Milijarde uređaja podložne napadima zbog dva kritična hardverska baga

Vesti, 05.01.2018, 01:00 AM

Situacija sa bagom u Intelovim procesorima, za koji je Intel potvrdio da utiče na mnoge vrste računarskih uređaja, se dodatno zakomplikovala kada su bezbednosni istraživači otkrili detalje o dve kritične ranjivosti koje milijarde uređaja čine podložnim napadima.

Reč je o dva hardverska baga nazvana Meltdown i Spectre koji su otkriveni u Intelovim procesorima i koji utiču na skoro svaki kompjuterski uređaj proizveden u poslednje dve decenije, bez obzira da li je reč o mobilnom telefonu ili personalnom računaru. Bagovi omogućavaju malicioznim programima da ukradu osetljive podatke obrađene na napadima podložnom uređaju.

"Iako programima obično nije dozvoljeno da čitaju podatke iz drugih programa, maliciozni program može iskoristiti Meltdown i Spectre da bi dobio tajne sačuvane u memoriji drugih pokrenutih programa. To može uključivati vaše lozinke sačuvane u meandžeru lozinki ili browseru, vaše lične fotografije, emailove, kratke poruke i važne poslovne dokumente", navodi se na namenskom sajtu meltdownattack.com.

Računari koji rade u oblaku su najugroženiji zbog ove dve ranjivosti (CVE-2017-5753 i CVE-2017-5715 za Spectre i CVE-2017-5754 Meltdown) jer je moguće ukrasti podatke i od drugih korisnika, ali svaki računar sa modernim procesorom je u opasnosti od napada ako operativni sistem nije ažuriran najnovijim dostupnim izdanjem softvera koje uključuje zakrpe za ove bagove.

Svaki procesor proizveden od 1995., sa izuzetkom Intel Itaniuma i Intel Atom procesora objavljenih pre 2013., pogođen je ovim propustima, bez obzira da li koristite Windows, Linux, macOS, Android, Chrome OS ili FreeBSD. I Meltdown i Spectre su Intelu prijavili istraživači koji rade za Googleov Project Zero tim, Cyberus Technology i Tehnološki univerzitet iz Graca.

Oni su potvrdili da je bag Spectre opasniji od Meltdowna i da ga nije lako popraviti. Istraživači kažu i da će nas problem sa ovim bagom pratiti neko vreme. Bagovi prvenstveno utiču na Intelove procesore, ali su i neki AMD procesori i ARM Cortex-A čipovi takođe podložni ovoj vrsti napada.

Googleov Project Zero tim je objavio da je uticaj kritičnih bezbednosnih propusta uzorkovan "speculative execution" tehnikom koju koristi većina modernih procesora da bi optimizovala performanse. Tim je pozvao korisnike da ažuriraju svoje Android i Chromebook uređaje na najnovije verzije softvera koje je Google nedavno objavio.

Microsoft je juče objavio hitno ažuriranje koje ispravlja ova dva propusta, a Apple je već ispravio barem jedan od bagova u macOS 10.12.2, a još ispravki očekuje se u predstojećem izdanju macOS 10.13.3 High Sierra koje treba da bude objavljeno krajem meseca.

Intel je juče objavio još jedno saopštenje, drugo po redu ove nedelje, kako bi obavestio javnost o tome da je objavio ažuriranja za većinu svojih procesora proizvedenih u proteklih pet godina kako bi ih učinio imunim na Meltdown i Specter exploite.

Kompanija je saopštila da je radila na tome da ažurira većinu svojih procesora za personalne kompjutere i servere proizvedene u proteklih pet godina. Ova ažuriranja će učiniti te sisteme imunim na Meltdown i Specter hardverske bagove koji bi mogli biti iskorišćeni od strane napadača a sa ciljem krađe osetljivih podataka sačuvanih u memoriji kernela. Iz Intela kažu da ove ispravke dolaze u formi softverskih ažuriranja i ažuriranja firmwarea.

"Do kraja sledeće nedelje Intel očekuje da će izdati nadogradnje za više od 90% procesora predstavljenih u poslednjih pet godina", kaže se u saopštenju kompanije.