Последен ъпдейт на 28 юни 2018 в 13:28 ч.
Последно обновена на 12.01.2018, 11:50
Светът се сблъска с две от най-мащабните (и като обхват, и като ниво на опасност) уязвимости в историята си – Meltdown и Spectre. Пропуските в дизайните на процесите на Intel, AMD, Qualccomm и още десетки производители позволяват кражбата на чувствителна информация без знанието на потребителите – и без те дори да разберат. И докато технологичните подробности далеч не са за пренебрегване – то ето какво може да направите, за да се предпазите от ефектите на двете уязвимости – както и устройствата, които са засегнати от тях.
Историята, накратко
Meltdown и Spectre бяха „разкрити“ в тема сайт за споделяне на съдържание – reddit.com. Темата, наречена „Intel bug incoming” твърдеше, че процесорите на Intel, произведени през последните 10 години, са засегнати от критична уязвимост.
На преден план излиза това, че чрез експлоатация на една от функциите за ускоряване на работата на процесора, даден процес може да достъпи информация, която не би трябвало да бъде достъпна за него. Това се дължи на факта, че има пролука между пространството на паметта, където се изпълнява потребителски софтуер (user-mode address) и това, в което се съхраняват пароли, сертификати, криптографични ключове и др. (kernel-mode address). По този начин, зловреден код може целенасочено да достъпи до информация, запазена само за специфични процеси с право на достъп до нея.
Двата основни вектора за атака получиха имената Spectre и Meltdown.
Положението към момента
Засега са ясни следните неща:
- Всички видове процесори са засегнати донякъде. От ARM процесора на телефона ви, до IBM процесорите в суперкомпютрите
- Добавянето на допълнителен слой сигурност може да доведе до забавянето на производителността на процесорите с между 5% и 30%
- Най-засегнати от уязвимостите са продуктите на Intel, което ще направи и забавянето им по-осезаемо след патчване
До момента, при откриването на уязвимост или бъг в процесор, производителя му я поправя чрез т.нар. „микрокод“. Поради една или няколко все още неясни причини, „запушването“ на Meltdown и Spectre не може да се случи по този начин. Това накара производителите на процесори, заедно с тези на операционни системи, да работят по отстраняването на опасността на софтуерно ниво.
Засегнати производители
Ето част от засегнатите производители – и мерките, които те са предприели за решаването на проблема.
| ПРОИЗВОДИТЕЛ |
ОФИЦИАЛНА ПОЗИЦИЯ |
| A10 Networks |
SPECTRE/MELTDOWN – CVE-2017-5715/5753/5754 |
| Amazon (AWS) |
AWS-2018-013: Processor Speculative Execution Research Disclosure |
| AMD |
An Update on AMD Processor Security |
| Android (Google) |
Android Security Bulletin—January 2018 |
| Apple |
HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan
HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs
HT208403: About the security content of Safari 11.0.2 |
| Arista Networks |
Security Advisory 0031: Arista Products vulnerability report |
| ARM |
Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism
ARM Trusted Firmware Security Advisory TFV 6 |
| Aruba Networks |
ARUBA-PSA-2018-001: Unauthorized Memory Disclosure through CPU Side-Channel Attacks („Meltdown“ and „Spectre“) |
| ASUS |
ASUS Motherboards Microcode Update for Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
| Avaya |
ASA-2018-001: linux-firmware security update (RHSA-2018-0007)
ASA-2018-002: linux-firmware security update (RHSA-2018-0013)
ASA-2018-004: linux-firmware security update (RHSA-2018-0012)
ASA-2018-005: linux-firmware security update (RHSA-2018-0008)
ASA-2018-006: linux-firmware security update (RHSA-2018-0014)
ASA-2018-011: VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution. (VMSA-2018-0002) |
| Azure (Microsoft) |
Securing Azure customers from CPU vulnerability
Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities |
| CentOS |
CESA-2018:0007 Important CentOS 7 kernel Security Update
CESA-2018:0008 Important CentOS 6 kernel Security Update
CESA-2018:0012 Important CentOS 7 microcode_ctl Security Update
CESA-2018:0013 Important CentOS 6 microcode_ctl Security Update
CESA-2018:0014 Important CentOS 7 linux-firmware Security Update |
| Chromium |
Actions Required to Mitigate Speculative Side-Channel Attack Techniques |
| Cisco |
cisco-sa-20180104-cpusidechannel – CPU Side-Channel Information Disclosure Vulnerabilities
Alert ID 56354: CPU Side-Channel Information Disclosure Vulnerabilities |
| Citrix |
CTX231399: Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 |
| CoreOS |
Container Linux patched to address Meltdown vulnerability |
| Cumulus Networks |
Meltdown and Spectre: Modern CPU Vulnerabilities |
| Debian |
Debian Security Advisory DSA-4078-1 linux – security update |
| Dell |
SLN308587 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products
SLN308588 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell EMC products (Dell Enterprise Servers, Storage and Networking) |
| Digital Ocean |
A Message About Intel Security Findings /a> |
| Dragonfly BSD |
Intel Meltdown bug mitigation in master
More Meltdown fixes |
| Duo Security |
ArticlesIs Duo affected by the recent Spectre or Meltdown vulnerabilities? |
| Extreme Networks |
Meltdown and Spectre (VN 2017-001 & VN 2017-002)
VN 2018-001 (CVE-2017-5715, CVE-2017-5753 – Spectre)
VN 2018-002 (CVE-2017-5754 – Meltdown) |
| F5 Networks |
K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754 |
| Fedora |
Protect your Fedora system against Meltdown |
| Fortinet |
Fortinet Advisory on New Spectre and Meltdown Vulnerabilities |
| FreeBSD |
FreeBSD News Flash |
| Google |
Google Project Zero: Reading Privileged Memory with a Side-Channel
Google’s Mitigations Against CPU Speculative Execution Attack Methods |
| HPE |
Side Channel Analysis Method allows information disclosure in Microprocessors (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPESBHF03805 – Certain HPE products using Microprocessors from Intel, AMD, and ARM, with Speculative Execution, Elevation of Privilege and Information Disclosure. |
| Huawei |
Security Notice – Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design |
| IBM |
Potential CPU Security Issue
Potential Impact on Processors in the POWER Family |
| Intel |
INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
INTEL-OSS-10002: Speculative Execution Branch Prediction Side Channel and Branch Prediction Analysis Method |
| Juniper |
JSA10842: 2018-01 Out of Cycle Security Bulletin: Meltdown & Spectre: CPU Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
| KEMP Technologies |
Meltdown and Spectre (CVE-2017-5754 & CVE-2017-5753) |
| Lenovo |
Lenovo Security Advisory LEN-18282: Reading Privileged Memory with a Side Channel |
| Linode |
CPU Vulnerabilities: Meltdown & Spectre |
| Linux Mint |
Security notice: Meltdown and Spectre |
| Liquid Web |
Here Is What You Need to Know About Meltdown and Spectre |
| LLVM |
D41723: Introduce the „retpoline“ x86 mitigation technique for variant #2 of the speculative execution vulnerabilities
D41760: Introduce __builtin_load_no_speculate
D41761: Introduce llvm.nospeculateload intrinsic |
| Microsoft |
Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities
Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
Windows Server guidance to protect against speculative execution side-channel vulnerabilities
SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
Surface Guidance to protect against speculative execution side-channel vulnerabilities
Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software |
| Mitel |
Mitel Product Security Advisory 18-0001: Side-Channel Analysis Vulnerabilities |
| Mozilla |
Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack („Spectre“) |
| NetApp |
NTAP-20180104-0001: Processor Speculated Execution Vulnerabilities in NetApp Products |
| Netgear |
PSV-2018-0005: Security Advisory for Speculative Code Execution (Spectre and Meltdown) on Some ReadyNAS and ReadyDATA Storage Systems |
| nVidia |
Security Notice 4609: Speculative Side Channels
Security Bulletin 4611: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels
Security Bulletin 4613: NVIDIA Shield TV Security Updates for Speculative Side Channels
Security Bulletin 4614: NVIDIA Shield Tablet Security Updates for Speculative Side Channels
Security Bulletin 4616: Security Bulletin: NVIDIA Tegra Jetson TX1 L4T and Jetson TK1 L4T Security Updates for Speculative Side Channels |
| Okta |
Security Bulletin: Meltdown and Spectre vulnerabilities |
| Open Telekom |
Open Telekom Cloud Security Advisory about Processor Speculation Leaks (Meltdown/Spectre) |
| OpenBSD |
Meltdown |
| OpenSUSE |
[Security-Announce] Meltdown and Spectre Attacks |
| OVH |
Information about Meltdown and Spectre vulnerability fixes
Find your patch for Meltdown and Spectre |
| Palo Alto Networks |
Information about Meltdown and Spectre findings (PAN-SA-2018-0001 |
| Pulse Secure |
KB43597 – Impact of CVE-2017-5753 (Bounds Check bypass, AKA Spectre), CVE-2017-5715 (Branch Target Injection, AKA Spectre) and CVE-2017-5754 (Meltdown) on Pulse Secure Products |
| QEMU |
QEMU and the Spectre and Meltdown attacks |
| QNAP |
NAS-201801-08: Security Advisory for Speculative Execution Vulnerabilities in Processors |
| Qubes OS |
Announcement regarding XSA-254 (Meltdown and Spectre attacks) |
| Raspberry Pi |
Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown |
| Red Hat |
Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715
RHSA-2018:0008 – Security Advisory
RHSA-2018:0012 – Security Advisory
RHSA-2018:0013 – Security Advisory
RHSA-2018:0014 – Security Advisory |
| RISC-V Foundation |
Building a More Secure World with the RISC-V ISA |
| Riverbed Technology |
Jan 05, 2018: Update on Meltdown and Spectre |
| SonicWall |
Meltdown and Spectre Vulnerabilities: A SonicWall Alert |
| Sophos |
128053: Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre) |
| SuperMicro |
Security Vulnerabilities Regarding Side Channel Speculative Execution and Indirect Branch Prediction Information Disclosure (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
| SUSE |
SUSE Linux security updates CVE-2017-5715
SUSE Linux security updates CVE-2017-5753
SUSE Linux security updates CVE-2017-5754 |
| Synology |
Synology-SA-18:01 Meltdown and Spectre Attacks |
| Ubuntu |
Ubuntu Updates for the Meltdown / Spectre Vulnerabilities |
| VMware |
NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution |
| Vultr |
Intel CPU Vulnerability Alert |
| Xen |
Advisory XSA-254: Information leak via side effects of speculative execution |
Как да се защитите?
Засега най-добрия ви вариант за навременна реакция е да следите новините от производителите, чиито процесори използвате, и потребителската общност, както и да се осведомите за бъдещи обновления за операционната ви система.
Информация за системни администрартори
Meltdown и Spectre са толкова комплексни като уязвимости, че е трудно решението им да бъде обобщено в един абзац или няколко реда. Въпреки това, имаме няколко полезни съвета и други материали:
- Опознайте уязвимостите, за да разберете как да се пазите от тях. Например, тук както и ето тук. Блогът на Raspberry Pi има опростено обяснение на техническите специфики около уязвимостите – можете да го намерите тук
- Можете да намерите много по-подробна информация за всеки производител на хардуер и софтуер относно уязвимостите в това github repository
- Таблица с информация за това дали антивирусния ви софтуер предотвратява обновленията на операционната система и дали и как можете да го поправите можете да видите в Google Drive
- Скриптове, които ви позволяват да проверите дали сте засегнати от уязвимостите можете да намерите за Linux и Windows
- Обновявайте софтуера на всички ваши устройства и следете за подозрителна активност
Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.
