След като едва вчера станаха известни някои детайли относно опасния бъг в процесорите на Intel, който налага голямо преработване на ядрата на Windows и Linux, днес от Google разкриха повече детайли и съобщиха, че са открили проблема миналата година и той всъщност се състои от две уязвимости, които са кръстени Spectre и Meltdown.
Meltdown и Spectre уязвимостите засягат фундаменталния начин на функциониране на защитата при компютрите, където всеки един код, който се стартира в дадена операционна система, трябва да е защитен със строги рестрикции и права.
Според Google уязвимостта Meltdown засяга само процесорите на Intel докато AMD и ARM прозесорите остават незасегнати. Изследователите са тествали процесори на Intel от 2011-а година насам, но теоретично всички техни процесори от 1995-а година досега са уязвими.
Според данните обаче потребителите на AMD също не могат да бъдат спокойни, защото и те са засегнати от проблема, но от уязвимостта Spectre. Тази уязвимост също засяга както ARM процесорите, така и тези на Intel. Засегнати са и доставчиците на облачни услуги, които използват процесори на Intel, Xen PV за виртуализация и дори и тези, които нямат реална хардуерна виртуализация, включително LXC, Docker и OpenVZ.
Атаките и при двете уязвимости Meltdown и Spectre са базирани на един и същ основен принцип. Уязвимостта Meltdown (CVE-2017-5754) позволява на приложение или процес да достъпи забранена част от паметта, която е заделена за друг процес или приложение и дори на операционната система. Извършва се четена на паметта, което не е позволено като това става възможно посредством експлоатиране на страничните ефекти на out-of-order execution функцията при модерните процесори.
От своя страна уязвимостта Spectre (CVE-2017-5753 и CVE-2017-5715) се фокусира върху кражбата на данни от паметта на други процеси и приложения, които са стартирани, като нарушава задължителната изолация между тях.
Засегнатите страни работят усилено по отстраняването на тези проблеми. Linux, Майкрософт, ARM и други, вече пуснаха серия от кръпки за справяне със ситуацията, но в близко бъдеще могат да се очакват още актуализации. Причината за това е, че тези проблеми са категоризирани като много трудни за решаване.
