Meltdown i Spectre – poważne luki w architekturze procesorów

Kilka niezależnych zespołów badaczy odkryło poważne podatności sprzętowe we wszystkich współcześnie używanych procesorach. Producenci procesorów, chcąc zwiększyć ich wydajność, wyposażyli je w obsługę tzw. wykonywania spekulatywnego, które sprowadza się do prób przewidzenia, jakie będą kolejne instrukcje. W przypadku pomyłki przetworzone z wyprzedzeniem dane są porzucane, okazało się jednak, że istnieją co najmniej trzy sposoby na wydobycie ich z pamięci podręcznej procesorów. Szczegóły możliwych do przeprowadzenia ataków ujawnili eksperci skupieni wokół Google Project Zero. Meltdown (CVE-2017-5754) pozwala nieuprzywilejowanemu procesowi odczytywać zawartość pamięci systemowej. Na atak podatne są procesory Intela wyprodukowane po 1995 r., wyłączając Itanium i Atom sprzed 2013 r. Spośród procesorów ARM, stosowanych powszechnie w smartfonach, podatny jest Cortex-A75, a na słabszą wersję ataku także A15, A57 i A72. Problem nie dotyczy procesorów AMD. Co innego w przypadku Spectre (CVE-2017-575 oraz CVE-2017-5715), który umożliwia złośliwemu procesowi odczytywanie pamięci innych procesów. Atak ten jest trudniejszy do przeprowadzenia, ale są na niego podatne wszystkie procesory Intela, AMD i ARM (od A8 do A75).

Ryzyko duże: Problem w różnym zakresie dotyczy wszystkich dostępnych na rynku procesorów Intela, AMD i ARM, na atak są więc podatne zarówno komputery osobiste, jak i serwery oraz smartfony. Odpowiednich aktualizacji wymagają też rozwiązania chmurowe, takie jak Amazon EC2, Google Compute Engine czy Microsoft Azure.
Działania krótkoterminowe: Zastosować aktualizacje udostępnione przez producentów systemów i przeglądarek. Upewnić się, że usługodawca wykorzystywanej usługi chmurowej wdrożył niezbędne poprawki.
Źródło: https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html