Роман Листопад
«Это неописуемо», — сказала собака, обходя баобаб.

Apple заявила, что уязвимости Spectre и Meltdown влияют на все устройства с MacOS и iOS

Технологические компании работают над тем, чтобы защитить своих клиентов, после того, как исследователи обнаружили, что основные недостатки безопасности, затрагивающие почти каждый современный компьютерный процессор, могут позволить хакерам украсть сохраненные данные, включая пароли и другую конфиденциальную информацию, на настольных компьютерах, ноутбуках, мобильных телефонах и облачных сетях по всему миру.

Гонки по защите широкого спектра устройств начались после того, как исследователи обнаружили две существенные уязвимости в современных вычислительных аппаратах, одна из которых до сих пор не может быть полностью решена. Эксперты говорят, что раскрытие критических недостатков подчеркивает необходимость идти в ногу с обновлениями программного обеспечения и исправлениями безопасности, и подчеркивает роль независимых исследований в продвижении технологических компаний для минимизации слабых мест.

Исследователи из Google Project Zero, научных институтов и частных компаний, опубликовали свои выводы об уязвимостях в среду. Они сказали, что недостатки были обнаружены в прошлом году.

Более распространенный недостаток из двух, получивший название Spectre, делает микропроцессоры, проданные по всему миру, потенциально уязвимыми для атаки. Исправление Spectre более сложное для производителей компьютеров.

Поскольку его нелегко исправить, он будет преследовать нас в течение довольно долгого времени, - сказали исследователи, объяснив, почему они решили назвать недостаток Spectre.

Сейчас нет полного программного патча для Spectre, сказал Майкл Дейли, главный специалист по технологиям кибербезопасности и специальных миссий в защитной компании Raytheon. По его словам, долгосрочное решение может основываться на редизайне аппаратной части программными патчами, действующими для мониторинга и прекращения вредоносного поведения. В то же время преступные субъекты могут еще больше развить уязвимость Spectre, что облегчит выполнение атак.

Сейчас довольно сложно воспользоваться им, – сказал Дейли. – Но этим дело не кончится. Его будут улучшать.

Другой недостаток под названием Meltdown влияет на большинство процессоров Intel, сделанных после 1995 года. И хотя существуют исправления безопасности для устройств под управлением Linux, Windows и OS X, исследователи сказали, что исправление может замедлить производительность устройств на целых 30 процентов, согласно некоторым оценкам.

Intel и AMD сказали, что Google сообщил компаниям об угрозах прошлым летом.

Intel привержена ответственному раскрытию информации. В этом случае исследователи безопасности убедительно доказали свои выводы, а мы и другие компании работали вместе, чтобы проверить их результаты, разработать и утвердить обновления прошивки и операционной системы для затронутых технологий и сделать их широко доступными как можно быстрее, – говорится в сообщении компании в среду.

Кроме того, Intel опровергла падение производительности из-за обновлений, отметив, что для «среднестатистического пользователя компьютера» воздействие не должно быть заметным и со временем будет уменьшаться.

Проконсультируйтесь с производителем вашей операционной системы или аппаратной части и примените любые доступные обновления, как только они появятся, – сказали в Intel.

В четверг Apple подтвердила, что все системы Mac и устройства iOS затронуты, но никакие известные эксплойты не повлияли на их клиентов. В сообщении на своем веб-сайте Apple сообщила, что обновления для их операционных систем для iPhone (iOS 11.2), Mac (macOS 10.13.2) и Apple TV (tvOS 11.2) будут защищать от Meltdown. Компания заявила, что скоро выпустит новую версию своего браузера Safari для защиты клиентов от Spectre. По словам Apple, новые обновления iOS, macOS, tvOS и watchOS будут выпущены, чтобы ограничить угрозу уязвимостей.

Microsoft, в своем заявлении в четверг сообщила, что не знает, какая из этих уязвимостей используется против их клиентов.

3 января мы внедряем меры по смягчению облачных сервисов и выпускаем обновления безопасности для защиты клиентов Windows от уязвимостей, связанных с поддерживаемыми аппаратными чипами от Intel, Arm и AMD, – говорится в сообщении компании.

Google сообщила в среду, что его популярный веб-браузер Chrome, облачные сервисы и другие приложения были или вскоре будут обновлены для защиты от недавно обнаруженных уязвимостей.

Amazon в среду в своем блоге написали, что «все, кроме небольшого однозначного процента экземпляров» ее систем EC2, службы под ее облачной платформой, уже были защищены, и призвала клиентов исправлять свои операционные системы, используя доступные обновления.

В своем сообщении AMD говорит, что один из вариантов уязвимости Spectre был устранен с помощью обновлений программного обеспечения и операционной системы. Другой вариант Spectre, по словам компании, имеет «почти нулевой риск эксплуатации» на их процессорах. Но AMD также сообщила своим клиентам, что «полная защита от всех возможных атак остается неуловимой целью» и призвала их регулярно обновлять свое программное обеспечение.

В четверг акции Intel упали на 1,8 процента до 44,43 доллара за акцию. Но AMD поднялась более чем на 5 процентов после публикации недостатков безопасности, на уровень 12,12 доллара за акцию.

В заявлении в четверг ARM сказали, что большинство его процессоров не затронуты Spectre или Meltdown, но подтвердили, что они работают с Intel, AMD и другими партнерами для разработки защиты от уязвимостей.

Позитивные новости заключаются в том, что мы проводим независимую проверку – исследователи ищут уязвимости, – сказал Дейли. – Большинство поставщиков программного обеспечения приветствуют это взаимодействие, так что есть шанс исправить ошибки.