Из-за уязвимости компьютеров с данными пользователей может случиться «хакерский Армагеддон»
«Дыру» в безопасности компьютеров и смартфонов придётся срочно заделывать
Аналитический материал на эту тему разместил интернет-ресурс agonia-ru.com. По его данным, в первых числах января IT-исследователи оповестят о крупнейшей уязвимости. Ей подвержены почти все использующиеся в настоящее время компьютеры и телефоны. Опасность заключается в том, что «дыра» в безопасности может быть использована злоумышленниками для получения доступа к личным данным пользователей. Она была обнаружена достаточно давно – около полугода назад, но «разработчики процессоров попросили до 9 января не разглашать данные, чтобы успеть исправить ошибку».
Речь идёт о тех уязвимостях, которые выявлены специалистами «Google Project Zero» и Грацского технического университета и получили названия Meltdown и Spectre. Исследователи ещё 1 июля минувшего года оповестили о проблеме компании «Intel», «AMD» и «ARM», которые занимают более 90% на рынке производителей процессоров.
О масштабности уязвимостей можно судить по тому обстоятельству, что «фундаментальная ошибка содержится не в программном обеспечении, а в самих процессорах».
Так, Meltdown («Расплавление») опасна тем, что разрушает изоляцию между пользовательскими приложениями и операционной системой при спекулятивном выполнении команд. Благодаря этой способности программа-злоумышленник способна получить несанкционированный доступ к оперативной памяти ядра, а значит, — и считать закрытые данные.
Две уязвимости под общим названием Spectre («Призрак») имеет возможности считывать данные, к которым вредоносный агент не должен иметь доступ. К примеру, — такую информацию, как пароли из интернет-браузера.
Ситуация такова, что уязвимости Meltdown подвержена значительная часть процессоров, которые были выпущены компанией «Intel» с 1995 года. Исключения составляют лишь выпущенные до 2013 года модели «Intel Itanium» и «Intel Atom». Другая уязвимость, Spectre, несёт угрозу процессорам «Intel», «AMD» и «ARM» (речь идёт о семействах Cortex-A и Cortex-R). Это значит, что опасности подвержены практически все устройства, спектр которых — от персональных компьютеров и ноутбуков до смартфонов. Коварство уязвимостей заключается в том, что вторжение Meltdown и Spectre происходит бесследно, и пользователи не имеют возможности определить, находятся ли их данные в сохранности или были похищены.
Информация об уязвимостях оказалась обнародованной 2 января т.г., хотя первоначально планировалось, что производители процессоров и другие крупные IT-компании опубликуют совместный отчёт о решении проблемы. На специальном сайте описание находок осуществили исследователи Грацского университета. Они-то и обнаружили уязвимости.
В публикации ресурса agonia-ru.com говорится, что 3 января о работе над преодолением проблемы оповестила компания «Intel»: она указала, что осведомлена о ней и совместно с другими производителями работает над ее решением. Компания намерена в ближайшем будущем выпустить официальные обновления, призванные устранить уязвимости. Представители компании «Intel» заверили, что «выявленные ошибки «не могут повредить, изменить или удалить данные пользователей» — хотя проблема с уязвимостями прежде всего не в повреждении или изменении данных, а в их возможной краже».
В компании «Apple» признали присутствие уязвимости на всех произведенных компанией компьютерах и телефонах. Что касается компании «Google», там поспешили заверить пользователей об устранении всех уязвимостей во всех продуктах и опубликовали технические инструкции, которые призваны защитить технику от потенциальных атак с помощью Meltdown и Spectre.
Специалисты компании «Amazon» обозначили, что все клиенты защищены от уязвимостей Meltdown и Spectre. По данным представителей компании, они не наблюдали значительного влияния уязвимостей на производительность своих продуктов.
Методы борьбы с уязвимостями могут быть различными. Прежде всего, необходимо включить автоматические обновления (обновить всё, что возможно).
По замечанию аналитиков, эксплуатировать уязвимость Meltdown проще, но для того чтобы её устранить, требуется всего лишь обновить операционную систему. Именно с этой целью компании «Microsoft» и «Apple» в настоящее время выпустили обновления для своего программного обеспечения. Обладателям версии Windows ниже 10 рекомендуется скачать и установить вручную обновление. Если это не будет сделано, то система обновится автоматически.
В обзоре интернет-ресурса agonia-ru.com указывается, что устраняющие Meltdown обновления способны на треть «замедлить операции, которые требуют обращения к ядру системы, — например, если вам нужно посмотреть размер папки на диске, — однако для более обычных действий вроде просмотра сайтов в интернете или видеоигр таких операций требуется совсем немного».
Использование уязвимости Spectre во вредоносных целях тоже возможно. Но для её устранения необходимо обновление отдельных программ, главным образом – браузеров. Ведь благодаря этой уязвимости «можно получать доступ к пользовательским паролям». Соответствующая корректировка проведена представителями компании «Firefox».
Другие производители предостерегают от использования подозрительного программного обеспечения и рекомендуют скачивать приложения только из тех источников, что считаются проверенными.
Оставить комментарий