Вторая волна Spectre-подобных уязвимостей, на устранение которых понадобится определённое время

в 18:38, , рубрики: intel, meltdown, spectre, информационная безопасность

Предисловие: не нашёл на Хабре новостей по данной теме, поэтому решил перевести заметку издания The Register о новых уязвимостях в процессорах Intel .

Intel может понадобиться некоторое время на выпуск необходимых патчей для основных операционных систем и средств виртуализации, возможно это будет третий квартал 2018 года.

Вторая волна Spectre-подобных уязвимостей, на устранение которых понадобится определённое время - 1

Новая серия Spectre-подобных уязвимостей, выявленная на прошедшей неделе, не будет устранена по крайней мере в ближайшие 12 дней.

Германское новостное агентство Heise, которое на прошлой неделе сообщило о восьми Spectre-подобных уязвимостях, сообщило, что Intel хочет отложить вопрос закрытия уязвимостей по крайней мере до 21 мая.

“В настоящее время Intel планирует согласованный релиз 21 мая 2018 г. Свежие обновления микрокода должны быть выпущены в этот день”, сообщил Юрген Шмидт (Jürgen Schmidt) 7 мая.

На прошедшей неделе Heise отметило, что одним из участников запланированного согласованного релиза будет Google Project Zero, чего пока ещё не произошло, насколько это известно The Register.

Heise также добавляет, что уязвимости подвержены все процессоры Core-i (а также процессоры Xeon) использующие микрокод, созданные начиная с 2010 года; процессоры на базе Atom (включая Pentium и Celeron) выпущенные с 2013 года.

Если раскрытие информации об уязвимостях и патчи, их устраняющие, появятся в мае, то Intel не закроют их полностью, сообщает Шмидт. Дополнительные патчи, выпуск которых предварительно запланирован на третий квартал, предназначены для защиты виртуальных машин от внешних атак.

В дополнение к исправлениям на уровне процессора, от Intel также потребуются исправления на уровне операционной системы.

С тех пор, как информация о наличии оригинальных уязвимостей Meltdown и Spectre была подтверждена в январе этого года, стало ясно, что упреждающее (speculative) исполнение команд когда-нибудь привлечёт интерес исследователей.

The Register отмечал уже в январе 2018 года, что исследователь Андерс Фог (Anders Fogh) писал о злоупотреблениях упреждающим исполнением в июле 2017 года, а вскоре после того, как в январе случилась история со Spectre / Meltdown, исследователи Георгий Майсурадзе (Giorgi Maisuradze) и Кристиан Россоу (Christian Rossow) из германской исследовательской группы CISPA опубликовали подробный анализ технологии упреждающего исполнения, основанный на исследовании 2017 года.

В апреле Intel сообшила о том, что некоторые уязвимости связанные со Spectre неустранимы в ряде старых архитектур.

Издание Vulture South попросило Intel прокомментировать отчёт Heise и получило отказ от комментариев (фактически стандартную бюрократическую отписку [прим. переводчика]), в котором говорится, что они очень серьезно относится к безопасности, сотрудничают с любым, кто может или должен помочь исправить ситуацию. «Мы верим твёрдо в ценность согласованного раскрытия информации и будем делиться дополнительной информацией о любых потенциальных проблемах, поскольку мы стремимся к снижению риска потерь», — сказали в компании. «В качестве передового опыта мы продолжаем поощрять всех к тому, чтобы их системы своевременно обновлялись».

Спасибо за последний совет, Intel. Мы не можем представить, чтобы кто-то думал об этом раньше.

Автор: solovetski

Источник

Поделиться

* - обязательные к заполнению поля