Spectre и Meltdown: опасная, но не смертельная уязвимость

2018-01-17T10:33:56+00:00Январь 12th, 2018|Блог|

Год начался с громкой новости в мире ИТ — «Последние 20 лет мы были уязвимы, как младенцы, но не знали об этом».

Уязвимости Spectre и Meltdown обнаружили в середине 2017 года исследователи из компании Google совместно с сотрудниками Cyberus Technology и Градским техническим университетом.

Информацию об этом держали в секрете и планировали опубликовать 9 января 2018 года. Всё это время уязвимость пытались исправить. Но детали были обнародованы 4 января в связи с тем, что журналисты британского журнала «The Register» уже опубликовали новость об этом.

Уязвимость интересна тем, что проявляется не в коде программного обеспечения, а в самой архитектуре многих процессоров. Настолько многих, что, вероятно, даже сейчас, читая эту статью, вы работаете с устройством, которое уязвимо.

Что в этом плохого

В элементной базе компьютерных систем на протяжении многих лет был ряд уязвимостей, эксплуатация которых позволяла исполняемому процессу выйти за пределы выделенного ему окружения оперативной памяти. Такие уязвимости существуют и теоретически могут быть использованы для несанкционированного доступа к данным.

scr

Уязвимость Spectre позволяет выйти за пределы оперативной памяти, которая отведена для конкретного процесса, и получить информацию из оперативной памяти системы или других процессов.

А чтобы использовать уязвимость Meltdown недоброжелатели могут создать процесс-вредитель, который лезет не своё дело — обращается к участкам, которые ему недоступны. Система его не пропустит, но данные о процессе попадут в кеш, откуда вредитель заберёт их обманом.

При желании, используя эти уязвимости, толковый хакер может достать из вашей системы любую информацию, включая пароли и платёжные данные.

Кто под угрозой

Вы, мы, ваши и наши соседи, конкуренты, родственники... В общем, все, кто пользуется современной компьютерной техникой.

Исследователи предполагают, что уязвимости подвержены все процессоры компании Intel, созданные с 1995 года. Так как Meltdown и Spectre действуют на архитектурном уровне, не имеет значения, на какой ОС работает устройство — Windows, MacOS или Android — все платформы уязвимы.

То есть, компьютер или телефон, с которого вы сейчас читаете эту статью, тоже под угрозой, если вы ещё не установили обновление. Если обновились, всё должно быть хорошо.

Что делать

Не думать о том, что проблема вас не коснётся, если вы её не чувствовали в течение 20-ти лет.

Обновите систему. Сейчас обновления выкатили почти все разработчики ОС. И, вероятно, вы уже получили уведомление об этом. Если всё откладывали, обновляйтесь.

Осторожнее с новыми приложениями и программами. Устанавливайте их только из проверенных источников и официальных сайтов.

Ждите новых обновлений от разработчиков. В ближайшее время они будут выходить регулярно, чтобы заделать все бреши в системе.

Что сделаем мы

Разработчики выпустили обновления кода, которые решают эту проблему. Мы уже их протестировали и обкатали в лабораторной среде, сделали замеры и готовим подробный отчёт.

Чтобы обновления вступили в силу, мы перезагрузим операционные системы на серверах, обеспечивающих работу нашей инфраструктуры.

Мы постарались максимально сузить окно для проведения работ, и составили план, по которому все операции получится провести в сжатые сроки.

Прогнозируем время простоя для каждой из виртуальных машин от 10 до 60 минут. В ночь проведения работ процесс создания снимков виртуальных машин также будет приостановлен.

Вы получите дополнительное уведомление о проведении плановых работ отдельно для каждого кластера.

Мы вас в обиду не дадим. Как всегда, стоим на страже и защищаем вашу информацию от вредителей.

Если у вас остались вопросы, обращайтесь к нам в любое время. Мы всегда на связи. И рады вам 24х7.

Метки: , , , , ,