Godt nytår! Tre massive sikkerhedsfejl i Intel, AMD, ARM og andre processorer blev afsløret onsdag (3. januar). Microsoft udstedte en nødrettelse til alle understøttede versioner af Windows, herunder Windows 7, Windows 8.1 og Windows 10, men tilføjede, at brugere også bør anvende firmwareopdateringer, når de bliver tilgængelige fra enhedsproducenter. Google rettede fejlen i Android med opdateringen fra januar2021-2022, der blev udgivet tirsdag (2. januar), selvom kun Google-administrerede enheder har det for nu. Patches til macOS, iOS og Linux er muligvis endnu ikke fuldt tilgængelige.
To proof-of-concept-angreb, kaldet "Meltdown" og "Spectre", udnytter disse tre fejl, der vedrører den måde, moderne computerprocessorer håndterer kørende hukommelse for applikationer og kernesystemet eller kernen på nuværende operativsystemer.
"Meltdown og Spectre fungerer på personlige computere, mobile enheder og i skyen", siger webstederne til hver fejl, der har identisk indhold. "Afhængigt af cloud -udbyderens infrastruktur kan det være muligt at stjæle data fra andre kunder."
Et Google -blogindlæg forklarede, at fejlene gjorde det muligt, så "en uautoriseret part kan læse følsomme oplysninger i systemets hukommelse, f.eks. Adgangskoder, krypteringsnøgler eller følsomme oplysninger, der er åbne i applikationer."
Meltdown sletter grænserne mellem kerneprocesser og brugerprocesser og ser ud til at være begrænset til Intel -chips. Spectre stjæler data fra kørende applikationer og fungerer også på AMD- og ARM -chips. Specter og Meltdown -webstederne detaljerede ikke, hvordan de forskellige chipsæt, der blev brugt på mobile enheder, blev påvirket.
AMD benægtede imidlertid, at det var påvirket af nogen af fejlene.
"AMD er ikke modtagelig for alle tre varianter," sagde virksomheden til CNBC. "På grund af forskelle i AMDs arkitektur, mener vi, at der er en risiko på næsten nul for AMD-processorer på nuværende tidspunkt."
Hvad skal man gøre
Hvis du bruger Windows 7, 8.1 eller 10, skal du anvende Windows -sikkerhedsopdateringen, der blev frigivet i dag. Tidlige versioner af programrettelserne blev sendt til Windows Insider -brugere i november og december.
"Vi er i gang med at implementere afbødninger til cloud -tjenester og frigiver sikkerhedsopdateringer i dag for at beskytte Windows -kunder mod sårbarheder, der påvirker understøttede hardwarechips fra AMD, ARM og Intel," hedder det i en Microsoft -erklæring, der blev givet til os delvist. "Vi har ikke modtaget oplysninger, der angiver, at disse sårbarheder var blevet brugt til at angribe vores kunder."
Der er dog et par fangster. For det første, medmindre du kører en bærbar computer eller tablet med Microsoft, f.eks. En Surface, Surface Pro eller Surface Book, skal du også anvende en firmwareopdatering fra din computers producent.
"Kunder, der kun installerer sikkerhedsopdateringerne til Windows januar2021-2022, vil ikke modtage fordel af alle kendte beskyttelser mod sårbarhederne," hedder det i et Microsoft-supportdokument, der blev lagt online. "Ud over at installere sikkerhedsopdateringerne i januar, en processormikrokode eller firmware, er opdatering påkrævet. Denne skal være tilgængelig via din enheds producent. Surface -kunder modtager en mikrokodeopdatering via Windows -opdatering."
For det andet insisterer Microsoft på, at kunderne sørger for, at de har "understøttet" antivirus -software, der kører, før de anvender patchen. I et separat dokument, der forklarer den nye sikkerhedsrettelse, siger Microsoft, at det kun er maskiner, der kører sådan software, der får opdateringen automatisk.
Det er ikke klart, hvad Microsoft mener med "understøttet" antivirussoftware, eller hvorfor Microsoft insisterer på, at sådan software skal være på maskinen, før patchen anvendes. Der er et link til et dokument, der skal forklare alt dette, men da dette blev skrevet sent onsdag aften, gik linket ingen steder.
Sidst indrømmer Microsoft, at der er "potentielle præstationseffekter" forbundet med programrettelserne. Med andre ord, efter at du har påført lapperne, kører maskinen muligvis langsommere.
"For de fleste forbrugerudstyr er virkningen muligvis ikke mærkbar," hedder det i rådgivningen. "Den specifikke indvirkning varierer imidlertid efter hardware -generation og implementering af chipproducenten."
Hvis du vil køre Windows Update manuelt, skal du klikke på knappen Start, klikke på ikonet for tandhjulsindstillinger, klikke på opdateringer og sikkerhed og klikke på Søg efter opdateringer.
Apple -brugere bør installere fremtidige opdateringer ved at klikke på Apple -ikonet, vælge App Store, klikke på Opdateringer og klikke på Opdater ud for eventuelle varer fra Apple. Der var en ubekræftet rapport på Twitter om, at Apple allerede havde rettet fejlene med macOS 10.13.2 i begyndelsen af december, men sårbarheds -id -numrene (CVE'er), der er dækket i Apple -opdateringerne i december, matcher ikke dem, der er tildelt Meltdown og Spectre.
Linux -maskiner kræver også patches, og det ser ud til, at noget kan være næsten klar. Som nævnt ovenfor retter Android2022-2023 Android-sikkerhedsrettelsen fejlen, selvom kun en lille procentdel af Android-enheder vil modtage den for nu. (Det er ikke klart, hvor mange Android -enheder der er modtagelige.)
Sådan fungerer angrebene
Meltdown-angrebet, som så vidt forskerne ved, kun påvirker Intel-chips udviklet siden 1995 (undtagen Itanium-linjen og Atom-linjen før 2013), giver regelmæssige programmer adgang til systemoplysninger, der formodes at være beskyttet. Disse oplysninger er gemt i kernen, systemets dybt fordybede center, som brugeroperationer aldrig skal nærme sig.
"Meltdown bryder den mest fundamentale isolation mellem brugerapplikationer og operativsystemet," forklarede Meltdown og Specter -webstederne. "Dette angreb giver et program adgang til hukommelsen og dermed også hemmelighederne i andre programmer og operativsystemet."
"Hvis din computer har en sårbar processor og kører et upatchet operativsystem, er det ikke sikkert at arbejde med følsomme oplysninger uden chancen for at lække oplysningerne."
Meltdown blev navngivet som sådan, fordi det "dybest set smelter sikkerhedsgrænser, som normalt håndhæves af hardwaren."
For at rette den tilhørende fejl skulle kernelhukommelse være endnu mere isoleret fra brugerprocesser, men der er en fangst. Det ser ud til, at fejlen til dels eksisterer, fordi deling af hukommelse mellem kernen og brugerprocesserne gør det muligt for systemer at køre hurtigere, og at stoppe denne deling kan reducere CPU -ydelsen.
Nogle rapporter sagde, at rettelserne kunne bremse systemer med op til 30 procent. Vores kolleger på Toms hardware tror, at systemeffekten ville være meget mindre.
Spectre er på den anden side universel og "bryder isolationen mellem forskellige applikationer," sagde webstederne. "Det giver en angriber mulighed for at narre fejlfrie programmer, der følger bedste praksis, til at lække deres hemmeligheder. Faktisk øger sikkerhedskontrollen af den bedste praksis faktisk angrebsoverfladen og kan gøre applikationer mere modtagelige for Spectre."
"Alle moderne processorer, der er i stand til at holde mange instruktioner under flyvning, er potentielt sårbare" over for Spectre. "Især har vi verificeret Specter på Intel-, AMD- og ARM -processorer."
Webstederne forklarer videre, at det ville være næsten umuligt at opdage sådanne angreb, og at antivirussoftware kun kunne registrere malware, der kom ind i systemet, før angrebene blev lanceret. De siger, at Spectre er sværere at trække af end Meltdown, men at der ikke var tegn på, at lignende angreb var blevet iværksat "i naturen".
De sagde imidlertid, at Spectre, såkaldt fordi det misbruger spekulativ udførelse, en almindelig chipsætproces, "vil hjemsøge os i et stykke tid."
Den tabte kunst at holde en hemmelighed
Intel, AMD og ARM blev fortalt af Google om disse fejl tilbage i juni2021-2022, og alle involverede parter forsøgte at holde det hele stille og roligt, indtil lapperne var klar i næste uge. Men informationssikkerhedseksperter, der ikke var inde på hemmeligheden, kunne fortælle, at noget stort var på vej.
Diskussioner i Linux -udviklingsfora vedrørte radikale eftersyn af operativsystemets håndtering af kernelhukommelse, men der blev ikke afsløret detaljer. Personer med Microsoft, Amazon og Google e -mail -adresser var mystisk involveret. Usædvanligt skulle overhalingerne portes tilbage til flere tidligere versioner af Linux, hvilket indikerer, at et stort sikkerhedsproblem blev rettet.
Det udløste et par dage med konspirationsteorier om Reddit og 4chan. Mandag (1. januar) kaldte en blogger, der kaldte sig Python Sweetness "de usynlige prikker" i et langt opslag, der beskriver flere parallelle udviklinger blandt Windows- og Linux -udviklere vedrørende håndtering af kernelhukommelse.
Sent tirsdag (2. januar). Registret samlede en masse lignende oplysninger. Det bemærkede også, at Amazon Web Services ville udføre vedligeholdelse og genstarte sine cloud -servere den kommende fredag aften (5. januar). og at Microsofts Azure Cloud havde noget lignende planlagt til 10. januar.
Dæmningen brød onsdag, da en hollandsk sikkerhedsforsker tweetede, at han havde skabt en proof-of-concept-fejl, der syntes at udnytte mindst en af fejlene.
Klokken 15.00 EST onsdag udsendte Intel, som havde set sin aktie falde omkring 10 procent i den dages handel, en pressemeddelelse, der bagatelliserede manglerne, og dets aktie fik derfor en vis plads. Men virksomheden indrømmede, at fejlene kunne bruges til at stjæle data, og at det og andre chipmakere arbejdede på at løse problemet.
"Intel og andre leverandører havde planlagt at afsløre dette problem i næste uge, når flere software- og firmwareopdateringer vil være tilgængelige," hedder det i meddelelsen. "Intel afgiver imidlertid denne erklæring i dag på grund af de nuværende unøjagtige medierapporter."
Klokken 17 kom Daniel Gruss, en postdoktorel i informationssikkerhed ved det tekniske universitet i Graz i Østrig, frem for at annoncere Meltdown og Spectre. Han fortalte ZDNets Zack Whittaker, at "næsten alle systemer" baseret på Intel -chips siden 1995 var påvirket af fejlene. Det viste sig, at problemet var endnu værre.
Gruss var en af syv Graz-forskere, der i oktober2022-2023 offentliggjorde et teknisk papir med detaljerede teoretiske mangler i den måde Linux håndterede kernelhukommelse på og foreslog en løsning. Python Sweetness, den pseudonyme blogger, der blev henvist til i begyndelsen af denne historie, havde tilsyneladende ret i at gætte, at dette papir var centralt for den Intel -fejl, der arbejdes med nu.
Ved 18 -tiden EST, Spectre og Meltdown -webstederne blev live, sammen med et Google -blogindlæg, der beskriver virksomhedens egen forskning. Det viste sig, at to hold uafhængigt af hinanden havde opdaget Meltdown, og tre forskellige hold havde samtidig fundet Spectre. Googles Project Zero og Gruss team i Graz havde en hånd i begge dele.
Billedkredit: Natascha Eidl/Public domain
- 12 Computersikkerhedsfejl, du sandsynligvis laver
- Bedste antivirusbeskyttelse til pc, Mac og Android
- Din routers sikkerhed stinker: Sådan repareres det