Spectre и Meltdown: опасная, но не смертельная уязвимость
- Головна
- Spectre и Meltdown: опасная, но не смертельная уязвимость
Год начался с громкой новости в мире ИТ — «Последние 20 лет мы были уязвимы, как младенцы, но не знали об этом».
Уязвимости Spectre и Meltdown обнаружили в середине 2017 года исследователи из компании Google совместно с сотрудниками Cyberus Technology и Градским техническим университетом.
Информацию об этом держали в секрете и планировали опубликовать 9 января 2018 года. Всё это время уязвимость пытались исправить. Но детали были обнародованы 4 января в связи с тем, что журналисты британского журнала «The Register» уже опубликовали новость об этом.
Уязвимость интересна тем, что проявляется не в коде программного обеспечения, а в самой архитектуре многих процессоров. Настолько многих, что, вероятно, даже сейчас, читая эту статью, вы работаете с устройством, которое уязвимо.
Что в этом плохого
В элементной базе компьютерных систем на протяжении многих лет был ряд уязвимостей, эксплуатация которых позволяла исполняемому процессу выйти за пределы выделенного ему окружения оперативной памяти. Такие уязвимости существуют и теоретически могут быть использованы для несанкционированного доступа к данным.
Уязвимость Spectre позволяет выйти за пределы оперативной памяти, которая отведена для конкретного процесса, и получить информацию из оперативной памяти системы или других процессов.
А чтобы использовать уязвимость Meltdown недоброжелатели могут создать процесс-вредитель, который лезет не своё дело — обращается к участкам, которые ему недоступны. Система его не пропустит, но данные о процессе попадут в кеш, откуда вредитель заберёт их обманом.
При желании, используя эти уязвимости, толковый хакер может достать из вашей системы любую информацию, включая пароли и платёжные данные.
Кто под угрозой
Вы, мы, ваши и наши соседи, конкуренты, родственники... В общем, все, кто пользуется современной компьютерной техникой.
Исследователи предполагают, что уязвимости подвержены все процессоры компании Intel, созданные с 1995 года. Так как Meltdown и Spectre действуют на архитектурном уровне, не имеет значения, на какой ОС работает устройство — Windows, MacOS или Android — все платформы уязвимы.
То есть, компьютер или телефон, с которого вы сейчас читаете эту статью, тоже под угрозой, если вы ещё не установили обновление. Если обновились, всё должно быть хорошо.
Что делать
Не думать о том, что проблема вас не коснётся, если вы её не чувствовали в течение 20-ти лет.
Обновите систему. Сейчас обновления выкатили почти все разработчики ОС. И, вероятно, вы уже получили уведомление об этом. Если всё откладывали, обновляйтесь.
Осторожнее с новыми приложениями и программами. Устанавливайте их только из проверенных источников и официальных сайтов.
Ждите новых обновлений от разработчиков. В ближайшее время они будут выходить регулярно, чтобы заделать все бреши в системе.
Что сделаем мы
Разработчики выпустили обновления кода, которые решают эту проблему. Мы уже их протестировали и обкатали в лабораторной среде, сделали замеры и готовим подробный отчёт.
Чтобы обновления вступили в силу, мы перезагрузим операционные системы на серверах, обеспечивающих работу нашей инфраструктуры.
Мы постарались максимально сузить окно для проведения работ, и составили план, по которому все операции получится провести в сжатые сроки.
Прогнозируем время простоя для каждой из виртуальных машин от 10 до 60 минут. В ночь проведения работ процесс создания снимков виртуальных машин также будет приостановлен.
Вы получите дополнительное уведомление о проведении плановых работ отдельно для каждого кластера.
Мы вас в обиду не дадим. Как всегда, стоим на страже и защищаем вашу информацию от вредителей.
Если у вас остались вопросы, обращайтесь к нам в любое время. Мы всегда на связи. И рады вам 24х7.