Uppdatering 17:42 ET: Apple publicerade en supportsida med instruktioner om hur du inaktiverar hypertrådning för att helt skydda din Mac från ZombieLoad, men varnade för att detta kan minska prestanda med upp till 40%. För mer information, läs vår guide om hur du inaktiverar funktionen.
Det finns en god chans att din bärbara dator drivs av en Intel -processor. Om så är fallet måste du uppdatera din dator omedelbart efter att en klass med sårbarheter upptäckts som gör att angripare kan stjäla data direkt från din processor.
Den så kallade ZombieLoad-buggen och tre relaterade sårbarheter avslöjades av några av samma forskare som tog de kritiska Spectre- och Meltdown-bristerna i rampljuset, och den delar många likheter med dessa buggar.
ZombieLoad och dess släktingar påverkar alla Intel -processorer som tillverkats sedan 2011, vilket innebär att alla MacBooks, en stor majoritet av Windows -datorer, de flesta Linux -servrar och till och med många Chromebooks är i hårkorset. Buggarna kan till och med användas på virtuella datorer i molnet. Men AMD- och ARM -chips verkar inte påverkas av de senaste bristerna.
Kredit: Intel
Intel, som kallar denna uppsättning brister Microarchitectural Data Sampling, eller MDS, säger att utvalda 8: e och 9: e generationens processorer redan är skyddade mot bristerna och att alla framtida processorer kommer att inkludera hårdvarudämpning. (Forskarna som upptäckte bristerna håller inte med Intel och insisterar på att dessa marker fortfarande påverkas.)
"Microarchitectural Data Sampling (MDS) behandlas redan på hårdvarunivå i många av våra senaste 8: e och 9: e generationens Intel® Core ™ -processorer, liksom andra generationens Intel® Xeon® skalbara processorfamilj," sade Intel i ett officiellt uttalande .
Hur attackerna fungerar
Precis som Spectre, Meltdown och flera andra brister som upptäckts sedan, utnyttjar dessa fyra nya distinkta attacker-som kallas ZombieLoad, Fallout, RIDL och Store-to-Leak Forwarding-svagheter i en mycket använd funktion som kallas "spekulativ körning", som används för att hjälpa en processor att förutsäga vad en app eller ett program kommer att behöva nästa för att förbättra prestandan.
Processorn spekulerar, eller försöker gissa, vilka begäranden om operationer den kommer att få inom en snar framtid (dvs de närmaste millisekunderna). Processorn utför eller utför dessa operationer innan de begärs för att spara tid när förfrågningarna faktiskt görs.
Problemet är att genom att utföra operationer innan de faktiskt behövs lägger CPU: erna resultaten av dessa operationer-dvs data-i sina egna korttidsminnescacher. På olika sätt tillåter Specter, Meltdown och de senaste fyra bristerna att angripare kan läsa den informationen direkt från processorns minnescacher. Det finns en teknisk uppdelning av de fyra nya attackerna här.
En alarmerande proof-of-concept-video visar hur ZombieLoad-utnyttjandet kan utföras för att se vilka webbplatser en person tittar på i realtid. Sårbarheterna öppnar också dörren för angripare att hitta lösenord, känsliga dokument och krypteringsnycklar direkt från en CPU.
"Det är ungefär som om vi behandlar CPU: n som ett nätverk av komponenter, och vi avlyssnar i princip trafiken mellan dem", säger Cristiano Giuffrida, forskare vid Vrije Universiteit Amsterdam som var en del av lagen som upptäckte MDS -attackerna, till Wired. "Vi hör allt som dessa komponenter utbyter."
Upphovsman: Michael Schwartz/Twitter
Uppdatera just nu
Det finns några goda nyheter. Intel, Apple, Google och Microsoft har redan utfärdat patchar för att åtgärda bristerna. Så har många tillverkare av Linux -distributioner. Men du är inte utom fara förrän du har uppdaterat alla dina Intel-baserade enheter och deras operativsystem, vilket vi starkt rekommenderar att du gör direkt. Läs vår guide om hur du söker efter uppdateringar på din Mac eller följ dessa steg för att uppdatera din Windows 10 -dator.
Intel medgav att de senaste säkerhetsuppdateringarna kommer att påverka CPU-prestanda med upp till 3% på konsumentenheter och upp till 9% på datacentermaskiner, och Google inaktiverar hypertrådning (en metod som delar kärnor för att öka prestanda) i Chrome OS 74 för att minska säkerhetsriskerna. Men låt inte det avskräcka dig från att manuellt tvinga uppdateringen.
Apple publicerade en supportsida som förklarade att det enda sättet att helt avhjälpa felet är att inaktivera hypertrådning, men att genom att göra det riskerar du att minska systemprestandan med svindlande 40%, enligt intern testning. De flesta människor behöver inte vidta sådana extrema åtgärder för att skydda sina datorer, men vissa riskabla användare, som statligt anställda och företagsledare, vill kanske ta försiktighetsåtgärderna. Om du tillhör dessa grupper eller vill ha extra trygghet, läs vår guide om hur du inaktiverar hypertrådning på macOS (för Mojave, High Sierra och Sierra).
Slutsats
Tyvärr tror forskare att sårbarheter relaterade till spekulativt utförande kommer att fortsätta att dyka upp långt in i framtiden. Vi kan bara korsa fingrarna för att dessa brister snabbt åtgärdas, men när de väl är det är det upp till dig att se till att dina enheter alla har uppdaterats till de senaste, säkraste versionerna.
- Meltdown and Specter: Hur du skyddar din PC, Mac och telefon
- Vad är en TPM? Hur detta chip kan skydda dina data
- 9 tips för att hålla dig säker på allmän Wi-Fi