  |
Za poslednú hodinu: 3 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Sobota, 23. novembra 2024, dnes má meniny Klement |
|
V Intel CPU je osem ďalších zraniteľností typu Spectre, jedna veľmi vážna
kauza Meltdown a Spectre
Tvrdí to nemecký magazín c't s pomerne presvedčivými informáciami. Informácie zatiaľ nie sú verejné, oznámenie prvých z týchto zraniteľností sa ale očakáva v najbližších dňoch. Či sú rovnaké zraniteľnosti a útoky aplikovateľné aj na CPU iných výrobcov nie je jasné, c't má definitívne informácie len o ich aplikovaní na Intel CPU a "prvotné dôkazy" že by mohli byť účinné aj na niektorých ARM procesoroch. Dopad na AMD procesory sa podľa magazínu preveruje. Jednu z nových zraniteľností identifikoval bezpečnostný tím Google Project Zero, pričom 90-dňové embargo na opravu a zverejnenie dávané Googlom vyprší v pondelok 7. mája. Zraniteľnosti a útoky Meltdown a Spectre sme detailne popisovali v deň ich zverejnenia na prelome 3. a 4. januára v tomto článku, o kauze informujeme v tejto sérii článkov. Zraniteľnosti umožňujú škodlivému kódu získať dáta z pamäte jadra OS alebo iných procesov cez tzv. postranný kanál v podobe cache pamäte ovplyvnenej tzv. špekulatívnym vykonávaním inštrukcií slúžiacim na zrýchlenie CPU. Zraniteľnosti vznikli v snahe výrobcov zvýšiť výkon CPU špekulatívnym vykonávaním inštrukcií bez ohľadu na bezpečnosť, pričom špeciálne nepochopiteľná je zraniteľnosť Meltdown. Pri ohlásení zraniteľnosti na začiatku januára boli identifikované dva typy útokov Spectre. Oba umožňujú procesom získať prístup k dátam iných procesov. Útočník aj korektne fungujúci program korektne ošetrujúci vstupy donúti špekulatívne vykonať buď prístup do poľa s nesprávnym indexom sprístupňujúcim tak ľubovoľnú časť pamäte procesu alebo ešte šikovnejšie špekulatívne vykonať skok na kúsok vhodného kódu normálne nevykonávaného programom. V oboch prípadoch sa útočník obsah pamäte dozvie cez základný problém, postranný kanál cez cache. Osem nových zraniteľností označuje c't termínom Spectre Next Generation alebo Spectre-NG. Avizuje, že pozná aj technické detaily, tie ale nezverejnil. Intel má závažnosť štyroch zraniteľností považovať za vysokú a štyroch za strednú, pričom podľa c't majú všetky až na jednu podobnú závažnosť ako dva pôvodné útoky Spectre. Jedna má byť ale výrazne vážnejšia, keď má umožniť efektívne získavať dáta aj z iného virtuálneho stroja na rovnakom počítači respektíve samotného hostiteľského počítača alebo operačného systému. To samozrejme predstavuje vážny problém pre zákazníkov rozličných služieb serverovej infraštruktúry v podobe virtuálnych serverov ako Amazon AWS, Microsoft Azure a Google Cloud. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
