Об уязвимости почти всех процессоров: как с этим бороться?

В начале января IT-исследователи рассказали о крупнейшей уязвимости, которой подвержены практически все современные компьютеры и телефоны. Дыра в безопасности, в результате которой злоумышленники могут получить доступ к личным данным пользователей, была обнаружена независимыми группами исследователей еще полгода назад, однако разработчики процессоров попросили до 9 января не разглашать данные, чтобы успеть исправить ошибку. «Медуза» рассказывает, что нужно знать об уязвимостях и как с ними бороться.

Что за уязвимости?

Уязвимости, получившие названия Meltdown и Spectre, были найдены командами Google Project Zero и Грацского технического университета. 1 июня 2017 года они отправили отчеты о проблеме компаниям Intel, AMD и ARM, занимающим более 90 процентов на рынке производителей процессоров.

Обнаруженные исследователями уязвимости особенно масштабны, поскольку фундаментальная ошибка содержится не в программном обеспечении, а в самих процессорах.

Meltdown («Расплавление») разрушает изоляцию между пользовательскими приложениями и операционной системой при спекулятивном выполнении команд. Таким образом, программа-злоумышленник может получить несанкционированный доступ к оперативной памяти ядра — и прочитать закрытые данные.

Spectre («Призрак», общее название для еще двух уязвимостей) позволяет вредоносному агенту считывать данные, к которым он не должен иметь доступ, — например, пароли из интернет-браузера.

Уязвимости Meltdown подвержены практически все процессоры, выпущенные компанией Intel с 1995 года (кроме моделей Intel Itanium и Intel Atom, выпущенных до 2013 года). Spectre же касается не только процессоров Intel, но и AMD и ARM (семейства Cortex-A и Cortex-R). Проще говоря, это почти все устройства — от персональных компьютеров и ноутбуков до смартфонов. При этом следов вторжения Meltdown и Spectre не оставляют — пользователи вряд ли смогут определить, украли ли у них данные.

Почему о них стало известно только сейчас?

2 января 2018 года об уязвимостях сообщил сайт The Register. 9 января производители процессоров и другие крупные IT-компании намеревались выпустить совместный отчет о решении проблемы — однако информация оказалась в публичном доступе за неделю до того. Обнаружившая уязвимости команда исследователей Грацского университета создала сайт с подробным описанием своих находок.

Что говорят производители процессоров и программ?

3 января компания Intel заявила, что в курсе проблемы и вместе с другими производителями работает над ее решением. Компания пообещала в ближайшие дни выпустить официальные обновления, которые устранят возникшие уязвимости. При этом в Intel подчеркнули, что выявленные ошибки «не могут повредить, изменить или удалить данные пользователей» — хотя проблема с уязвимостями прежде всего не в повреждении или изменении данных, а в их возможной краже.

В Apple подтвердили, что уязвимость присутствует на всех компьютерах и телефонах, произведенных компанией. В Google заявили, что устранили все уязвимости во всех своих продуктах, — и опубликовали технические инструкции по защите от потенциальных атак с помощью Meltdown и Spectre. Представители Amazon сообщили, что все клиенты компании защищены от уязвимостей Meltdown и Spectre. В компании также отметили, что не наблюдали значительного влияния уязвимостей на производительность своих продуктов.

Как с этим бороться? Мне что-то угрожает?

Если совсем просто: обновить все, что можно обновить (а лучше — включить автоматические обновления).

Уязвимость Meltdown проще эксплуатировать, однако для ее устранения достаточно обновить операционную систему — и Microsoft, и Apple уже выпустили соответствующие обновления для своего программного обеспечения. Если у вас версия Windows ниже 10, придется скачать и установить обновление вручную; в противном случае система обновится автоматически. Обновления, которые позволяют устранить Meltdown, способны серьезно (на треть) замедлить операции, которые требуют обращения к ядру системы, — например, если вам нужно посмотреть размер папки на диске, — однако для более обычных действий вроде просмотра сайтов в интернете или видеоигр таких операций требуется совсем немного.

Использовать во вредоносных целях уязвимость Spectre сложнее, но тоже возможно. Чтобы устранить ее, придется обновлять отдельные программы. Главным образом — браузеры: благодаря Spectre можно получать доступ к пользовательским паролям; это уже обнаружили и поправили в Firefox.

Производители (например, Apple) также рекомендуют не пользоваться никаким подозрительным программным обеспечением и скачивать приложения только из проверенных источников.