Проблемные чипы Intel открывают системную память для атак

Две критические уязвимости, найденные в процессорах Intel, разрушают фундаментальную изоляцию памяти ядра операционной системы от пользовательских процессов и позволяют хакерам извлекать данные из оперативной памяти, используемой приложениями – почтовыми клиентами, браузерами, менеджерами паролей и т.п. В одном из худших сценариев доступ к содержимому защищённой памяти можно получить посредством кода JavaScript, встроенного в обычную веб-страницу.

Эти баги получили названия "Meltdown" и "Spectre" и, по словам первооткрывателей, угрожают безопасности «почти каждой системы», выпущенной с 1995 г., включая компьютеры и телефоны. В подтверждение своих выводов, эксперты представили результаты  тестирования чипов Intel начиная с 2011 г. Они также подготовили программу, с помощью которой пользователи смогут проверить свои машины на наличие этих уязвимостей.

В комментариях, Intel отрицает, что уязвимости, выявленные участниками Project Zero компании Google, являются следствием именно её недоработок: «На данный момент, анализ показывает, что к этим эксплойтам уязвимы многие типы компьютерных устройств с процессорами и операционными системами многих вендоров».

Архитектурные особенности чипов AMD, согласно заявлению этой компании, гарантируют машинам на её платформах безопасность от этих эксплойтов. Однако британский чипмейкер ARM сообщил, что эта проблема затрагивает и ряд его процессоров, включая Cortex-A.

На данный момент нет свидетельств того, что  Meltdown и Spectre когда-либо применялись в преступных целях. Однако отголоски этого открытия, информация о котором, несмотря на эмбарго, просочилась в СМИ два дня назад, по мнению одного из экспертов, будут ощущаться компьютерной индустрией ещё многие годы.

Для того, чтобы свести ущерб к минимуму, технологические гиганты координируют усилия по созданию до 9 января критических патчей для своих клиентов. Microsoft уже выпустила экстренные обновления для Windows, а Apple, по неофициальным сведениям, закрыла уязвимости в macOS 10.13.2. Также доступны патчи для систем Linux и Android.

Многие облачные провайдеры, такие как  Amazon, Microsoft и Google, запланировали на ближайшие дни временные отключения своих сервисов: для установки патчей и чтобы предотвратить чтение чужих процессов на облачных серверах с разделяемым доступом.

Одним из последствий применения патчей с новыми техниками изоляции ядра, может стать снижение производительности приложений, замедление работы облачных служб и популярных веб-сайтов. Степень ухудшения быстродействия зависит от конкретной рабочей нагрузки. Для большинства из них она незначительна, но, например, для облачных экземпляров (instance) с многочисленными обращениями к небольшим файлам, задержка может доходить до 50 и более процентов.