMD przyznaje, że luki są także w chipach tej firmy. Przedstawiciel producenta tłumaczy w oświadczeniu techniczne szczegóły i zapewnia, że firma współpracuje m.in. z koncernem z Redmond, aby usunąć skutki wad podzespołów.

Brian Krzanich w listopadzie zrezygnował ze znacznej części należących do niego akcji koncernu. Menadżer realizował transakcje, wiedząc już o lukach bezpieczeństwa w CPU Intela, umożliwiających ataki.

Zespół bezpieczeństwa Google zaprezentował dwie luki pod nazwami Meltdown i Spectre. Błędy pozwalają zwiększyć uprawnienia aplikacji i wykradać hasła. Na ataki podatne są praktycznie wszystkie procesory Intela, a także niektóre procesory AMD oraz ARM wykorzystujące predykcję rozgałęzień kodu programu.