`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Разработчики ОС и гипервизоров закрыли серьёзную уязвимость

0 
 

Разработчики ОС и гипервизоров закрыли серьёзную уязвимость

Ведущие провайдеры операционных систем и гипервизоров во вторник выпустили исправления серьёзной проблемы, возникшей из-за неправильной интерпретации разработчиками отладочной документации двух чипмейкеров, AMD и Intel.

Уязвимость, угрожающую безопасности Windows, macOS, основных дистрибутивов Linux, FreeBSD, VMware и Xen на x86 AMD и Intel, обнаружили два исследователя – Ник Петерсон (Nick Peterson) из Everdox Tech и Неманжа Муласмажич (Nemanja Mulasmajic) из Triplefault.io.

Как сообщается в предупреждении CERT, это баг позволяет авторизовавшемуся хакеру «читать в памяти чувствительные данные или контролировать функции нижнего уровня операционной системы». В этом документе также имеются ссылки на патчи, подготовленные Apple, DragonFly BSD, FreeBSD, Microsoft, Red Hat, SUSE Linux, Ubuntu, VMware и Xen.

Microsoft сообщила, что эта уязвимость позволяет взломщику выполнять произвольный код в режиме ядра. По данным VMware, проблема актуальна для её продуктов VMware vCenter Server, VMware Data Protection и VMware vSphere Integrated Containers. Также уязвимы все версии Xen, но только для паравиртуализированных гостей (PV), гостевые системы с полной виртуализацией (HVM) не могут использовать указанный дефект.

В контексте Linux неправильная обработка отладочных прерываний может приводить к обвалу операционной системы. Кроме того, непривилегированный гостевой пользователь KVM получает возможность эскалации своих привилегий в гостевой ОС.

CERT подчеркивает, что проблемы вызваны не недостатками конструкции самих процессоров, но неполной документацией, которая плохо объясняет тонкости использования команд POP SS и их взаимодействия с семантикой шлюза прерываний (Interrupt Gate).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT