Впервые, за всю историю интернета (человечества и вслененной) опубликована неустранимая критическая кросплатформенная уязвимость, эксплоиты к которой выложены в открытый доступ. В т.ч исполнены на JavaScript. Уязвимость spectre затрагивает все процессоры, включая AMD.
Что это означает мой наивный друг?
Это означает, что твою машину можно прямо сейчас захватить ПОЛНОСТЬЮ, стянуть все пароли, зашифровать/расшифровать данные и тд и тп. Для этого достаточно просто внести соответствующий код в JS и получить контроль над кешем процессора.
Уязвимость "spectre" (на самом деле их 2 -
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715 )
принципиально неустранима. До выпуска новых процессоров. Это лет эдак через 3-6... От неё нельзя защититься ни работой в вирт. машине ни запуском приложений в песочнице, ни антивирусами, ни заплатками, ни сменой железа/оси... Единственное, что может усложнить заражение - это отключение javascript и посещения только доверенных сайтов. Т.к. исполнение зараженного кода на JS ГАРАНТИРОВАННО приведёт к получению ПОЛНОГО контроля над вашей машиной. Причём не оставляя никаких следов.
Умышленно были сделаны эти закладки в процессорах, в погоне за прибылью или по глупости я не обсуждаю. Факт заключается в том что сплоиты лежат в открытом доступе. Хакерское сообществе в курсе. В IT-сообществе ведётся работа по минимизации последствий и ущерба. Уже сегодня закрытие 1й их 3х уязвимостей (meltdown) обошлось очень дорого.
В общем, мне очень грустно что какая-нибудь обоТБМся шТБМа у аудитории ЯПа привлечет больше внимания, нежели информация о тотальной уязвимости, имеющей планетарное значение, которой вы все до единого подвержены. Речь и про домашние/рабочие ПК, планшеты, мобилы и вообще всё что подключается к интернету.
Предупреждения:
1) Убегать на лиункс бесполезно.
2) Покупать новое железо бесполезно.
3) Обновлять операционку и антивирус бесполезно.
4) Лезть в инет через вирт.машину бесполезно.
5) Надяться на то, что вы нищий, а потому никому не нужны - бесполезно.
6) Замалчивать тему, в надежде что хакеры её заигнорят и забудут - бесполезно.
Важно! ЛЮБЫЕ патчи для операционных систем предотвращают Meltdown, но не Spectre.
Профилактика заражения:
1) подтяните обновления безопасности, чтобы избавиться хотя бы от уязвимости meltdown. Работа процессора замедлится не сильно. видеопроцессор не будет затронут.
2) обновите браузер
3) поставьте NoScript и разрешите скрипты на исполнение лишь на доверенных сайтах. Исполнение скриптов на подозрительных сайтах чревато моментальной и необратимой потерей контроля над вашим ПК, если не сегодня то через неск-ко месяцев, когда хакеры освоятся с этими сплойтами. Я думаю без внимания они это не оставят, как в своё время не оставили сплойты АНБ, на основании которых создали WannaCry. Который является просто цветочками в сравнении с тем, что может быть создано на базе спектра.
4) Почитайте насколько всё серьёзно и плохо:
https://habrahabr.ru/post/346026/
https://habrahabr.ru/post/346074/
https://habrahabr.ru/company/ruvds/blog/346350/
PS Уязвимость spectre вас затрагивает с вероятностью 100%, если ваш процессор новее 1995го года. Если у вас до сих пор Pentium MMX или 486й можете расслабиться.
Комментарии
AMD же (вроде) заявляла, что не подвержена. )
Расплав (Meltdown) использует уязвимость, которая по умолчанию отключена в AMD, и является особенностью штеуд.
Спектр (Spectre) работает медленнее, читает чужую память очень медленно, но зато работает на ВСЕХ процессорах. Включая ARM, т.е. айфоны, ондроиды, холодильники и вообще все.
Мне только интересно, кто будет лопатить через ядро те объёмы инфы, которые проходят через него.
Уязвимость есть, но опасность её преувеличена, как по мне.
Как кто? Конечно же самообучающийся ИИ с нейросетью путем вычисления вероятности нахождения логарифмической производной Щитера от общего массива данных.
Это что, типа не про майнинг? =)
Если заразиться можно только через javascript, то нужно его отключать глобально нафиг, и пусть разработчики переписывают код сайтов на чём-нибудь другом.
Хрень полная, сейчас загрубят счетчики на JS JIT, введут аудит обращения к памяти, получат очередное падение производительности и истерика на этом закончится.
Начиная с 57-го огнелиса уже.
Видимо совсем плохо пошли дела у "Intel", если она обнародовала информацию про уязвимости в своих процессорах. Теперь, раздув шумиху, заставит всех покупать свои новые процессоры.
Уязвимость не позволяет получить полный контроль над вашим компьютером, она позволяет получить доступ к конфиденциальными данным (ключи/логины/пароли/явки).
проблема 2000
Йаблоко тоже?
Вообще всё. Но йаблоки (в смысле сафари) уже патчнули методом загрубления счётчиков, что сводит атаку на нет. Как и большинство остальных браузеров.
Ну тогда ок)
А новые Российские процессоры? Как у них с уязвимостью???
Очень интересный вопрос. Кто-нибудь знает ответ хотя бы по Эльбрусу?
1 это уже бОаян
2 java по умолчанию использует только винда
3 яплакал самый надёжный источник
PS мы все умрём
PPS если вы думаете что за вами никто не следит или вы можете скрыться -это ваши фантазии
Иногда лучше жевать, чем говорить.
кушай, не обляпайся
Переход на хамство? Ок.
Поясни причем здесь Java и Windows.
Иначе ты лох подзаборный, влезший со своим тупым комментарием в тему, в которой ты не в зуб ногой.
хабр тожи?
На хабре периодически публикуют полную лапшу. Но может быть и серьезный автор, так что не угадаешь сразу.
А как насчет массовых исков к производителям процессоров?
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
В "Хроме" рекомендуется включить изоляцию сайтов по процессам: "chrome://flags/#enable-site-per-process"
Обещают 23-го числа версию 64 с исправлениями.
преувеличиваете,было и похуже..
когда ?
wormblast -15-20 мин в нете и ты заражён..тогда первым лечилку касперский спустя неделю сделал ,потом микрософт проснуля спустя ещё ээное время заплатку сделал
недавно -пару лет назд было тоже нашли 2 сразу уязвимости 0 дня -в баше и тд
регулярно находят-каждые пару лет армагедон..перживём..
http://xlab.tencent.com/special/spectre/spectre_check.html
ну не знаю.. xiaomi с хромом не обновлял уже полгода.. пишет что не подвержен атаке "спектра"..
а вот хром и оперу обновил от греха подальше (не обновлял месяца 2, заплатку "обновление" форточек хоть и i7 не ставил из принципа, на виртуалках VPS-xen пишет что "все ок".
и да .. скопировал с сайта "check.js".. завтра поиграюсь.
Из ява скрипта это вобще сильно. Всегда считалось что жс работает в своей песочнице.
Про JS - это ученый изнасиловал журналиста. В JS нет способов работы с абсолютными указателями на память, потому что Spectre, что Meltdown безопасны для браузера. Для NodeJS есть вектор атаки через вредоносные расширения на С, но это ничего принципиально нового не дает, просто расширяет возможности злоумышленников
Но вот меня и смутило. Потом мелтдовн, если верить описанию может сработать, если речь идет о паравиртуализации, но если используется полноценно апаратная, то не понятно как это будет работать. Тоже самое касается спектра. То что ноде-жс имеет больше доступа к системе, известно, и потенциально да, опасней.
Меня это тоже смутило, но вот граждане утверждают, что они
Автор лично видел всадников апокалипсиса, и даже подсказал дорогу.
На самом деле завывания по джава скрипт заканчиваются заплатками на браузеры, которые скоро все выпустят. Есть советы по изменению настроек, которое видимо тоже будут сделано сверху.
Так что армагедон будет только у журналистов.
Есть правда в этой дырке одна проблема. Она работает слишком медленно. То есть единичная, целенаправленная атака вполне вроде возможна, а вот массовая автоматическая под вопросом.
разрезать ножом интернет кабель? Ой но тогда у 80% случится истерика, психоз и когнитивный диссонанс.
Как с нацизмом/фашизмом.