90% процесорів виявилися небезпечними. Що робити власникам гаджетів?

Вівторок, 16 січня 2018, 11:45 -
Уразливості Meltdown і Spectre в процесорах майже всіх комп'ютерів і смартфонів дозволяють зловмисникам вкрасти будь-які дані жертви.


Що сталося?
Що за вразливості і чим вони небезпечні?
Яким процесорам уразливості загрожують найбільше?
Що зробили виробники процесорів?
Як оновлення вплинуть на роботу комп'ютерів і смартфонів?
Що робити користувачам Windows?
Що робити користувачам Android?
Що робити користувачам iOS?

Що сталося?

Фахівці з кібербезпеки Google Project Zero і Грацського технічного університету (Австрія) виявили дві критичні уразливості в безпеці 90% процесорів на планеті.

З їх допомогою можна вкрасти будь-яку інформацію з ПК, ноутбуків, смартфонів, планшетів, які працюють на процесорах Intel, AMD та ARM.

1 червня 2017 року фахівці направили в Intel, AMD та ARM інформацію про своє відкриття.

9 січня 2018 року виробники процесорів мали намір випустити спільний звіт про вирішення проблеми, але інформація опинилася в публічному доступі за тиждень до цього. 2 січня про вразливості повідомив сайт The Register.

Що за вразливості і чим вони небезпечні?

Дві уразливості дозволяють проводити два типи атак, які отримали умовні імена Meltdown ("Розплавлювання") і Spectre ("Привид"). Перша порушує бар'єр між пам'яттю операційної системи і додатками. Це дозволяє отримати доступ до конфіденційних даних користувача.

Друга порушує бар'єр між додатками. Це дозволяє будь-якому додатку "залізти" у вміст іншої програми і також вкрасти дані користувача.

Простіше кажучи, за допомогою вразливостей зловмисник може вкрасти паролі, номери банківських карт, ключі шифрування і багато іншого в обхід будь-яких засобів захисту і на будь-якій операційній системі.

Яким процесорам уразливості загрожують найбільше?

Компанія Intel зізналася, що вразливості існують майже в усіх її процесорах, випущених з 1995 року, за винятком серверних чіпів Itanium і процесорів Atom, виготовлених до 2013 року.

AMD не заперечує наявність уразливостей у своїх виробах, проте стверджує, що ризик їх експлуатації майже нульовий.

У ARM стверджують, що вразливості є в процесорах Cortex-A, які використовуються в чіпсетах для смартфонів і планшетів, але їх нема в чіпах Cortex-M для пристроїв "інтернету речей".

Фахівці Google Project Zero з'ясували, що атака Meltdown можлива лише на мікросхемах Intel, а Spectre можна також експлуатувати на процесорах AMD і ARM.

Що зробили виробники процесорів?

4 січня Microsoft випустила екстрене оновлення Windows 10 (патч KB4054022), воно встановиться на комп'ютери автоматично. З 9 січня аналогічний патч доступний для комп'ютерів з Windows 7 і 8, але встановлювати його доведеться вручну.

Google випустила захист Android від Spectre із січневим оновленням безпеки, яке передусім буде доступне для смартфонів Pixel першого і другого поколінь, Nexus 5X і 6P, планшета Pixel C і приставки Nexus Player.

Дані користувачів та сервіси Google (в тому числі Google Search, YouTube, Google Ads, Maps, Blogger, Gmail, Calendar, Drive, Docs і G Suite) вже захищені.

Компанія Apple випустила оновлення для операційних систем iOS, macOS і браузера Safari, які захистять процесори пристроїв від атак Spectre, в результаті яких одні додатки можуть "залазити" в пам'ять інших.

Патчі безпеки для Linux, орієнтовані на захист від Meltdown і Spectre, випускаються з грудня 2017 року.

Як оновлення вплинуть на роботу комп'ютерів і смартфонів?

Оновлення знизять продуктивність процесорів на 5-30% залежно від конкретної моделі "каменю". Найбільше падіння продуктивності користувачі побачать у ресурсомістких завданнях.

Що робити користувачам Windows?

Негайно оновити операційну систему.

Microsoft оперативно опублікувала оновлення безпеки, які повинні захистити операційну систему Windows від реалізації атак через уразливості Meltdown і Spectre.

Були випущені оновлення для Windows 10, Windows 7/Windows Server 2008 R2 (KB4056898) і Windows 8.1/Windows Server 2012 R2 (KB4056897).

Оновлення повинні автоматично встановитися на комп'ютері через Windows Update/WSUS за умови, що користувач сам не відключив сервіс автоматичного оновлення.

У такому випадку користувач може сам завантажити і встановити оновлення:

Windows 10 1507 — KB4056893 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056893

Windows 10 1511 — KB4056888 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056888

Windows 10 1607 — KB4056890 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056890

Windows 10 1703 — KB4056891 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056891

Windows 10 1709 — KB4056892 — https://www.catalog.update.microsoft.com/Search.aspx?q=kb4056892

Windows 8.1 x86/x64 і Windows Server 2012 R2 (KB4056898):

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898

Windows 7 SP1 x86/x64, Windows Server 2008 R2 і Windows Embedded Standard 7 (KB4056897):

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897

Що робити користувачам Android?

Завантажувати додатки тільки з Google Play.

Поки відомо, що оновлення отримали лише користувачі пристроїв Google, зокрема, Nexus 5X, Nexus 6P, Pixel C, Pixel, Pixel 2. Коли оновлення випустять виробники інших гаджетів на Android — невідомо.

ОС бюджетних смартфонів на Android сторонніх виробників оновлюється раз за період користування.

Через це їх користувачам варто дотримуватися таких правил: завантажувати додатки лише з Google Play після перевірки автора програми, не скачувати неперевірені додатки, особливо APK-файли, регулярно перевіряти наявність оновлень, встановити антивірус і не скачувати зайві утиліти.

Що робити користувачам iOS?

Завантажувати додатки тільки з Apple Store і перед завантаженням перевіряти автора програми.