Нова хвиля атак класу Spectre класу може бути використана для процесорів Intel

Нова хвиля атак класу Spectre класу може бути використана для процесорів Intel

З тих пір, як Spectre і Meltdown були оприлюднені, існує ризик того, що майбутні атаки можуть також мати місце. Одна з речей, яка встановлює Spectre атаки, крім Meltdown, полягає в тому, що Meltdown націлена на певну вразливість. Варіанти Spectre (Варіант 1 та Варіант 2) описані вже два приклади того, як Spectre може бути використаний для використання побічних ефектів спекулятивного виконання. Це не єдині способи розгортання трюку. І ось чутки про те, що на сьогодні є абсолютно новий набір розкриттів.

На початку цього тижня Heise.de стверджував, що отримав докази, що незабаром будуть представлені вісім нападів Spectre Class, де деталі вже представлені виробникам. Heise називає це як Specter-NG (для наступного покоління), і стверджує, що він бачив деталі всіх восьми, а також подвійні та потрійні перевірки результатів і звітів. Ось як вони узагальнюють свої висновки:

На сьогоднішній день ми маємо лише конкретну інформацію про процесори Intel та їх плани для виправлень. Проте існують початкові докази того, що хоча б деякі процесори ARM також є вразливими. Триває подальше дослідження того, чи є тісно пов'язана AMD-архітектура процесора чутливими до окремих проміжків Spectre-NG і до якої міри.

Кажуть, що Intel готує свої власні патчі двома разами оновлень, запланованих на травень і серпень, з додатковою підтримкою від Microsoft, як і в оновленнях, які вже були випущені для Spectre і Meltdown. І це означає, що розкриття інформації може бути неминучим. Нове оновлення від Intel, яке відбулося сьогодні, називається "Вирішення питань щодо додаткових проблем безпеки". У ньому говориться:

Захист даних наших клієнтів та забезпечення безпеки нашої продукції є найважливішими пріоритетами для нас. Ми регулярно тісно співпрацюємо з клієнтами, партнерами, іншими розробниками чи дослідниками, щоб зрозуміти і пом'якшити всі виявлені проблеми, і частина цього процесу передбачає резервування блоків номерів CVE. Ми твердо віримо в цінність узгодженого розкриття інформації та ділимося додатковими деталями щодо будь-яких потенційних проблем, коли ми завершуємо пом'якшення. В якості найкращої практики ми продовжуємо заохочувати кожного дотримуватися їхніх систем.

Це звучить схожим на мову, на що ми чули, коли розкриття інформації про Spectre і Meltdown очікували на розгляд. Але перш ніж люди підуть на висновки, я б стверджував, що нам потрібно спокійно. На початку цього року компанія CTS-Labs вирішила прийняти деякі справжні проблеми безпеки, які вони знайшли в продуктах AMD, і поєднати їх з практикою розкриття інформації та повідомленнями, що активно намагалися викрасти ціну акцій AMD, щоб заробити гроші для конкретної інвестиційної компанії. У процесі CTS-Labs продемонстрував, наскільки важливим є те, що розкриття інформації про безпеку залишається зосередженим на забезпеченні фактично точного розуміння ризиків безпеки, насамперед, з обговоренням основних фінансових наслідків або навіть висновків про основні продукти, що обробляються окремо.

Нова хвиля атак класу Spectre класу може бути використана для процесорів Intel

Як тільки новини зламали, що таке «Привид», було очевидно, що ми доведеться прибирати цю плутанину. Поки що між Apple, ARM, Intel та AMD, Intel був найбільш безпосередньо виставлений Spectre і Meltdown, частково через характер його конструкції процесора, частково через його ринкову позицію. Ми не знаємо, як, або якщо наступний раунд розкриття інформації змінить ці рейтинги. Ми не знаємо, наскільки серйозними будуть недоліки колективно.

Як правило, я не наголошую на тому, що ми не знаємо, але криза CTS підкреслював, принаймні мені, необхідність уважно ставитися до цих ситуацій. Очевидно, що Intel готується до цієї теми, і справедливо турбуватися про ситуацію, - але ми дотримуємося "концерну", поки не з'явиться детальна інформація.

Читати далі

NASA знаходить значні відкладення льоду під марсіанською поверхнею

Ми багато років знали, що на Марсі є щонайменше трохи льодяних льодів, але це важко визначити, де б він був і як легко було б видобути. Нові дані від NASA's Mars Reconnaissance Orbiter показують, що це може бути майже скрізь.

Створення компактної, потужної механічної клавіатури для подорожей

Більшість людей вміють залишити клавіатуру на столі, де вона належить, але у мене є інший набір вимог.

YouTube обслуговує приховані рекламні оголошення з криптовалютою

Видобування Cryptocurrency в браузері (і без згоди користувача) нарешті заражає сайти, як YouTube, на широкомасштабний збиток користувачів сайту.

SpaceX Покладіть автомобіль в просторі. Чому не може Тесла поставити модель 3 на вашому під'їзді?

Ті тисячі, хто розмістив депозити в моделі Tesla Model 3, побоюються, що податковий кредит буде використаний до моменту їх надходження. Особливо, якщо вони купували базу Тесла, таку, яка коштує 36 000 доларів з оплатою доставки та документації.