Інформаційна безпека

Друга хвиля Spectre-подібних уразливостей, на виправлення яких знадобиться певний час

Передмова: не знайшов на Хабре новин по даній темі, тому вирішив перевести замітку видання The Register про нові уразливості в процесорах Intel .

Intel може знадобитися деякий час на випуск необхідних патчів для основних операційних систем і засобів віртуалізації, можливо це буде третій квартал 2018 року.

Нова серія Spectre-подібних уразливостей, виявлена на минулому тижні, не буде усунена принаймні в найближчі 12 днів.

Німецьке новинне агентство Heise, яке минулого тижня повідомило про восьми Spectre-подібних вразливості, повідомило, що Intel хоче відкласти питання закриття вразливостей принаймні до 21 травня.

“В даний час Intel планує узгоджений реліз 21 травня 2018 р. Свіжі оновлення мікрокоду повинні бути випущені в цей день”, повідомив Юрген Шмідт (Jürgen Schmidt) 7 травня.

На минулому тижні Heise відзначило, що одним з учасників запланованого узгодженого релізу буде Google Project Zero, чого поки ще не сталося, наскільки це відомо The Register.

Heise також додає, що уразливості схильні всі процесори Core-i (а також процесори Xeon) використовують мікрокод, створені починаючи з 2010 року; процесори на базі Atom (включаючи Pentium і Celeron) випущені з 2013 року.

Якщо розкриття інформації про уразливість і патчі, їх усувають, з’являться в травні, то Intel не закриють їх повністю, повідомляє Шмідт. Додаткові патчі, випуск яких попередньо заплановано на третій квартал, призначені для захисту віртуальних машин від зовнішніх атак.

У виправлень на рівні процесора від Intel також потрібні виправлення на рівні операційної системи.

З тих пір, як інформація про наявність оригінальних вразливостей Meltdown і Spectre була підтверджена в січні цього року, стало ясно, що завчасне (speculative) виконання команд коли-небудь приверне інтерес дослідників.

The Register відзначав вже в січні 2018 року, що дослідник Андерс Фог (Anders Fogh) писав про зловживання запобіжним виконанням у липні 2017 року, а незабаром після того, як у січні трапилася історія з Spectre / Meltdown, дослідники Майсурадзе Георгій (Giorgi Maisuradze) і Крістіан Россоу (Christian Rossow) з німецької дослідницької групи CISPA опублікували детальний аналіз технології попереджувального виконання, заснований на дослідженні 2017 року.

У квітні Intel сообшила про те, що деякі уразливості пов’язані з Spectre непереборні у ряді старих архітектур.

Видання Vulture South попросило Intel прокоментувати звіт Heise і отримало відмову від коментарів (фактично стандартну бюрократичну відписку [прим. перекладача]), в якому говориться, що вони дуже серйозно ставиться до безпеки, співпрацюють з будь-яким, хто може або повинен допомогти виправити ситуацію. «Ми віримо твердо в цінність узгодженого розкриття інформації і будемо ділитися детальною інформацією про будь-які потенційні проблеми, оскільки ми прагнемо до зниження ризику втрат», — сказали в компанії. «В якості передового досвіду ми продовжуємо заохочувати всіх до того, щоб їх системи своєчасне оновлення».

Дякуємо за останній рада, Intel. Ми не можемо уявити, щоб хтось думав про це раніше.

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close