Meltdown i Spectre CPU ranjivosti omogućavaju krađu podataka
Svi su pogođeni, uključujući i najveće proizvođače procesora, najveće operativne sisteme, cloud provajdere i tvorce aplikacija.
Hardverske ranjivosti koje pogađaju sve vodeće procesore, uključujući AMD, ARM i Intel, potencijalna su opasnost za skoro sve personalne računare, laptopove, tablete i smartfone, bez obzira ko je proizvođač ili koji operativni sistem koriste.
Dve nove ranjivosti, nazvane Meltdown (CVE-2017-5754) i Spectre (CVE-2017-5753 i CVE-2017-5715), otkrivene su nedavno u skoro svim modernim procesorima. Ranjivosti omogućavaju napadačima da ukradu osetljive podatke koje računar u tom trenutku obrađuje.
Meltdown i Spectre pogađaju računare, mobilne uređaje i cloud.
Za sad nema informacija da su sajber kriminalci koristili ove ranjivosti za krađu podataka, ali pošto je informacija o ranjivostima postala javna, samo je pitanje vremena kada će se to desiti.
Skoro svi procesori od 1995. do sad ranjivi
Spekulisalo se da ranjivosti pogađaju samo Intel procesore, ali je Google (koji je otkrio ranjivosti) objavio da su ranjivosti svojstvene svim procesorima nastalim posle 1995. godine.
Obe ranjivosti koriste karakteristiku čipova poznatu kao spekulativno izvršavanje (eng. speculative execution), tehniku koju moderni procesori koriste za optimizaciju performansi.
Iako programi obično ne mogu da čitaju podatke drugih programa, maliciozni programi mogu da iskoriste Meltdown i Spectre kako bi došli do tajnih podataka koji se čuvaju u memoriji drugih programa koji su u funkciji. To znači da mogu da ukradu lozinke koje se čuvaju u password manageru ili browseru, informacije o nalozima, poslovne dokumente, ključeve za kriptovanje, odnosno sve što se čuva u memoriji procesa.
O postojanju sličnih ranjivosti "šuška" se već godinama, ali je tek sad Google Project Zero zvanično dokazao da postoje.
Hardverske ranjivosti koje zahtevaju softverske popravke
Za popravku ovih hardverskih bagova biće potrebne i firmware zakrpe od CPU proizvođača i softverski fiksevi od proizvođača OS-a i aplikacija.
Kako kaže Google, svi su pogođeni i sve je pogođeno, uključujući i najveće proizvođače chip setova (Intel, AMD, ARM), najveće operativne sisteme (Windows, Linux, macOS, Android, ChromeOS), cloud provajdere (Amazon, Google, Microsoft) i tvorce aplikacija.
Meltdown
Meltdown probija izolaciju između aplikacija i operativnog Sistema. Napad omogućava programu da pristupi memoriji i tajnama drugih programa i operativnog sistema.
Ako računar ima ranjiv procesor, a operativni sistem nije ažuriran bezbednosnim zakrpama, na njemu nije bezbedno raditi sa osetljivim podacima, jer postoji šansa da će informacije iscureti. Ovo se odnosi kako na personalne računare, tako i na cloud infrastrukturu.
Spectre
Spectre probija izolaciju između različitih aplikacija. On omogućava napadačkom programu da prevari programe koji nemaju grešku da odaju tajne tako što ih primorava da pristupaju proizvoljnim delovima njegove memorije, što kasnije može da se čita kroz sporedni kanal.
Spectre se teže eksploatiše od Meltdowna, ali se i teže popravlja.
Zakrpe i mitigacija
Mnogi vendori izdali su zakrpe (ili rade na tome) za obe ranjivosti. Uključite auto-update kako biste dobili zakrpe čim se pojave.
Windows – Microsoft je izdao zakrpu za Windows 10, dok će ostale verzije dobiti zakrpu na "Patch Tuesday", 9. Januara 2018.
Preporuke za Windows server.
Preporuke za Windows klijente.
MacOs – Apple je već popravio bezbednosne nedostatke prošlog meseca, verzijom High Sierra 10.13.2, ali će verzija 10.13.3 poboljšati ili dovršiti ovu popravku.
Android — Google je izbacio zakrpu za Pixel/Nexus korisnike kao deo januarskog ažuriranja. Drugi korisnici moraće da sačekaju na ažuriranje proizvođača njihovih uređaja. Pogledajte opširnije u Android preporukama.
Linux - Linux kernel developeri su takođe izdali zakrpe.