Как защититься от ошибок, связанных с расплавлением и призраком —

Техническая индустрия изо всех сил пытается исправить (или, по крайней мере, смягчить) две новые уязвимости, обнаруженные исследователями безопасности в конце 2017 года. расплавление а также привидение Занимают лидирующие позиции по всему миру, и на то есть веская причина: эти два недостатка затрагивают практически все устройства с процессорами Intel, AMD или ARM, выпущенные за последние 20 лет.

Эти уязвимости могут повлиять на смартфоны, настольные компьютеры, ноутбуки, облачные серверы, и этот список можно продолжить. Имейте в виду, что это не исключительная проблема Microsoft — затрагиваются все другие поставщики операционных систем.

Что такое Расплавление и Призрак?

дублированный расплавление а также привидение, две уязвимости позволяют злоумышленнику использовать критические недостатки современных процессоров для получения доступа к защищенная память ядра. При правильном наборе навыков хакер может теоретически использовать их, чтобы скомпрометировать привилегированную память процессора и запустить вредоносный код для доступа к чрезвычайно чувствительному содержимому памяти из него. Это содержимое памяти может содержать пароли, нажатия клавиш, личные данные и другую ценную информацию.

Этот набор уязвимостей показывает, что можно обойти изоляция адресного пространства — основа целостности процессора с 1980 года. До сих пор изоляция адресного пространства считался механизмом безопасной изоляции между пользовательскими приложениями и операционной системой, а также между двумя приложениями.

Все современные процессоры используют ряд базовых процессов для ускорения запросов. расплавление а также привидение Воспользуйтесь преимуществами различных инструкций для извлечения конфиденциальной или личной информации. Хотя эксперты по безопасности определили, что Spectre труднее использовать, чем Meltdown, похоже, что он может нанести значительно больший урон, чем Meltdown.

Как это влияет на тебя?

В то время как расплавление обходит изоляцию между пользовательскими приложениями и ОС, привидение разрывает изоляцию между двумя различными приложениями. Возможно, самая тревожная вещь в Spectre заключается в том, что хакерам больше не нужно находить уязвимости в программе — теоретически возможно обмануть программы, которые следуют передовым методам, в утечку конфиденциальной информации, даже если они имеют надежный магазин безопасности.

Если бы мы были полностью пессимистичны в отношении угрозы безопасности, ни одно приложение больше не может считаться безопасным на 100%. Хотя не было подтвержденных атак, использующих «Призрак» и «Расплавление», есть вероятность, что хакеры в «черной шляпе» уже обдумывают, как взять в свои руки данные, используя эти уязвимости.

Патчи безопасности

К сожалению, это недостаток безопасности на уровне микросхемы, который нельзя полностью исправить с помощью обновления программного обеспечения. Поскольку требуется модификация ядра ОС, единственное постоянное исправление, которое полностью устранит нарушения, — это изменение архитектуры (иными словами, замена процессора). Это оставило крупных игроков в технологической отрасли с небольшим выбором. Поскольку они не могут заменить ЦП всех ранее выпущенных устройств, их лучшая надежда — максимально снизить риск с помощью исправлений безопасности.

Все поставщики операционных систем выпустили (или должны выпустить) исправления безопасности для устранения недостатков. Однако это исправление стоит денег — ожидается, что исправления для системы безопасности будут замедлять работу всех уязвимых устройств в диапазоне от 5 до 30 процентов из-за фундаментальных изменений в том, как ядро ​​ОС обрабатывает память.

Редко когда все крупные игроки собираются вместе, чтобы исправить эти недостатки, но это также является хорошим показателем того, насколько серьезна проблема на самом деле. Не паникуя слишком сильно, рекомендуется следить за обновлениями безопасности и следить за тем, чтобы ваше устройство обеспечивало наилучшую защиту от этих уязвимостей. Чтобы помочь вам в этом квесте, мы составили список исправлений, устраняющих два недостатка безопасности.

Как защититься от недостатков безопасности процессора Meltdown и Spectre

Ниже вы найдете список способов защитить себя от уязвимостей Meltdown и Spectre. Руководство разбито на ряд подзаголовков с наиболее популярным набором устройств, затронутых этими уязвимостями. Пожалуйста, следуйте инструкциям, соответствующим вашему устройству, и обязательно посетите эту ссылку, так как мы будем обновлять статью новыми исправлениями по мере их выхода.

Замечания: Имейте в виду, что приведенные ниже шаги в значительной степени эффективны против Meltdown, который является самой непосредственной угрозой для двух недостатков безопасности. Призрак до сих пор остается неизвестным, но исследователи в области безопасности ставят его на второе место в своем списке, потому что его гораздо сложнее использовать, чем Meltdown.

Как исправить ошибки безопасности Spectre и Meltdown в Windows

Для обеспечения максимальной защиты от новых недостатков безопасности в Windows необходимо выполнить три основных требования: обновление ОС, обновление браузера и обновление прошивки. С точки зрения обычного пользователя Windows, лучшее, что можно сделать прямо сейчас, — это убедиться, что у вас установлено последнее обновление Windows 10, и что вы пользуетесь интернетом из исправленного веб-браузера.

Microsoft уже выпустила экстренное исправление безопасности через WU (Центр обновления Windows). Тем не менее, кажется, что обновление не видно на некоторых ПК из-за сторонних антивирусных пакетов, которые предотвращают изменения ядра. Эксперты по безопасности работают над списком поддерживаемых антивирусных программ, но, по меньшей мере, они фрагментированы.

Если вам не предлагалось автоматически обновиться, откройте окно «Выполнить» (Windows ключ + R), тип «контролировать обновление » и ударил Войти. в Центр обновления Windows экран, нажмите на Проверьте наличие обновлений и установите новое обновление для системы безопасности, если потребуется.

Microsoft также предоставила ссылки для загрузки вручную для решения этой проблемы для Windows 7, Windows 8.1 и Windows 10:

  • Windows 7 SP1
  • Windows 8.1
  • Windows 10

Замечания: Ссылки выше содержат несколько пакетов обновлений в соответствии с различными архитектурами ЦП. Пожалуйста, загрузите патч, соответствующий вашей конфигурации ПК.

Однако защитить ваш ПК с Windows от Spectre и Meltdown немного сложнее, чем загрузить исправление безопасности Microsoft. Вторая линия защиты — это исправления безопасности для используемого вами веб-браузера.

  • Fire Fox уже включает исправление, начиная с версии 57.
  • Edge и Internet Explorer для Windows 10 уже получили исправления безопасности, направленные на защиту от этих уязвимостей.
  • Хром анонсировала исправление безопасности, которое планируется выпустить 23 января.

Пользователям предлагается принять любое автоматическое обновление, чтобы обеспечить защиту на уровне браузера. Если у вас не установлена ​​последняя версия браузера или обновление не установлено автоматически, удалите его и загрузите последнюю версию.

Отдельно разработчики чипов (Intel, AMD и ARM) работают над обновлениями прошивки для дополнительной защиты оборудования. Скорее всего, они будут распространяться отдельно по обновлениям прошивки OEM-производителей. Однако работа только начинается, поэтому может пройти некоторое время, пока мы не увидим обновления прошивки, поступающие на наши устройства. Поскольку OEM-производители должны выпускать обновления микропрограммного обеспечения, стоит проверить на веб-сайте технической поддержки OEM вашего компьютера любые новости о возможном исправлении.

Уже говорилось о том, что Microsoft объединяется с производителями процессоров, чтобы создать инструмент, который будет проверять защиту как для встроенного ПО, так и для обновлений Windows. Но до тех пор нам нужно вручную проверять себя.

Как исправить недостатки безопасности Spectre и Meltdown на Android

Устройства Android также подвержены уязвимостям Spectre и Meltdown. Ну, по крайней мере, в теории. Это была исследовательская группа Google, которая обнаружила уязвимости и уведомила производителей чипов (задолго до того, как об этом узнала пресса). Это произошло за 6 месяцев до скоординированного раскрытия информации, поэтому можно предположить, что эта задержка позволила Google быть лучше подготовленным, чем конкуренты.

Начиная с 5 января, Google начал распространять новое обновление безопасности для Android для защиты от Meltdown и Spectre. Но, учитывая фрагментированный характер царства Android, скорее всего, вы не получите его так скоро, как захотите. Естественно, что телефоны под маркой Google, такие как Nexus и Pixel, имели приоритет и получили его почти мгновенно OTA.

Если у вас есть телефон Android от другого производителя, кроме Google, возможно, вас ждет долгое ожидание. Однако, учитывая внимание прессы, которое получают Meltdown и Spectre, они могут значительно ускорить процесс.

Но независимо от вашего производителя Android, перейдите к настройки и посмотреть, есть ли у вас новое обновление в ожидании. Если нет, то проведите онлайн-расследование, чтобы узнать, планирует ли производитель вашего телефона выпустить исправление в ближайшее время.

Как исправить ошибки безопасности Spectre и Meltdown на IOS

Apple была определенно застигнута врасплох, когда мы обнаружили две уязвимости. Хотя компания изначально отрицала, что Meltdown и Spectre влияют на любое из их устройств, с тех пор они признают, что недостаток затрагивает все iPhone. Поскольку они имеют практически идентичную архитектуру ЦП, недостатки iPad в равной степени затрагивают iPad и iPod.

Apple объявила, что она начала «процедуры смягчения» для Meltdown в iOS 11.2, но дата выпуска исправления для более старых версий не была объявлена. Похоже, что следующее обновление будет направлено на то, чтобы подключить потенциальный эксплойт Javascript в Safari.

Пока вы ждете официального заявления Apple, следите за любыми обновлениями для вашего iPhone, iPad или iPod. Идти к Настройки> Общие> Обновление программного обеспечения и установите все ожидающие обновления.

Как исправить ошибки безопасности Spectre и Meltdown на Mac

Несмотря на то, что Apple изначально молчали об этой проблеме, на Mac также влияют Meltdown и Spectre. Оказывается, это затрагивает почти все продукты Apple (кроме Apple Watch).

Компания уже выпустила серию исправлений, предназначенных для смягчения этой проблемы, начиная с macOS версия 10.13.2, и главный исполнительный директор подтвердил, что на пути еще больше исправлений. Также ожидается обновление браузера Safari как для MacOS, так и для iOS, которое, как сообщается, предназначено для уменьшения потенциальной уязвимости Javascript.

Пока не появятся новые исправления, старательно применяйте любое обновление из App Store для вашей OS X или macOS и убедитесь, что вы используете последнюю версию.

Как исправить ошибки безопасности Spectre и Meltdown на Chrome OS

Chromebook — это устройства с самым сильным уровнем защиты от Meltdown и Spectre. Google объявил, что все последние Chromebook должны автоматически защищаться от этих новых угроз безопасности. Любой Chromebook работает на Chrome OS версия 63 (выпущен в декабре) уже должен иметь необходимые исправления безопасности.

Чтобы обеспечить защиту, убедитесь, что у вас установлено последнее обновление для Chrome OS. Большинство пользователей уже используют версию 63, но если нет, обновите немедленно.

Если вы хотите получить более технический, вы можете набрать «chrome: // gpu »в ваш омнибар и нажмите Войти. Затем используйте Ctrl + F искать «операционная системаЭто позволит вам увидеть версию вашего ядра. Версии ядра 3,18 а также 4,4 уже исправлены для этих недостатков безопасности.

Ссылка на основную публикацию
Adblock
detector