Google: почти все процессоры с 1995 года уязвимы к ошибкам «Meltdown» и «Spectre»
Google только что опубликовал данные о двух уязвимостях, названных Meltdown и Spectre, которые в оценке компании влияют на «каждый процессор [выпущен] с 1995 года».
Google говорит, что две ошибки могут быть использованы для «кражи данных, которые в настоящее время обрабатываются на компьютере», которые включают «ваши пароли, хранящиеся в диспетчере паролей или браузерах, ваши личные фотографии, электронные письма, мгновенные сообщения и даже важные для бизнеса документы. "
Кроме того, Google говорит, что тесты на виртуальных машинах, используемых в облачных вычислительных средах, извлекают данные от других клиентов, использующих один и тот же сервер.
Ошибки были обнаружены Джанном Хорном, исследователем безопасности с Google Project Zero, элитной командой безопасности Google. Это те же ошибки, о которых сообщалось сегодня, как о влиянии на процессоры Intel.
На следующей неделе Google планировала опубликовать информацию о Meltdown и Spectre, но решила опубликовать сегодня отчеты «из-за существующих публичных отчетов и растущих спекуляций в сообществе по исследованию прессы и безопасности об этой проблеме, что повышает риск эксплуатации».
Сегодня цена акций Intel серьезно упала после того, что Intel назвала «неточными сообщениями в средствах массовой информации».
Проблемы, описанные как аппаратные ошибки, требующие исправления программного обеспечения
Сегодня проблемы, которые произошли сегодня, касаются двух сценариев атаки, которые Хорн обнаружил и сообщил поставщикам процессоров в июне 2017 года.
Хорн описывает эти проблемы как аппаратные ошибки, которым потребуются как исправления прошивки от поставщиков процессоров, так и исправления программного обеспечения как от поставщиков ОС, так и от приложений.
По словам Google, все и все затронуты. Сюда входят все основные производители чипсетов (Intel, AMD, ARM), все основные операционные системы (Windows, Linux, MacOS, Android, ChromeOS), облачные провайдеры (Amazon, Google, Microsoft) и разработчики приложений.
Недостатки, обнаруженные в «спекулятивном исполнении» процессора,
Фактические недостатки находятся в технике под названием «спекулятивное исполнение», которая используется всеми современными процессорами. Это базовый метод оптимизации, который используют процессоры для выполнения вычислений для данных, которые они «спекулируют», могут быть полезны в будущем.
Цель спекулятивного исполнения - подготовить вычислительные результаты и подготовить их, если они когда-либо понадобятся. Если для приложения не нужны «спекулированные» данные, CPU просто игнорирует его.
Google говорит, что Хорн обнаружил способ использовать спекулятивное выполнение для чтения данных из памяти ЦП, которые не должны были быть доступны для приложений пользовательского уровня.
Он обнаружил три недостатка, которые он объединил в двух атаках, названных Meltdown (CVE-2017-5753 и CVE-2017-5715) и Spectre (CVE-2017-5754).
Что такое Meltdown и Spectre
Google описал две атаки следующим образом:
Google говорит, что он выбрал кодовое имя Meltdown, потому что «ошибка в основном тает границы безопасности, которые обычно выполняются аппаратным обеспечением».
«Имя основано на первопричине, спекулятивном исполнении. Поскольку это нелегко исправить, оно будет преследовать нас довольно долгое время», - говорит Google.
Обнаружение Meltdown и Spectre будет сложным
Google говорит, что обнаружение атак с использованием этих двух методов практически невозможно на данный момент.
«Эксплуатация не оставляет следов в традиционных файлах журналов», - сказал Google, добавив, что теоретически возможно, что антивирусные продукты не смогут обнаружить такие атаки на практике.
Из-за этого Google не смог установить, использовались ли Meltdown или Spectre в сценариях живой эксплуатации в дикой природе.
К моменту сегодняшнего анонса большинство разработчиков ОС уже внедрили исправления. Linux, macOS и Android уже выпустили их, в то время как Microsoft планирует опубликовать исправления на следующей неделе в Patch Tuesday. Облачные провайдеры планируют обновить свою инфраструктуру на этой неделе и в следующем.
Большинство процессоров, выпущенных с 1995 года, уязвимы каким-то образом
На момент написания статьи Google полагал, что «каждый процессор Intel, который реализует нестандартное исполнение, потенциально подвержен влиянию, что эффективно с каждым процессором с 1995 года (за исключением Intel Itanium и Intel Atom до 2013 года)» влияет на Meltdown.
Google утверждает, что он проверял Meltdown только против процессоров Intel, но не ARM и AMD. Тем не менее, у Intel доля рынка составляет 80% на рабочих столах и более 90% на рынке ноутбуков и серверов, что означает, что на них влияет большое количество настольных компьютеров, ноутбуков и серверов.
Влияние Meltdown на мобильные устройства неизвестно, но патчи уже доступны для Android.
Google утверждает, что они протестировали и проверили Spectre на процессоры Intel, AMD и ARM, а атака затрагивает настольные компьютеры, ноутбуки, облачные серверы и смартфоны. Считается, что атака затрагивает почти все выпущенные в последние годы процессоры.
Ошибки по-настоящему «хуже, чем когда-либо», когда дело доходит до безопасности ИТ, поскольку это позволяет регулярному коду уровня пользователя пробивать годы безопасности на уровне аппаратного уровня и получать доступ к данным, которые считаются безопасными. Пользователи не должны пропускать предстоящие обновления безопасности.
Ученые-исследовательские статьи по уязвимостям Meltdown и Spectre также доступны для техно-ориентированных пользователей.
https://www.bleepingcomputer.com/news/security/google-almost-all-cpus-since-1995-vulnerable-to-meltdown-and-spectre-flaws/
Google говорит, что две ошибки могут быть использованы для «кражи данных, которые в настоящее время обрабатываются на компьютере», которые включают «ваши пароли, хранящиеся в диспетчере паролей или браузерах, ваши личные фотографии, электронные письма, мгновенные сообщения и даже важные для бизнеса документы. "
Кроме того, Google говорит, что тесты на виртуальных машинах, используемых в облачных вычислительных средах, извлекают данные от других клиентов, использующих один и тот же сервер.
Ошибки были обнаружены Джанном Хорном, исследователем безопасности с Google Project Zero, элитной командой безопасности Google. Это те же ошибки, о которых сообщалось сегодня, как о влиянии на процессоры Intel.
На следующей неделе Google планировала опубликовать информацию о Meltdown и Spectre, но решила опубликовать сегодня отчеты «из-за существующих публичных отчетов и растущих спекуляций в сообществе по исследованию прессы и безопасности об этой проблеме, что повышает риск эксплуатации».
Сегодня цена акций Intel серьезно упала после того, что Intel назвала «неточными сообщениями в средствах массовой информации».
Проблемы, описанные как аппаратные ошибки, требующие исправления программного обеспечения
Сегодня проблемы, которые произошли сегодня, касаются двух сценариев атаки, которые Хорн обнаружил и сообщил поставщикам процессоров в июне 2017 года.
Хорн описывает эти проблемы как аппаратные ошибки, которым потребуются как исправления прошивки от поставщиков процессоров, так и исправления программного обеспечения как от поставщиков ОС, так и от приложений.
По словам Google, все и все затронуты. Сюда входят все основные производители чипсетов (Intel, AMD, ARM), все основные операционные системы (Windows, Linux, MacOS, Android, ChromeOS), облачные провайдеры (Amazon, Google, Microsoft) и разработчики приложений.
Недостатки, обнаруженные в «спекулятивном исполнении» процессора,
Фактические недостатки находятся в технике под названием «спекулятивное исполнение», которая используется всеми современными процессорами. Это базовый метод оптимизации, который используют процессоры для выполнения вычислений для данных, которые они «спекулируют», могут быть полезны в будущем.
Цель спекулятивного исполнения - подготовить вычислительные результаты и подготовить их, если они когда-либо понадобятся. Если для приложения не нужны «спекулированные» данные, CPU просто игнорирует его.
Google говорит, что Хорн обнаружил способ использовать спекулятивное выполнение для чтения данных из памяти ЦП, которые не должны были быть доступны для приложений пользовательского уровня.
Он обнаружил три недостатка, которые он объединил в двух атаках, названных Meltdown (CVE-2017-5753 и CVE-2017-5715) и Spectre (CVE-2017-5754).
Что такое Meltdown и Spectre
Google описал две атаки следующим образом:
Meltdown нарушает самую фундаментальную изоляцию между пользовательскими приложениями и операционной системой. Эта атака позволяет программе получать доступ к памяти, а также к секретам других программ и операционной системы.
Google говорит, что он выбрал кодовое имя Meltdown, потому что «ошибка в основном тает границы безопасности, которые обычно выполняются аппаратным обеспечением».
Spectre нарушает изоляцию между различными приложениями. Это позволяет злоумышленнику обманывать безошибочные программы, которые следуют лучшим методам, в утечку их секретов. Фактически, проверки безопасности упомянутых лучших практик фактически увеличивают поверхность атаки и могут сделать приложения более восприимчивыми к Spectre.
«Имя основано на первопричине, спекулятивном исполнении. Поскольку это нелегко исправить, оно будет преследовать нас довольно долгое время», - говорит Google.
Обнаружение Meltdown и Spectre будет сложным
Google говорит, что обнаружение атак с использованием этих двух методов практически невозможно на данный момент.
«Эксплуатация не оставляет следов в традиционных файлах журналов», - сказал Google, добавив, что теоретически возможно, что антивирусные продукты не смогут обнаружить такие атаки на практике.
Из-за этого Google не смог установить, использовались ли Meltdown или Spectre в сценариях живой эксплуатации в дикой природе.
К моменту сегодняшнего анонса большинство разработчиков ОС уже внедрили исправления. Linux, macOS и Android уже выпустили их, в то время как Microsoft планирует опубликовать исправления на следующей неделе в Patch Tuesday. Облачные провайдеры планируют обновить свою инфраструктуру на этой неделе и в следующем.
Большинство процессоров, выпущенных с 1995 года, уязвимы каким-то образом
На момент написания статьи Google полагал, что «каждый процессор Intel, который реализует нестандартное исполнение, потенциально подвержен влиянию, что эффективно с каждым процессором с 1995 года (за исключением Intel Itanium и Intel Atom до 2013 года)» влияет на Meltdown.
Google утверждает, что он проверял Meltdown только против процессоров Intel, но не ARM и AMD. Тем не менее, у Intel доля рынка составляет 80% на рабочих столах и более 90% на рынке ноутбуков и серверов, что означает, что на них влияет большое количество настольных компьютеров, ноутбуков и серверов.
Влияние Meltdown на мобильные устройства неизвестно, но патчи уже доступны для Android.
Google утверждает, что они протестировали и проверили Spectre на процессоры Intel, AMD и ARM, а атака затрагивает настольные компьютеры, ноутбуки, облачные серверы и смартфоны. Считается, что атака затрагивает почти все выпущенные в последние годы процессоры.
Ошибки по-настоящему «хуже, чем когда-либо», когда дело доходит до безопасности ИТ, поскольку это позволяет регулярному коду уровня пользователя пробивать годы безопасности на уровне аппаратного уровня и получать доступ к данным, которые считаются безопасными. Пользователи не должны пропускать предстоящие обновления безопасности.
Ученые-исследовательские статьи по уязвимостям Meltdown и Spectre также доступны для техно-ориентированных пользователей.
https://www.bleepingcomputer.com/news/security/google-almost-all-cpus-since-1995-vulnerable-to-meltdown-and-spectre-flaws/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Согласно рекомендациям Microsoft по безопасности, это обновления для системы безопасности Windows, которые устраняют недостатки Meltdown и Spectre для различных дистрибутивов Windows.
«Во время нашего тестирования мы обнаружили, что некоторые сторонние приложения делают неподдерживаемые вызовы в ядро памяти Windows, которые вызывают ошибки остановки (также известные как ошибки bluescreen)», - заявила Microsoft в примечании о совместимости для вчерашних исправлений безопасности.
«Эти вызовы могут приводить к ошибкам остановки [...], которые не позволяют загружать устройство. Чтобы предотвратить ошибки остановки, вызванные несовместимыми антивирусными приложениями, Microsoft предлагает только обновления безопасности Windows, выпущенные 3 января 2018 года, на устройства, запущенные антивирусное программное обеспечение от партнеров, которые подтвердили свое программное обеспечение, совместимо с обновлением безопасности операционной системы Windows в январе 2018 года ».
«Если вам не было предложено обновление для системы безопасности, у вас может быть несовместимое антивирусное программное обеспечение, и вы должны следить за своим поставщиком программного обеспечения», - сказала Microsoft.
Не сообщалось о том, что вредоносные группы не используют ни Meltdown, ни Spectre в реальных атаках, поэтому Microsoft также рекомендует пользователям предоставлять антивирусным поставщикам больше времени для обновления своих продуктов.
Microsoft заявляет, что, когда производители антивирусов обновляют свой продукт для поддержки исправлений Meltdown и Spectre, им было поручено создать пользовательский раздел реестра в ОС, что позволит Windows загружать и получать исправления безопасности (если пользователь также соглашается с ним).
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-meltdown-and-spectre-cpu-flaws/
С тех пор как мы опубликовали нашу предыдущую статью сегодня о выпуске Microsoft внеполосных обновлений Windows, чтобы устранить недостатки процессора Meltdown и Spectre, мы получили много запросов на разъяснение и поддержку при установке этих исправлений.
Статья в редакционной форме, вероятно, не самый лучший формат для предоставления консультаций, поэтому мы собираемся представить простую, пошагово, пошаговую статью о том, как получить эти обновления и перейти к чрезмерно сложному объявлению Microsoft.
Существуют четыре справочные страницы Microsoft, которые мы использовали для компиляции этой информации, которую вы также можете прочитать, на всякий случай:
1) Руководство для пользователей Windows для настольных компьютеров
2) Руководство для пользователей Windows Server
3) Security advisory ADV180002 (содержит номера KB для пакетов обновлений)
4) Обновите предупреждение о совместимости для пользователей с сторонним антивирусным программным обеспечением
Ключевое и самое важное предложение на всех этих страницах:
Что это значит?
Это означает, что если вы перейдете в раздел Windows Update операционной системы Windows и нажмете «Проверить наличие обновлений», если что-то появится, вы можете его установить.
Пакеты обновления Windows (номера KB) доступны здесь. В зависимости от вашей операционной системы и аппаратной платформы появится другой номер KB.
Если ничего не происходит, это означает, что Windows обнаружила наличие несовместимого антивирусного (AV) приложения в вашей системе.
Microsoft заявляет, что в настоящее время, когда пользователи хотят обновить Windows, ее система обновления проверит этот раздел реестра на ПК пользователей.
Если ключ существует, процесс обновления Windows будет считать, что антивирусное программное обеспечение получило обновление для поддержки исправлений Meltdown и Spectre, а также установить соответствующие обновления ОС.
Некоторые компании AV заявили, что они не планируют создавать этот раздел реестра, некоторые говорят, что они не могут «технически» создать этот ключ, в то время как другие будут отправлять обновления в следующие дни.
Этот файл Документов Google содержит список ответов от некоторых компаний AV.
Т.о. большинству пользователей AV придется ждать, так как большинство AV-компаний пообещали обновить свои продукты и автоматически добавить ключ реестра.
Самый простой способ сделать это - каждый раз, когда вы можете перейти в раздел «Центр обновления Windows» и нажать кнопку «Проверить обновления», и вы получите обновление после того, как ваш AV-продукт создаст этот раздел реестра.
Если ваша компания AV не планирует добавлять этот раздел реестра, это файл .reg Bleeping Computer, созданный для автоматического создания для вас следующего раздела реестра.
https://www.bleepingcomputer.com/news/microsoft/how-to-check-and-update-windows-systems-for-the-meltdown-and-spectre-cpu-flaws/
Компания заявила, что обновления прошивки «сделают эти системы иммунными от обоих эксплойтов (называемых« Spectre »и« Meltdown »)».
Intel заявила, что уже начала поставлять некоторые из этих обновлений прошивки процессора некоторым из своих партнеров. OEM-производители и другие поставщики оборудования должны будут включать эти обновления прошивки в обновления для своих собственных продуктов.
https://www.bleepingcomputer.com/news/hardware/intel-promises-firmware-updates-for-most-modern-cpus-by-the-end-of-next-week/
ESET недавно выпустила обновление модуля Antivirus and Antispyware 1533.3 (3 января 2017, 22:45 [GMT-8]) всем клиентам, чтобы обеспечить совместимость с обновлениями Microsoft для операционных систем Windows. ESET работает вместе с поставщиками аппаратного и программного обеспечения для устранения уязвимостей, связанных с уязвимостями Meltdown (CVE-2017-5753 и CVE-2017-5715) и Spectre (CVE-2017-5754).
https://forum.eset.com/topic/14274-esets-response-to-meltdown-and-spectre-cpu-vulnerabilities/
https://www.welivesecurity.com/2018/01/05/meltdown-spectre-cpu-vulnerabilities/
malwarebytes:
UPDATE (as of 1/04/18): Since the Malwarebytes Database Update 1.0.3624, all Malwarebytes users are able to receive the Microsoft patch to mitigate Meltdown.
https://blog.malwarebytes.com/security-world/2018/01/meltdown-and-spectre-what-you-need-to-know/
https://www.bleepingcomputer.com/news/microsoft/microsoft-pauses-rollout-of-windows-meltdown-and-spectre-patches-for-amd-devices/
https://www.bleepingcomputer.com/news/software/meltdown-and-spectre-patches-causing-boot-issues-for-ubuntu-16-04-computers/
https://www.bleepingcomputer.com/news/security/red-hat-will-revert-spectre-patches-after-receiving-reports-of-boot-issues/
Обновление -KB4078130 предназначено для Windows 7 (SP1), Windows 8.1, всех версий Windows 10 и всех поддерживаемых дистрибутивов Windows Server.
3 января Microsoft отменила смягчение ошибок Meltdown и Spectre.
https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-windows-out-of-band-update-that-disables-spectre-mitigations/
Сегодня Microsoft выпустила внеочередное обновление безопасности для 64-разрядных версий Windows 7 и Windows Server 2008 R2.
Обновление безопасности -KB4100480- устраняет ошибку безопасности, обнаруженную шведским экспертом по безопасности в начале этой недели.
Ошибка была вызвана патчем, предназначенным для исправления уязвимости Meltdown, но случайно вскрыла ядро памяти.
По словам Ульфа Фриска, плагин Meltdown от Microsoft в январе 2018 года (для CVE-2017-5754) позволял любому приложению извлекать или записывать контент из / в память ядра. Все это произошло из-за того, что патч Meltdown случайно перевернул бит, контролирующий права доступа к памяти ядра.
https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-out-of-band-security-update-for-windows-7-and-windows-server-2008/
Microsoft решила удалить обязательное «требование к ключу реестра», которое было введено после обнаружения уязвимости Meltdown и Spectre.
Microsoft использовала этот раздел реестра для предотвращения установки обновлений Windows на компьютерах с антивирусным программным обеспечением, несовместимым с исправлениями Meltdown и Spectre.
Предполагается, что производители антивирусов создадут этот раздел реестра на компьютерах пользователей, чтобы сообщить, что они обновили свой продукт и не будут вмешиваться в исправления Microsoft. Это была большая проблема, потому что несовместимые антивирусные продукты могли отправить систему Windows в BSOD.
Требование ключа реестра было удалено в Windows 10 в прошлом месяце. (в марте)
В январе Microsoft заявила, что компьютеры Windows, использующие специальный антивирусный продукт, который не добавляет ключ реестра (следовательно, совместим с исправлениями Meltdown и Spectre), не получит никаких обновлений безопасности Windows.
Но поскольку антивирусные вендор обновили свои продукты и исправления Microsoft Meltdown и Spectre получили больше уточнений, Microsoft решила удалить обязательное требование к разделу реестра.
В марте производитель ОС удалил проверку реестра на компьютеры под управлением Windows 10 и вчера объявил, что ключ больше не нужен для других версий операционной системы Windows - 7, 8, 8.1, Server 2008 и Windows Server 2012.
Ключ реестра удален в KB4093114 и KB4093118
«Центр обновления Windows и WSUS предоставят обновление для применения к клиентским и серверным операционным системам Windows независимо от наличия или значения параметра реестра« HKLM\SOFTWARE\Microsoft\ Windows\ CurrentVersion\ QualityCompat\cadca5fe-87d3-4b96-b7fb-a231484277cc». Это изменение было сделано для защиты пользовательских данных », - сказал Microsoft в двух обновлениях -KB4093114 и KB4093118.
Эта означает, что пользователи систем в крупных корпоративных сетях - которые используют антивирусные продукты и которые проявляли осторожность в отношении исправлений Meltdown и Spectre, теперь могут обновляться, не опасаясь, что их ПК получат экран смерти.