Новая волна нападений Spectre-Class может появиться для процессоров Intel
С тех пор, как были представлены Spectre и Meltdown, существует риск того, что будущие атаки также могут возникнуть. Одна из вещей, которая устанавливает атаки Spectre, помимо Meltdown, заключается в том, что Meltdown нацелен на определенную уязвимость. Варианты Spectre (Вариант 1 и Вариант 2), описанные уже, являются двумя примерами того, как Spectre можно использовать для использования побочных эффектов спекулятивного исполнения. Это не единственные способы, с помощью которых можно использовать трюк. И теперь ходят слухи, что совершенно новый набор раскрытий находится на пути.
Ранее на этой неделе, Heise.de утверждал, что видел доказательства того, что в ближайшее время будут представлены восемь атак класса Spectre, с деталями, уже представленными производителям. Хейс ссылается на них как Specter-NG (для следующего поколения) и утверждает, что он видел детали во всех восьми, а также двойную и тройную проверку результатов и отчетов. Вот как они суммируют свои выводы:
Пока у нас есть только конкретная информация о процессорах Intel и их планах по исправлениям. Однако есть первоначальные доказательства того, что по крайней мере некоторые процессоры ARM также уязвимы. Дальнейшие исследования уже ведутся в отношении того, насколько тесно взаимосвязана архитектура процессоров AMD также подвержена отдельным разломам Spectre-NG и в какой степени.
Предполагается, что Intel готовит свои собственные исправления с двумя раундами обновлений, запланированных на май и август, с дополнительной поддержкой исправлений от Microsoft, аналогично обновлениям, которые уже были развернуты для Spectre и Meltdown. И есть что-то от Intel, что раскрытие может быть неизбежным. Новое обновление от Intel, появившееся сегодня в прямом эфире, называется «Решение вопросов по дополнительным проблемам безопасности». В нем говорится:
Защита данных наших клиентов и обеспечение безопасности наших продуктов являются для нас важнейшими приоритетами. Мы регулярно работаем в тесном контакте с клиентами, партнерами, другими чипмейкерами и исследователями, чтобы понять и смягчить любые выявленные проблемы, а часть этого процесса связана с резервированием блоков номеров CVE. Мы твердо убеждены в ценности скоординированного раскрытия информации и поделимся дополнительной информацией по любым потенциальным вопросам, поскольку мы завершаем смягчение последствий. В качестве наилучшей практики мы продолжаем поощрять всех к тому, чтобы они постоянно обновляли свои системы.
Это похоже на язык, на то, что мы слышали, когда были раскрыты раскрытия информации о Spectre и Meltdown. Но прежде чем люди перейдут к выводам, я бы сказал, что нам нужно спокойствие. Ранее в этом году компания CTS-Labs решила взять некоторые подлинные проблемы безопасности, которые они обнаружили в продуктах AMD, и связать их с практикой раскрытия информации и отчетами, которые активно пытались удержать цену акций AMD, чтобы заработать деньги для конкретной инвестиционной фирмы. В этом процессе CTS-Labs продемонстрировала точно, насколько важно, чтобы раскрытие информации по безопасности оставалось сосредоточенным на обеспечении фактического точного понимания рисков безопасности в первую очередь, с обсуждением основных финансовых последствий или даже выводами о самих продуктах, которые обрабатываются отдельно.
Как только известие о том, что такое Призрак, стало ясно, что мы будем убирать этот беспорядок в течение долгого времени. До сих пор между Apple, ARM, Intel и AMD, Intel была наиболее непосредственно выставлена Spectre и Meltdown, отчасти из-за характера ее процессоров, отчасти из-за ее рыночной позиции. Мы не знаем, как, или если следующий раунд раскрытий изменит эти рейтинги. Мы не знаем, насколько серьезными будут недостатки.
Обычно я не делаю такого акцента на то, что мы не знаем, но крах CTS подчеркнул, по крайней мере, для меня необходимость осторожно относиться к этим ситуациям. Разумеется, Intel явно относится к этой теме, и это справедливо, если вы будете обеспокоены ситуацией, но на данный момент мы будем придерживаться «озабоченности», пока не появятся более подробные сведения.
Читать далее
Принципиально новая архитектура Intel MESO может появиться через несколько лет
Новая архитектура Intel MESO может появиться в продуктах быстрее, чем ожидалось, особенно в AI.
Новый Microsoft Xbox One S только для цифровых устройств может появиться к маю
Microsoft Xbox One S All-Digital Edition может появиться в ближайшее время по значительно более низкой цене. Но готовы ли потребители обменивать физические носители по более низким ценам?
Двойной экран Microsoft может появиться в 2020 году, запускать приложения для Android
Устройство предположительно будет иметь два 9-дюймовых дисплея с соотношением сторон 4: 3 и поддержку приложений Android.