Немецкий компьютерный журнал c’t опубликовал информацию о наличии восьми уязвимостей в процессорах Intel. Журналисты назвали новые баги Spectre New Generation или Spectre-NG — по аналогии с известными недостатками в архитектуре современных чипов, которые нашлись в середине прошлого года.

Как утверждают эксперты издания, они располагают информацией о восьми серьезных багах, касающихся ядра процессоров Intel, а также некоторых микросхем производства ARM. Наличие проблемы в чипах AMD пока не подтверждено. По словам немецких специалистов, бреши были выявлены несколькими группами исследователей, среди которых Google Project Zero, в свое время обнаружившая Spectre и Meltdown.

По мнению аналитиков c’t, Spectre-NG более опасен, чем предыдущее поколение уязвимостей. В частности, одна из обнаруженных угроз значительно упрощает атаки на контур безопасности микросхемы и позволяет запустить вредоносный код на виртуальной машине. Это влечет за собой возможность атаки на сетевые серверы, а через них — на инфраструктуру облачного хостинга.

Эксперты журнала отмечают, что компрометация одной виртуальной машины ставит под угрозу все остальные аналогичные сервисы, запущенные в рамках одной хост-системы. Это особенно опасно для облачных платформ, таких как Cloudflare или Amazon Web Services, поскольку уязвимость позволяет злоумышленникам получить доступ к логинам, паролям и персональным данным пользователей.

По информации издания, Intel совместно с разработчиками операционных систем работает над патчами, которые позволят устранить найденные уязвимости. Как сообщает c’t, производитель процессоров запланировал две волны обновлений — одну в мае, а другую в августе.

Изначально предполагалось, что проблема будет решена при помощи апдейта микрокода BIOS, но так как на это может потребоваться длительное время, Microsoft самостоятельно выпустит новые патчи для Windows.

Источник c’t сообщил, что срок обнародования информации об одной из ошибок истекает 7 мая, за день до ежемесячного «вторника патчей» Microsoft. Обычно Google Project Zero не идет на компромиссы с вендорами и выпускает подробное описание бага ровно через 90 дней после передачи информации о нем разработчику. Отсрочка публикации возможна лишь в случае, когда апдейт запланирован к релизу в ближайшее время.

На данный момент единственным источником информации о Spectre-NG является c’t. Эксперты издания подчеркивают, что несколько раз проверили достоверность сведений о наличии уязвимостей. Представители Intel подтвердили, что работают над заплатками для некоторых брешей, но отказались сообщать детали проблемы.

Об угрозах Spectre и Meltdown стало известно в январе этого года. К этому моменту у некоторых вендоров уже были готовы патчи, закрывающие обнаруженные уязвимости, но на их качестве сказались жесткие сроки подготовки обновлений и серьезность проблемы. Первая заплатка от Microsoft вызвала сбои в работе систем на базе процессоров AMD, а Intel пришлось отозвать исправления микрокода, которые дестабилизировали платформы Broadwell и Haswell.

Категории: Уязвимости