Спэцыялісты па кампутарнай бясьпецы расказалі пра памылкі ў сучасных працэсарах, якія дазваляюць хакерам скрасьці любую інфармацыю — у тым ліку паролі.
Каб выправіць гэтыя памылкі, самыя папулярныя чыпы, якія працуюць на кампутарах і мабільных тэлефонах, давядзецца запаволіць. Адна з памылак тычыцца толькі працэсараў Intel, другая — любых чыпаў, якія выкарыстоўваюць тэхналёгію «прадказаньня разгалінаваньняў».
Аб уразлівасьцях незалежна заявілі дасьледнікі з Google Project Zero, Cyberus Technology і Тэхнічнага унівэрсытэту ў аўстрыйскім Грацы.
Meltdown
Гэтая памылка закранае практычна ўсе працэсары, выпушчаныя кампаніяй Intel з 1995 году. Чып спрабуе прадказаць, якія дзеяньні ад яго спатрэбяцца ў найбліжэйшай будучыні, і зьмяшчае дадзеныя праграм у асаблівую зону памяці. Дадзеныя застаюцца там нават пасьля таго, як працэсар разумее, што прадказаньне было памылковым. І любая праграма — у тым ліку і шкодная — можа атрымаць доступ да загружаных дадзеных.
Вось наглядная дэманстрацыя, як хакер, выкарыстоўваючы стандартную для сайтаў мову JavaScript, можа даведацца пароль. Для гэтага яму нават ня трэба загружаць вірус або бэкдор на канкрэтны кампутар — дастаткова, каб ахвяра зайшла на сайт.
Спэцыяліст аўстрыйскага Тэхналягічнага ўнівэрсытэту Граца (Graz University of Technology) Даніэл Грус, які і выявіў Meltdown, назваў гэтую памылку «верагодна, адной з найгоршых памылак працэсара з калі-небудзь знойдзеных».
Spectre
Гэтая ўразьлівасьць тычыцца і працэсараў Intel, і чыпаў асноўных канкурэнтаў гэтай карпарацыі — AMD і ARM Holdings. Арганізаваць напад з выкарыстаньнем Spectre складаней, але і выправіць памылку будзе цяжэй.
Вось як апісаў Spectre «для свайго не надта тэхнічна абазнанага бацькі» адзін з камэнтатараў:
«Дапусьцім, вы вырашылі даведацца, якія кнігі бярэ ў бібліятэцы чалавек, які вас цікавіць. Бібліятэка адмаўляецца дзяліцца з вамі інфармацыяй, хто браў кнігі, і не захоўвае запісы пра чытачоў пад вокладкай. Вы ведаеце толькі пра кнігі, якія атрымлівалі самі.
Тады вы прыходзіце ў бібліятэку адразу сьледам за чалавекам, за якім сочыце. Вы просіце ў бібліятэкара тыя кнігі, якімі мог цікавіцца гэты чалавек. Калі бібліятэкар кажа: "Вам пашанцавала, такія кнігі ў мяне пад рукой", значыць вы ўжо ведаеце, якія кнігі чытае асоба, што вас цікавіць. Калі бібліятэкар сышоў шукаць заказаныя вамі кнігі — вы даведаецеся, што гэты чалавек не цікавіўся гэтымі кнігамі (на гэты раз)».
Што рабіць
Кампанія Microsoft выпусьціла экстранае абнаўленьне Windows: у вэрсіі 10 яно ўсталюецца аўтаматычна з 4 студзеня (код KB4054022), а для Windows 8 і 7 патчы трэба ўсталёўваць уручную.
Google дапрацавала апошнія пакаленьні сваіх мабільных прылад — Nexus 5X, Nexus 6P, Pixel C, Pixel / XL, і Pixel 2 / XL: патчы аўтаматычна загрузяцца на прылады ў студзені, аднак потым прылады трэба будзе перазагрузіць.
Кампанія Google паведаміла, што варта рабіць карыстальнікам, каб не пацярпець ад ўразьлівасьцяў.
Дырэктар Intel Браян Кжаніч заявіў, што кампанія ведала аб праблемах і 9 студзеня яны плянавалі выпусьціць канчатковыя прапановы па выпраўленьні выяўленых памылак. Аднак, паводле яго, абнаўленьні для ліквідацыі праблемы могуць прывесьці да таго, што чыпы Intel будуць працаваць на 5-30% павольней.
