Новые поверхности Attack Attack, когда Intel выпускает новое расписание патчей

Новые поверхности Attack Attack, когда Intel выпускает новое расписание патчей

Новый эксплойт, связанный с атаками Spectre, которые мы каталогизируем с начала года, прибыл, и у Intel появился новый план борьбы с этими событиями, поскольку они продолжают периодически появляться. Как и в случае предыдущих атак Spectre, этот новый вариант нацелен на поведение микропроцессоров, участвующих в спекулятивном исполнении, или на практику выполнения расчетов, которые могут и не могут быть фактически использованы в качестве средства повышения общей производительности.

Ars Technica написал отличный объяснитель об этом конкретном эксплоите, который занимается переполнением спекулятивного буфера. Подобно нормальному переполнению буфера, переполнение спекулятивного буфера пытается записать данные за пределы определенной границы массива с целью выполнения кода в пространстве памяти, где его не должно быть. Процессам Intel разрешено выполнять спекулятивную запись в постоянную память, когда такая операция не будет разрешена в обычных условиях, поскольку предполагается, что спекулятивное выполнение будет использоваться только в том случае, если это действительно необходимо. В противном случае эта информация и операции, основанные на ней, будут отброшены - и поскольку данные в конечном итоге будут отброшены, необходимость соблюдения строгих протоколов безопасности не будет соблюдаться. Предыдущие эксплойты Spectre были сосредоточены на умозрительных чтениях; эта новая статья иллюстрирует, что спекулятивные записи также уязвимы.

Новые поверхности Attack Attack, когда Intel выпускает новое расписание патчей

Хорошей новостью является то, что для решения этой проблемы можно использовать различные методы смягчения. Поскольку этот недостаток включает попытку спекулятивно записывать данные в недопустимое расположение массива, одним из возможных решений является сначала проверить элементы массива, чтобы они существовали до их написания. Существуют также методы защиты от обычных переполнений буфера, которые можно использовать против спекулятивных. Короче говоря, эта новая итерация Spectre не является причиной для бегства на холмы - это еще один пример того, как Spectre - это не одна атака, а целый класс из них, который атакующие могут использовать разными способами.

Intel переходит к своей собственной новой стратегии раскрытия недостатков, связанных с Spectre. Вместо того, чтобы отбрасывать обновления безопасности с нерегулярными интервалами, The Register сообщает, что Intel вместо этого примет аналогичную стратегию для Microsoft и опубликует ежеквартальные обновления. Другими словами, ежеквартальный патч во вторник. Компания по-прежнему будет работать за кулисами с OEM-производителями, Microsoft и другими компаниями, чтобы сделать определенные патчи готовы для развертывания - эта синхронизация предназначена для упрощения расписания развертывания и не перетаскивания ее в течение более длительного периода времени. Основываясь на том, как много путаницы было вокруг патчей Meltdown и Spectre (и даже в редакции, были вопросы о том, какие системы и архитектуры были исправлены в любой момент, так как некоторые патчи нужно было вытащить, а затем переиздать), более взвешенная система будет приветствоваться.

Intel также пообещала, что исправления для Spectre появятся в оборудовании с будущими запусками продукта, но мы не знаем, когда будут доступны эти платформы или какие именно формы будут исправлены, особенно когда новые недостатки все еще находятся.

Читать далее

Nvidia идет олл-ин на G-Sync с новыми дисплеями Ultra-High-End BFGD

Nvidia приносит некоторые из самых высоких дисплеев, которые можно представить на рынке в 2018 году, с панелями 4K, частотами обновления 120 Гц, дисплеями с низкой задержкой, интегрированными экранами Nvidia и поддержкой яркости 1000 ГГц в HDR. Yowza.

Телефонный договор Huawei с AT & T, как сообщается, был убит на основании политики

Предстоящая (и необъявленная) сделка с AT & T для продажи новой серии Mate 10 должна была стать началом толчка Huawei в Северной Америке, но сделка, как сообщается, развалилась в последнюю минуту после того, как AT & T получил холодные ноги, а некоторые источники указывают к политическому делу.

Заклепка запускает пылающий быстрый, чипсет Intel-1525 для чиллеров, новый Xbox-маршрутизатор

Компания Rivet Networks запустила новый чип Wi-Fi на базе решения Intel, а также новый, оптимизированный для Xbox маршрутизатор, выпускающий эту весну.

Новый macOS Security Bug разблокирует App Store с любым паролем

MacOS High Sierra от Apple имеет недостаток в последней версии, которая позволяет администраторам обойти заблокированный магазин приложений, введя любой пароль, который им нравится.