Gott nytt år! Tre massiva säkerhetsbrister i Intel, AMD, ARM och andra processorer avslöjades onsdag (3 januari). Microsoft utfärdade en nödkorrigering för alla versioner av Windows som stöds, inklusive Windows 7, Windows 8.1 och Windows 10, men tillade att användare också bör tillämpa firmware -uppdateringar när de blir tillgängliga från enhetstillverkare. Google korrigerade felet i Android med uppdateringen januari 2022-2023-2022, utfärdad tisdag (2 januari), även om bara Google-hanterade enheter har det för tillfället. Patcher för macOS, iOS och Linux är kanske ännu inte fullt tillgängliga.
Två proof-of-concept-attacker, kallade "Meltdown" och "Spectre", utnyttjar dessa tre brister, som gäller hur moderna datorprocessorer hanterar körminnet för applikationer och kärnsystemet, eller kärnan, på nuvarande operativsystem.
"Meltdown and Spectre fungerar på persondatorer, mobila enheter och i molnet", säger webbplatserna till varje fel, som har identiskt innehåll. "Beroende på molnleverantörens infrastruktur kan det vara möjligt att stjäla data från andra kunder."
Ett blogginlägg från Google förklarade att bristerna gjorde det möjligt att "en obehörig part kan läsa känslig information i systemets minne, till exempel lösenord, krypteringsnycklar eller känslig information som är öppen i applikationer."
Meltdown raderar gränserna mellan kärnprocesser och användarprocesser och verkar vara begränsad till Intel -chips. Spectre stjäl data från körande applikationer och fungerar också på AMD- och ARM -chips. Specter- och Meltdown -webbplatserna beskriver inte hur de olika chipset som används på mobila enheter påverkades.
AMD förnekade dock att det påverkades av någon av bristerna.
"AMD är inte mottagligt för alla tre varianterna", sa företaget till CNBC. "På grund av skillnader i AMD: s arkitektur tror vi att det finns en nästan noll risk för AMD-processorer just nu."
Vad ska man göra
Om du använder Windows 7, 8.1 eller 10 bör du tillämpa Windows säkerhetsuppdatering som släpptes idag. Tidiga versioner av patchar skickades till Windows Insider -användare i november och december.
"Vi håller på att distribuera mildringar för molntjänster och släpper idag säkerhetsuppdateringar för att skydda Windows -kunder mot sårbarheter som påverkar stödda hårdvaruflis från AMD, ARM och Intel", sade ett uttalande från Microsoft delvis till oss. "Vi har inte fått någon information som tyder på att dessa sårbarheter hade använts för att attackera våra kunder."
Det finns dock ett par fångster. För det första, såvida du inte kör en bärbar dator eller surfplatta med Microsoft-utrustning, till exempel en Surface, Surface Pro eller Surface Book, måste du också tillämpa en firmwareuppdatering från datorns tillverkare.
"Kunder som bara installerar säkerhetsuppdateringarna för Windows januari 2022-2023-2022 kommer inte att dra nytta av alla kända skydd mot sårbarheterna", står det i ett Microsoft-supportdokument på nätet. "Förutom att installera januari -säkerhetsuppdateringarna, en processormikrokod eller fast programvara krävs uppdatering. Detta bör vara tillgängligt via din enhetstillverkare. Surface -kunder får en mikrokoduppdatering via Windows -uppdatering."
För det andra insisterar Microsoft på att kunderna ska se till att de har "stöd" för antivirusprogram som körs innan de använder patchen. I ett separat dokument som förklarar den nya säkerhetspatchen säger Microsoft att endast maskiner som kör sådan programvara kommer att få korrigeringen automatiskt.
Det är inte klart exakt vad Microsoft menar med "antivirusprogram" som stöds, eller varför Microsoft insisterar på att sådan programvara ska finnas på maskinen innan korrigeringen appliceras. Det finns en länk till ett dokument som ska förklara allt detta, men när vi skrev sent på onsdagskvällen gick länken ingenstans.
Sist medger Microsoft att det finns "potentiella prestandaeffekter" i samband med patchar. Med andra ord, efter att du har applicerat plåstren kan din maskin köra långsammare.
"För de flesta konsumentenheter är effekten kanske inte märkbar", står det i rådgivningen. "Den specifika effekten varierar dock beroende på hårdvarugenerering och implementering av chipstillverkaren."
Om du vill köra Windows Update manuellt klickar du på Start -knappen, klickar på ikonen Inställningar, klickar på Uppdateringar och säkerhet och klickar på Sök efter uppdateringar.
Apple -användare bör installera framtida uppdateringar genom att klicka på Apple -ikonen, välja App Store, klicka på Uppdateringar och klicka på Uppdatera bredvid alla objekt från Apple. Det fanns en obekräftad rapport på Twitter om att Apple redan hade korrigerat bristerna med macOS 10.13.2 i början av december, men sårbarhets -ID -numren (CVE: er) som täcks av Apple -uppdateringarna i december matchar inte de som tilldelats Meltdown och Spectre.
Linux -maskiner kommer också att kräva patchar, och det verkar som att något kan vara nästan klart. Som nämnts ovan åtgärdar säkerhetspatchen för januari 2022-2023-2022 Android felet, men bara en liten andel av Android-enheter kommer att få det för tillfället. (Det är inte klart hur många Android -enheter som är mottagliga.)
Hur attackerna fungerar
Meltdown-attacken, som såvitt forskarna vet påverkar endast Intel-chips som utvecklats sedan 1995 (förutom Itanium-linjen och Atom-linjen före 2013), låter vanliga program komma åt systeminformation som ska skyddas. Den informationen lagras i kärnan, systemets djupt fördjupade centrum som användaroperationer aldrig är avsedda att gå nära.
"Meltdown bryter den mest grundläggande isoleringen mellan användarprogram och operativsystemet", förklarade Meltdown och Spectre -webbplatserna. "Denna attack tillåter ett program att komma åt minnet, och därmed också hemligheterna, för andra program och operativsystemet."
"Om din dator har en sårbar processor och kör ett opatchat operativsystem är det inte säkert att arbeta med känslig information utan chans att läcka informationen."
Meltdown namngavs som sådant eftersom det "i princip smälter säkerhetsgränser som normalt tillämpas av hårdvaran."
För att åtgärda det associerade felet skulle kärnminnet behöva vara ännu mer isolerat från användarprocesser, men det finns en hake. Det verkar som att bristen delvis finns eftersom delning av minne mellan kärnan och användarprocesserna gör att system kan köras snabbare och att stoppa den delningen kan minska CPU -prestanda.
Vissa rapporter sa att korrigeringarna kan sakta ner systemen med så mycket som 30 procent. Våra kollegor på Toms maskinvara tror att systemprestanda påverkas mycket mindre.
Spectre, å andra sidan, är universell och "bryter isolationen mellan olika applikationer", sa webbplatserna. "Det tillåter en angripare att lura felfria program, som följer bästa praxis, till att läcka sina hemligheter. Faktum är att säkerhetskontrollerna av de bästa metoderna faktiskt ökar attackytan och kan göra applikationer mer mottagliga för Spectre."
"Alla moderna processorer som kan hålla många instruktioner under flygning är potentiellt sårbara" för Spectre. "I synnerhet har vi verifierat Specter på Intel-, AMD- och ARM -processorer."
Webbplatserna fortsätter att förklara att upptäckt av sådana attacker skulle vara nästan omöjligt, och att antivirusprogram bara kunde upptäcka skadlig kod som kom in i systemet innan attackerna startade. De säger att Spectre är svårare att dra av än Meltdown, men att det inte fanns några bevis för att liknande attacker hade inletts "i det vilda".
Men de sa att Spectre, så kallat för att det missbrukar spekulativt utförande, en vanlig chipsetprocess, "kommer att hemsöka oss ganska länge."
The Lost Art of Keeping a Secret
Intel, AMD och ARM berättades av Google om dessa brister redan i juni2021-2022, och alla inblandade parter försökte hålla det tyst tills lapparna var klara nästa vecka. Men informationssäkerhetsexperter som inte var med om hemligheten kunde berätta att något stort skulle komma.
Diskussioner i Linux -utvecklingsforum gällde radikala översyner av operativsystemets hantering av kärnminne, men inga detaljer avslöjades. Personer med e -postadresser från Microsoft, Amazon och Google var mystiskt involverade. Ovanligt skulle översynerna backportas till flera tidigare versioner av Linux, vilket indikerar att ett stort säkerhetsproblem fixades.
Det utlöste ett par dagars konspirationsteorier om Reddit och 4chan. På måndagen (1 januari), en bloggare som kallade sig Python Sweetness "kopplade de osynliga prickarna" i ett långt inlägg som beskriver flera parallella utvecklingar bland Windows- och Linux -utvecklare angående hantering av kärnminne.
Sent tisdag (2 januari). Registret samlade mycket liknande information. Det noterade också att Amazon Web Services skulle utföra underhåll och starta om sina molnservrar den kommande fredagskvällen (5 januari). och att Microsofts Azure Cloud hade något liknande planerat för 10 januari.
Dammen bröt i onsdags när en nederländsk säkerhetsforskare twittrade att han hade skapat ett proof-of-concept-fel som tycktes utnyttja åtminstone en av bristerna.
Vid 3 på eftermiddagen. EST onsdag, Intel, som hade sett sitt aktie falla cirka 10 procent i den dagens handel, utfärdade ett pressmeddelande som bagatelliserade bristerna, och dess aktie återfick därför en viss mark. Men företaget erkände att bristerna kan användas för att stjäla data, och att det och andra chipmakers arbetade med att åtgärda problemet.
"Intel och andra leverantörer hade planerat att avslöja detta problem nästa vecka när fler program- och firmwareuppdateringar kommer att finnas tillgängliga", heter det i uttalandet. "Men Intel gör detta uttalande i dag på grund av de aktuella felaktiga mediarapporterna."
Vid 17-tiden kom Daniel Gruss, en postdoktorand i informationssäkerhet vid tekniska universitetet i Graz i Österrike, fram för att meddela Meltdown och Spectre. Han berättade för ZDNets Zack Whittaker att "nästan varje system" baserat på Intel -chips sedan 1995 påverkades av bristerna. Det visade sig att problemet var ännu värre.
Gruss var en av sju Graz-forskare som i oktober2022-2023 publicerade ett tekniskt dokument som beskriver teoretiska brister i hur Linux hanterade kärnminne och föreslog en åtgärd. Python Sweetness, den pseudonyma bloggaren som det hänvisades till i början av denna berättelse, hade tydligen rätt i att gissa att det papper var centralt för Intel -bristen som nu jobbar på.
Vid 18 -tiden EST, Spectre och Meltdown -sajterna gick live, tillsammans med ett blogginlägg från Google som beskriver företagets egen forskning. Det visade sig att två lag oberoende hade upptäckt Meltdown och tre olika lag samtidigt hade hittat Spectre. Googles Project Zero och Gruss team på Graz hade en hand i båda.
Bildkredit: Natascha Eidl/Public domain
- 12 Datorsäkerhetsfel du förmodligen gör
- Bästa antivirusskyddet för PC, Mac och Android
- Din routers säkerhet stinker: Så här fixar du det