Как удачно, что критические уязвимости в архитектуре процессоров Intel, AMD и ARM опубликовали, пока мы отдыхали.
Не успели мы сменить оборудование, как рекомендовал US-CERT, как оказалось, что достаточно поставить апдейты операционных систем.
Ну и время на выпуск апдейтов у производителей было.
Итак, что есть в итоге на данный момент.
Уязвимости две – Meltdown («Крах») и Spectre («Призрак»).
Meltdown позволяет нарушить барьер между приложениями и внутренней памятью операционной системы, что открывает доступ к данным, хранимым в памяти ОС.
Подробное описание https://meltdownattack.com/meltdown.pdf.
Ну эксплойтики тоже есть, вот, например: https://github.com/paboldin/meltdown-exploit.
Spectre нарушает изоляцию памяти между самими приложениями: условно, один сервис может залезть в память другого.
Описание https://spectreattack.com/spectre.pdf. Говорят, использовать уязвимость сложнее, но сплойты все равно есть: https://github.com/crozone/SpectrePoC, https://github.com/Eugnis/spectre-attack.
В общем, кошмар! Обновляться, однозначно!
Страхи про 30% потери производительности на практике не оправдываются
Microsoft:
Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1 – KB4056897 или KB4056894
Windows Server 2012 Standard – KB4056899 или KB4056896
Windows 8.1, Windows Server 2012 R2 Standard – KB4056898 или KB4056895
Windows 10 Enterprise – KB4056893
Windows 10 Version 1607, Windows Server 2016, Windows 10 Mobile – KB4056890
Windows 10 Version 1703 – KB4056891
Windows 10 version 1709 – KB4056892
С установкой патча могут возникнуть проблемы из-за антивируса.
Предоставлен список антивирусов, которые блокируют патч: BitDefender, Carbon Black, Cisco, CrowdStrike, Cylance, Cyren, Endgame, Fortinet, G-DATA, McAfee, Nyotron, Palo-Alto, SentinelOne, Sophos, Trend Micro, VIPRE, Webroot.
Помочь решить проблему может модификация или создание следующего ключа реестра:
Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWAREMicrosoftWindowsCurrentVersionQualityCompat" Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD" Data="0x00000000"
Очень коротко по производительности: тесты с обновлением Windows 10 показали уменьшение различных параметров производительности на 1-2%.
Подробности: http://www.guru3d.com/articles-pages/windows-vulnerability-cpu-meltdown-patch-benchmarked.html.
Linux:
Тут все просто, вам нужно ядро 4.14.12, 4.9.75 или 4.4.110. Для других веток апдейтов нет, зато в них есть куча других неисправленных уязвимостей, так что к использованию не рекомендуются.
Apple:
Meltdown исправлен в iOS 11.2, macOS 10.13.2 и tvOS 11.2. Для watchOS обновление не требуется.
Spectre, как утверждает Apple, практически доступен для эксплуатации только через JavaScript в веб-браузере, поэтому они будут обновлять Safari. Этот патч, а также патчи Spectre для осей, пока ожидаются.
Google:
Android с патчем от 2018-01-05 защищен.
В версии Chrome 64 добавлена защита от Spectre, но выпуск его назначен на 23 января. Пока, при желании, можно включить функцию Site Isolation для защиты от атаки.
Firefox:
Mozilla предоставил патч, защищающий от использования Spectre через браузер, – он в версии 57 фаерфокса.
Cisco:
Только проводит анализ и готовится выпускать патчи.
Статус тут: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel
Помимо этого всего этого обновление BIOS тоже нужно.
Ну тут уж – на сайт производителя.
Обязательно покупайте процессоры, только в проверенных магазинах https://shop.kz/protsessory/