| +11 голос |
|
На протяжении уже более года исследователи находят дыры в различных компонентах процесса спекулятивного выполнения программного кода, открывающие новые пути утечки данных из центрального процессора. Вчера международная команда, участвовавшая в изучении Meltdown и Spectre, вместе с исследователями из Bitdefender сообщила о новом классе таких атак, получившем название Microarchitectural Data Sampling (MDS).
Как следует из названия, атаки нацелены на низкоуровневые структуры данных, такие как некешируемая память (CVE-2019-11091), буферы загрузки (атака CVE-2018-12127), хранения (CVE-2018-12126 или Fallout) и заполнения (CVE-2018-12130 или Zombieload), используемые процессором для быстрой записи/чтения обрабатываемых данных наряду с его основным кэшем.
Из всех них наибольшую опасность представляет атака Zombieload, так как она позволяет извлекать больше всего информации.
На информационном сайте, посвящённом Zombieload и остальным атакам MDS, сообщается, что они могут представлять угрозу для всех мобильных, десктопных и серверных процессоров Intel, выпущенных после 2011 г.
Вредоносное ПО, осуществляющее атаку Zombieload, способно преодолевать все уровни защиты приватности, имеющиеся между приложениями. В одной из демонстраций, исследователи с помощью Zombieload отслеживали историю посещения веб-сайтов пользователем, который работал с защищённым браузером Tor в виртуальной машине.
Есть и хорошие новости. Intel смогла извлечь уроки из инцидентов с Meltdown и Spectre: открытие новых уязвимостей не застало компанию врасплох и она уже выпустила обновления мкрокода. Кроме того, новейшие процессоры Intel Core (8 и 9 поколения) и Intel Xeon Scalable Processor 2-го поколения оснащаются аппаратной защитой от атак спекулятивного выполнения, что должно обезопасить их и от MDS-атак.
Microsoft, Apple и проект Linux готовят апдейты соответствующих операционных систем и гипервизоров, которые будут выпущены в ближайшие пару дней.
Стратегія охолодження ЦОД для епохи AI
| +11 голос |
|
