Обнаружены ещё три уязвимости процессоров Intel - 15 Августа 2018 - DigiPortalNews.ru
Четверг, 20.09.2018, 19:09




ГЛАВНЫЕ НОВОСТИ

ДРАЙВЕРЫ

РУБРИКИ
Накопители [701]
Платформа [1187]
Фото и Видео [177]
Мобильные устройства [3115]
Гаджеты [54]
Разное [474]
Видеокарты [883]
Процессоры [726]
Безопасность [54]
Охлаждение [226]
Наука и техника [194]
Технологии [124]
Интересное [187]
Оперативная память [254]
Акустика [144]
Звук [120]
Принтеры и факсы [42]
Корпуса и БП [314]
Софт [134]
Навигация [43]
Новости компаний [139]
Мониторы [455]
Аналитика [45]
Авто [11]
Обзоры [20]
Сети и Интернет [16]
НОУТБУКИ

Обнаружены ещё три уязвимости процессоров Intel


Добавлено: 15.08.2018 в 20:52

84

процессоры, Intel, безопасность


Стало известно об ещё трёх уязвимостях процессоров Intel, которые могут использоваться вредоносным ПО и виртуальными машинами для похищения секретной информации из компьютерной памяти. Речь, в частности, может идти о паролях, личных и финансовых записях и ключах шифрования. Они могут быть извлечены из других приложений и даже защищённых хранилищ SGX и памяти в режиме SMM (System Management Mode). Уязвимы ПК, настольные системы и серверы.

 

 

Эти уязвимости, связанные с механизмом спекулятивных вычислений, были обнаружены исследователями ещё в январе, и тогда же Intel была проинформирована. В официальном блоге ведущий производитель процессоров для ПК и серверов сообщил, что в сочетании с обновлениями, выпущенными ранее в этом году, новые представленные сегодня заплатки смогут защитить пользователей от очередных уязвимостей. «Нам неизвестны случаи использования любого из этих методов в реальной обстановке для кражи данных, но это ещё раз напоминает о необходимости всем придерживаться основных правил безопасности», — отметила Intel.

Компания назвала этот набор уязвимостей L1TF (L1 Terminal Fault) и отметила, что два варианта атак можно закрыть с помощью уже доступных сейчас обновлений. А третий, который затрагивает лишь часть пользователей, — например, определённые центры обработки данных, — может потребовать дополнительных мер защиты.

 

 

Всего упомянуто три варианта атак: CVE-2018-3615 (извлечение данных из памяти анклавов Intel SGX), CVE-2018-3620 (извлечение данных из SMM и областей памяти ядра ОС) и CVE-2018-3646 (утечка данных из виртуальных машин). Уязвимости используют то обстоятельство, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault) из-за отсутствия флага Present в таблице страниц памяти (PTE), процессоры Intel спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кеше. Спекулятивные расчёты производятся до проверки наличия данных в физической памяти и их доступности для чтения. Потом, в случае отсутствия флага Present в PTE операция отбрасывается, но информация оседает в кеше и её можно извлечь по сторонним каналам. Опасность L1TF состоит в том, что можно определить данные по любому физическому адресу (например, атаковать основную ОС из гостевой системы).

Исследователи, выявившие уязвимость, назвали её Foreshadow. «Когда вы смотрите на то, что с помощью Spectre и Meltdown взломать невозможно, то среди немногих областей остаются анклавы Intel Software Guard Extensions (SGX), — сказал Wired участник открытия Foreshadow Даниэль Генкин (Daniel Genkin). — SGX оставался неподвластен Spectre, поэтому наша работа в этом направлении была следующим логическим шагом».

 

 

AMD тоже прокомментировала ситуацию, сообщив на странице безопасности, посвящённой Specre-подобным уязвимостям: «Как и в случае с Meltdown, мы полагаем, что наши процессоры из-за архитектуры аппаратной защиты страниц памяти не подвержены новым вариантам атаки спекулятивного исполнения, называемым Foreshadow или Foreshadow-NG. Мы советуем клиентам, работающим с процессорами EPYC в своих центрах обработки данных, в том числе в виртуализированных средах, не устанавливать заплатки программного обеспечения для Foreshadow на свои платформы AMD». Совет этот не будет лишним, ведь подобные обновления безопасности могут снижать производительность систем.

Со времени публикации первоначальной информации о трёх видах уязвимостей CPU, связанных со спекулятивными вычислениями (под общим именем Meltdown и Spectre), был раскрыт целый ряд новых аналогичных вариантов атак — например, CVE-2018-3639BranchScopeSgxSpectreMeltdownPrime и SpectrePrimeSpectre 1.1 и 1.2 или SpectreRSB. Исследователи не исключают обнаружения новых видов подобных уязвимостей.

 

 

После первоначального обнародования сведений о Spectre и Meltdown Intel расширила свою программу стимулирования выявления уязвимостей и ошибок, открыв её для большего количества исследователей в области безопасности и предложив более крупные денежные вознаграждения.

 

© 3dnews


ОСТАВИТЬ СВОЙ КОММЕНТАРИЙ
Всего комментариев: 0
avatar
ГЛАВНОЕ ЗА НЕДЕЛЮ

ОСТАЛЬНЫЕ НОВОСТИ >>>

[ Все новости ] Архив новостей

НАУКА И ТЕХНОЛОГИИ

КОМПЬЮТЕРНАЯ СБОРКА

Компьютер месяца — февраль 2018 года

Игровые компьютеры живее всех живых! Аналитики компании Jon Peddie Research (JPR) рапортуют о рекордных продажах техники для геймеров. По оценкам специалистов, в 2016 году траты на компьютеры, комплектующие и периферию впервые достигли отметки 30 млрд долларов США. 43% от обозначенной суммы приходится на топовое игровое оборудование. В приведенные данные очень даже верится, ведь производители видеокарт — AMD и NVIDIA — тоже бьют рекорды. Читать дальше...


Компьютер месяца — октябрь 2017 года

Кто знает, если бы не AMD со своими процессорами Ryzen, то, возможно, сейчас мы опять обсуждали бы очередные четырехъядерники Intel. Однако, господа присяжные заседатели, лед тронулся: впервые для массовой платформы крупнейший чипмейкер выпустил шестиядерные модели Core i5-8400 и Core i5-8600K (без поддержки технологии Hyper-Threading), а также Core i7-8700 и Core i7-8700K (с поддержкой Hyper-Threading). Читать дальше...


Компьютер месяца — сентябрь 2017 года

Противостояние AMD и Intel на рынке настольных центральных процессоров завораживает сильнее, чем последний сезон «Игры престолов». Наконец-то во всех сегментах наблюдается здоровая конкуренция, а потому перед покупкой комплектующих придется хорошенько поломать голову, на чью же сторону в итоге перейти. Уверены, сделать правильный выбор поможет наша ежемесячная рубрика Читать дальше...


Компьютер месяца — июль 2017 года

Дефицит графических ускорителей наблюдается не только в России. Заказать видеокарту уровня GeForce GTX 1060 и выше проблематично даже в США и Европе. Некоторые популярные онлайн-магазины принимают заказы, но со всей ответственностью сообщают о том, что точная дата поступления товара в продажу неизвестна. Я тоже не знаю, сколько еще продлится это безумие, поэтому могу предложить только одно: ждать. Читать дальше...


Компьютер месяца — июнь 2017 года

В команде Intel замена — вместо платформы LGA2011-v3 на поле выходит молодой, но амбициозный игрок под названием LGA2066. Конечно, процессоры Haswell-E и Broadwell-E, а также материнские платы на чипсете X99 Express еще какое-то время будут продаваться, однако при наличии более современных и доступных решений нет смысла смотреть в сторону неактуальной платформы. Читать дальше...


КАЛЕНДАРЬ НОВОСТЕЙ
«  Август 2018  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031
ПОПУЛЯРНОЕ ЗА МЕСЯЦ
За текущий месяц материалов не найдено

ПОДПИСКА НА НОВОСТИ
Новости цифровых технологий, науки и техники
Подписаться письмом
СМАРТФОНЫ И ПЛАНШЕТЫ