Как удачно, что критические уязвимости в архитектуре процессоров Intel, AMD и ARM опубликовали, пока мы отдыхали.

Не успели мы сменить оборудование, как рекомендовал US-CERT, как оказалось, что достаточно поставить апдейты операционных систем.

Ну и время на выпуск апдейтов у производителей было.

Итак, что есть в итоге на данный момент.

Уязвимости две – Meltdown («Крах») и Spectre («Призрак»).

Meltdown позволяет нарушить барьер между приложениями и внутренней памятью операционной системы, что открывает доступ к данным, хранимым в памяти ОС.

Подробное описание https://meltdownattack.com/meltdown.pdf.

Ну эксплойтики тоже есть, вот, например: https://github.com/paboldin/meltdown-exploit.

Spectre нарушает изоляцию памяти между самими приложениями: условно, один сервис может залезть в память другого.

Описание https://spectreattack.com/spectre.pdf. Говорят, использовать уязвимость сложнее, но сплойты все равно есть: https://github.com/crozone/SpectrePoC, https://github.com/Eugnis/spectre-attack.

В общем, кошмар! Обновляться, однозначно!

Страхи про 30% потери производительности на практике не оправдываются

Microsoft:

Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1 – KB4056897 или KB4056894

Windows Server 2012 Standard – KB4056899 или KB4056896

Windows 8.1, Windows Server 2012 R2 Standard – KB4056898 или KB4056895

Windows 10 Enterprise – KB4056893

Windows 10 Version 1607, Windows Server 2016, Windows 10 Mobile – KB4056890

Windows 10 Version 1703 – KB4056891

Windows 10 version 1709 – KB4056892

С установкой патча могут возникнуть проблемы из-за антивируса.

Предоставлен список антивирусов, которые блокируют патч: BitDefender, Carbon Black, Cisco, CrowdStrike, Cylance, Cyren, Endgame, Fortinet, G-DATA, McAfee, Nyotron, Palo-Alto, SentinelOne, Sophos, Trend Micro, VIPRE, Webroot.

Помочь решить проблему может модификация или создание следующего ключа реестра:

 Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWAREMicrosoftWindowsCurrentVersionQualityCompat"

Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"

Type="REG_DWORD"

Data="0x00000000" 

Очень коротко по производительности: тесты с обновлением Windows 10 показали уменьшение различных параметров производительности на 1-2%.

Подробности: http://www.guru3d.com/articles-pages/windows-vulnerability-cpu-meltdown-patch-benchmarked.html.

Linux:

Тут все просто, вам нужно ядро 4.14.12, 4.9.75 или 4.4.110. Для других веток апдейтов нет, зато в них есть куча других неисправленных уязвимостей, так что к использованию не рекомендуются.

Apple:

Meltdown исправлен в iOS 11.2, macOS 10.13.2 и tvOS 11.2. Для watchOS обновление не требуется.

Spectre, как утверждает Apple, практически доступен для эксплуатации только через JavaScript в веб-браузере, поэтому они будут обновлять Safari. Этот патч, а также патчи Spectre для осей, пока ожидаются.

Google:

Android с патчем от 2018-01-05 защищен.

В версии Chrome 64 добавлена защита от Spectre, но выпуск его назначен на 23 января. Пока, при желании, можно включить функцию Site Isolation для защиты от атаки.

Firefox:

Mozilla предоставил патч, защищающий от использования Spectre через браузер, – он в версии 57 фаерфокса.

Cisco:

Только проводит анализ и готовится выпускать патчи.

Статус тут: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel

Помимо этого всего этого обновление BIOS тоже нужно.

Ну тут уж – на сайт производителя.

Обязательно покупайте процессоры, только в проверенных магазинах https://shop.kz/protsessory/

Если на вашем компьютере установлен медиаплеер VLC, вы должны немедленно обновить его до последней версии 3.0.7 и выше.

Есть два новых эксплойта, которые позволяют хакерам использовать уязвимые старые версии VLC для сбоя вашей системы и удаленного выполнения своих кодов.

Порядок действий очень типичен.

После того, как вы ничего не подозреваете, загрузите файл AVI или MKV, он предоставит хакерам полный контроль над вашим компьютером, когда вы проигрываете видео на VLC.

Эти файлы могут придти с видео торрентов, а также из Facebook, Twitter или Instagram.

Звучит опасно?

Что ж, дажеVideoLAN, родительская организация VLC, выпустила предупреждение по этому вопросу.

Последние несколько дней я замечаю запросы на обновление каждый раз, когда открываю медиаплеер VLC.

Предупреждение: больше не используйте этот продукт, пока не установите его последнее обновление, 3.0.7.

Что на самом деле произошло?

Где-то в этом месяце исследователи безопасности из Pen Test Partners разработали новый эксплойт, предназначенный для более старых версий VLC, включая 3.0.6.

Они назвали эту уязвимость «CVE-2019-12874», которая использует фаззинг для создания неверных или случайных данных.

По сути, VLC – это сложное программное обеспечение, которое использует большое количество сторонних библиотек, предоставленных разработчиками с открытым исходным кодом.

Одна из этих функций, называемая «demux / mkv», находится в ReadFrames, которая может запускаться из фона файла VLC.

Это свойство вашего VLC уязвимо для нового вектора атаки.

Как только файл атаки будет загружен в вашу систему, вы увидите, что VLC будет воспроизводиться в течение пяти секунд, выходя из него, а затем перебирая видео по одному.

Аварии никогда не заканчиваются.

По словам партнеров Pen Test, на данный момент они выполнили 1 миллион экземпляров этого эксплойта, и в этих выполнениях было 1547 аварий.

Тем не менее, этого было достаточно, чтобы дойти до NIST.

Пока что многие из сотен миллионов пользователей мультимедиа VLC не знают об этой угрозе.

Помимо описанной выше уязвимости удаленного сбоя, 12 июня 2019 года была раскрыта еще одна уязвимость переполнения буфера, идентифицированная как CVE-2019-5439.

Она также использует функцию ReadFrame VLC, чтобы предложить целевому пользователю загрузить специально созданный AVI или MKV. файл.

Успешное переполнение буфера может вызвать сбой или сделать систему удаленно эксплуатируемой хакерами.

Как последний VLC Media Player решит эти проблемы?

Согласно последнему обновлению VLC, версия 3.0.7 исправляет эти проблемы, пофиксив переполнения буфера для ряда расширений файлов.

Это включает в себя MP4, MKV, AVI и NSC.

Он также останавливает запуск бесконечного цикла при воспроизведении недействительного элемента.

Несмотря на наличие исправления, обе ошибки, CVE-2019-5439 и CVE-2019-12874, в настоящее время ожидают повторного анализа исследователями безопасности.

Однако вам следует как минимум загрузить последнюю версию VLC из раздела «Справка / Проверка обновлений».

Загрузка происходит автоматически.

После этого вы должны обновить VLC с предыдущих настроек.

Время от времени следите за тем, чтобы у вас была последняя загружаемая версия, так как в будущем могут появиться новые ошибки, и вы можете об этом не знать.

Кроме того, не открывайте никаких ненадежных файлов на VLC ни сейчас, ни в будущем.

Альтернативы VLC Media Player

Если вы чувствуете, что с медиаплеером VLC больше не стоит рисковать, вы можете рассмотреть альтернативы.

К ним относятся KM Player, Microsoft Photos, DivX и Windows Media Player.

Все они могут быть созданы для работы с новейшими кодеками h.265 и отлично подходят для HD и Full HD видео.

Вы уже заметили эту последнюю уязвимость в VLC Media Player? Или вы читаете об этом в первый раз? Какой ваш любимый медиаплеер? Сообщите нам в комментариях, если вы сталкивались с проблемами с VLC или другими медиаплеерами в прошлом