Ako teraz zabezpečiť počítač pomocou bezpečnostných chýb

Nie presne osemnásť mesiacov od prvého otvoreného núdzového stavu spoločnosti Intel po nájdení hlboko inzerovanej reklamy Meltdown a Ochranné chyby strašidla, Špecialisti našli ďalšiu bezmocnosť zabezpečenia nazvanú Microarchitectural Data Sampling (MDS) - ktorá ponecháva počítače v chode späť do roku 2008 bez ochrany proti nenápadným posluchovým útokom.

Našťastie Intel Prijal svoje cvičenie z primárneho odhalenia Meltdown a nakoniec sa lepšie pripravil na ich riešenie z dôvodu neskorej distribuovanej bezpečnostnej chyby, ktorá by v prípade, že nebude opravená, mohla nechať PC - od pracovných staníc po servery založené na cloudoch - predvedené k špehovaniu útočníkom.

Cez HROB

K riešeniu nedávno odhalenej bezpečnostnej chyby sa dostal neskoro vývoj aktualizácií. Bez ohľadu na to, či používate počítač so systémom Windows alebo Mac, mali by ste byť so svojimi bezpečnostnými záplatami stále v strehu, aby ste sa zbavili nebezpečenstva útoku. Podnikoví klienti pracujúci na svojom rámci z cloudu by sa mali poradiť so svojimi špecializovanými družstvami, aby zaručili, že najnovšie dostupné bezpečnostné záplaty sa použijú tak rýchlo, ako to čas dovolí.

Spoločnosť MDS našla široká škála odborníkov z bezpečnostných spoločností ako Bitdefender, Cyberus, Oracle a Qihoo360, rovnako ako akademické nadácie ako University of Michigan, Vrije Universiteit Amsterdam, KU Leuven v Belgicku, rakúska TU Graz, University of Adelaide, Worcester Polytechnic. Inštitút a nemecká Sárska univerzita. Vedci našli štyri konkrétne metódy vykonávania útokov na MDS. Avšak časť útokov sa našla pred rokom, Intel požiadal analytikov, aby nechali svoje objavy v tajnosti, kým nebude k dispozícii oprava.

Spoločnosť Scholastics našla štyri takéto útoky MDS, zamerané na vankúše obchodov, kolísky zaťaženia, podpery na vyplnenie riadkov (inak známe ako útok Zombieload) a neuchovávateľnú pamäť - pričom Zombieload je zo všetkých najnebezpečnejších, pretože dokáže obnoviť viac dát ako ostatné, ZDNet oznámil. Vedci varovali, že časť útokov môže dokonca vyžadovať, aby sa zmiernili zmeny v vybavení čipov. Spoločnosť Intel tvrdí, že časť svojich čipov sa vybila v poslednom mesiaci, ktorý sa odteraz prepravuje s opravou.

Zatiaľ čo MDS pracuje v tomto duchu pre Meltdown a Spectre v závislosti na tom, ako spoločnosť Intel používa teoretické vykonávanie na podporu vykonávania procesora tým, že umožňuje procesoru premýšľať o tom, aké informácie budú potrebné na vykonanie v predstihu, agresori môžu nenápadne počúvať, keď sa informácie pohybujú medzi rôznymi časti procesora. V minulých útokoch sa k citlivým informáciám dostávalo z pamäte, na MDS sa k nim dalo dostať z rezervy. Cez MDS sa dá dostať k všetkému, čo prejde procesorom, z webu, kde ste navštívili svoju tajnú frázu a informácie Mastercard. Programátori môžu dokonca použiť MDS na oddelenie dekódovacích kľúčov od kódovanej jednotky.

Viac noviniek: Chyba WhatsApp nechala telefóny otvorené pre sofistikovaný spyware

UPEVŇOVANIE ČIPOKALALYZIE INTEL

Intel pripravil opravu pre MDS, napriek tomu by sa oprava mala posielať prostredníctvom rôznych pracovných rámcov. Spoločnosť Apple zatiaľ tvrdí, že oprava bola oficiálne zahrnutá do prebiehajúcej aktualizácie jeho pracovného rámca MacOS Mojave a desktopového programu Safari, takže používatelia počítačov Mac by si mali sťahovať najnovšie aktualizácie, ak to tak neurobili. Spoločnosť Google tiež zaručila, že jej prebiehajúce položky odteraz budú obsahovať opravu, zatiaľ čo spoločnosť Microsoft vydala pripravené vyhlásenie, v ktorom sa vyjadrí, že oprava bude pripravená neskôr dnes. Používateľom systému Windows 10 sa odporúča, aby si túto opravu stiahli.

Pokúšame sa poslať úľavy cloudovým správam a vypustiť bezpečnostné aktualizácie, aby sme zabezpečili klientov Windows proti zraniteľnostiam ovplyvňujúcim posilnené čipy vybavenia, uviedla spoločnosť Microsoft.

Webové služby Amazon navyše zaslali opravy. AWS naplánovala a uskutočnila svoju základňu s cennými papiermi proti týmto druhom chýb a taktiež poslala ďalšie poistenie pre MDS, V oznámení uviedla spoločnosť AWS. Všetky nadácie EC2 majú boli aktualizované o tieto nové záruky, a na úrovni rámca sa nevyžaduje žiadna činnosť klienta. Aktualizované časti a zväzky mikrokódov pre systémy Amazon Linux AMI 2018.03 a Amazon Linux 2 sú dostupné v samostatných obchodoch (ALAS-2019-1205).

Napriek skutočnosti, že čipy vybíjané pred mesiacom skutočne obsahovali opravu úrovne vybavenia, Intel tvrdí, že aktualizácie mikrokódu sú dostatočné. Pre ďalšie ovplyvnené položky je úľava prístupná prostredníctvom aktualizácií mikrokódov v kombinácii s porovnaním aktualizácií pracovného rámca a programovania hypervisora, ktoré sú prístupné od dnešného dňa, uviedol výrobca čipov v oznámení.

Pozri tiež: Motorola One Vision: Čo môžete očakávať od nástupcu Moto One

Špecialisti na bezpečnosť z TU Graz a VUSec nemohli pomôcť v rozpore s rozhodnutím spoločnosti Intel a vyzvali ich na narušenie hyperthreadingu, pretože tento postup by mohol agresorom zjednodušiť postup Útoky MDS . Spoločnosť Intel na stretnutí so spoločnosťou Wired objasnila hodnotenie chyby, ktorá sa týkala štyroch slabých miest s nízkou až strednou závažnosťou. Organizácia tvrdila, že oslabujúci hyperthreading nie je zásadný. Spoločnosť Intel tvrdí, že sa navyše vyliala veľká nárek, a pre útočníka by bolo mimoriadne ťažké odvodiť vaše záhadné informácie.

Bezbrannosť teraz nemá na AMD a ARM kremík vplyv. Ak vo vašom rámci beží čip Intel, nezabudnite použiť najnovšie programovacie opravy a skontrolovať, či v najbližších dňoch nebudú k dispozícii nové aktualizácie architektúry.