Intel, Amazon, Microsoft и другие IT-компании стараются принизить значение уязвимостей Spectre и Meltdown, затрагивающих компьютеры, серверы и мобильные устройства по всему миру. Обе бреши широко распространены, поскольку присутствуют в микропроцессорах от Intel, AMD и ARM, которые уже целое десятилетие используются в компьютерах и мобильных гаджетах, работающих под Windows, macOS, Linux, Android, iOS и Chrome OS.

Согласно блог-записи Google Project Zero, эти уязвимости вызваны несовершенством реализации спекулятивного выполнения инструкций и позволяют через атаку по стороннему каналу получить несанкционированный доступ к содержимому виртуальной памяти. На настоящий момент известны три варианта данной проблемы:

  • bounds check bypass — обход проверки границ (CVE-2017-5753/Spectre);
  • branch target injection — манипуляция целевым кэшем адресов ветвлений (CVE-2017-5715/Spectre);
  • rogue data cache load — оседание данных в кэше после отмены операции (CVE-2017-5754/Meltdown).

При этом атаки Spectre позволяют пользовательскому приложению получить данные другой программы, Meltdown — также содержимое памяти ядра.

По утверждению исследователей, атакам Meltdown подвержены все процессоры Intel, появившиеся с 1995 года. В минувшую среду вендор пообещал, что все OEM-провайдеры выпустят соответствующие обновления прошивок. “Обратитесь к своему поставщику операционной системы или производителю системы и установите обновления, как только они появятся”, — сказано в заявлении Intel.

Microsoft уже выпустила внеочередное обновление для Windows, не дожидаясь “вторника патчей”. Об этом сообщается в отдельном бюллетене компании: “Microsoft выпустила несколько обновлений, чтобы смягчить воздействие этих уязвимостей. Мы также приняли меры для усиления защиты облачных сервисов”.

Патчи для Linux против Spectre и Meltdown вышли на прошлой неделе. Также в начале декабря разработчик ядра Linux Томас Глейкснер (Thomas Gleixner) опубликовал через email-рассылку на LKML.org информацию о патчах, корректирующих механизм изоляции памяти во избежание атак по стороннему каналу. Этот набор заплаток получил наименование KAISER (Kernel Address Isolation to have Side-channels Efficiently Removed).

Производитель ARM-чипов для мобильных устройств заявил, что большинство его процессоров Spectre не затрагивает, уязвимы лишь Cortex-A75, -A73, -A72, -A57, -A17, -A15, -A9, -A8, а также Cortex-R8 и 7, работающие в открытых средах.

Google отозвалась на публикацию Spectre и Meltdown в среду, отметив: “Мы решились на публикацию до 9 января — даты, назначенной для скоординированного раскрытия, так как отчеты уже появились в общем доступе, а в прессе и сообществе экспертов разгорается обсуждение данной проблемы, что повышает риск эксплуатации”.

По словам Google, Android-устройства с новейшими патчами, вышедшими 3 января, защищены от подобных атак. Chrome OS версий ниже 63 защиты от эксплойта не имеют, она будет введена с выпуском версии 64, который запланирован на 23 января. Патчинг Google Cloud Infrastructure и Google App Engine, по словам разработчика, дополнительных действий от пользователя не требует. Пользователи Google Compute Engine проинформированы о том, что хост-система и гипервизор обновляются автоматически, однако “все гостевые операционные системы и версии надлежит пропатчить”.

Amazon тоже полагает, что риск для ее продуктов невысок: “Все экземпляры Amazon EC2 защищены, и известные векторы атак, перечисленные в виде CVE, заблокированы. Хотя обновления, производимые AWS, защищают нижерасположенную инфраструктуру, для полноценной защиты от этих угроз необходимо, чтобы пользователи пропатчили также свои операционные системы. Патчи для Amazon Linux уже доступны; ниже приводятся инструкции по обновлению существующих экземпляров, а также другие связанные с AWS рекомендации, соответствующие теме этого бюллетеня”.

Apple пока не выступила с заявлением по поводу Spectre и Meltdown, однако, по имеющимся сведениям, обновление macOS 10.13.2, вышедшее 6 декабря, частично решило эту проблему. Это предположение подтвердил в Твиттере Алекс Ионеску (Alex Ionescu) из Crowdstrike: “Всех волнует вопрос: защищает ли MacOS от проблемы #KPTI, свойственной чипам Intel? Разумеется, да, и еще раз да. Привет тебе, Double Map, появившаяся в 10.13.2, и еще нас ждут несколько сюрпризов в 10.13.3 (с ней знакомы пока лишь разработчики, поэтому больше ничего не скажу)”.

AMD заявила, что воздействие Spectre и Meltdown на ее продукты минимально. Уязвимость CVE-2017-5753 закроют производители систем через обновление ОС, которое “незначительно повлияет на производительность”. CVE-2017-5715 может затронуть небольшое количество пользователей: “Из-за разницы в AMD-архитектурах риск эксплуатации в этом случае близок к нулю”.

Озвучивая позицию Mozilla, Люк Вагнер (Luke Wagner) пишет в блоге, что Meltdown и Spectre актуальны для Firefox. Для исправления ситуации Mozilla выпустила Firefox 57.0.4, ограничив работу таймера до 20 мкс и отключив по умолчанию функцию SharedArrayBuffer.

Категории: Главное, Кибероборона, Уязвимости