суббота, 6 января 2018 г.

Что такое и что делать с Meltdown и Spectre


Уязвимости Meltdown и Spectre - 

  • Это серьезно
  • _Не_ дают возможности выполнить удаленно код
  • Дают возможность удаленно прочитать данные ядра или других процессов, например, логины, пароли, кредитные карты
  • Уязвимы операционные системы Linux, Windows, Android, MacOs, iOS и другие операционных системы, включая ОС смартфонов
  • Атака возможна прямо из JavaScript с любого сайта на который вы зашли
  • Являются большой угрозой для систем виртуализации и облаков, где на одном сервере работают несколько заказчиков
Что будет сделано и надо сделать
  • Производители массово выпускают патчи - ищите для своей операционной системы
  • Производители всех устройств, включая IoT, ICS/SCADA уже осознали что уязвимость есть и исправить ее нельзя совсем
  • Пользователи мобильных устройств, скорее всего смогут устранить уязвимость, поменяв телефон на новый, когда выйдут новые телефоны с неуязвимыми процессорами
  • Обновления нужно ставить как можно быстрее, хакеры скорее всего уже пользуются уязвимостью.
  • Пользователи хостинга и облачных сервисов должны удостовериться что их поставщики в курсе и установили патчи
  • CVE-2017-5753: bounds check bypass (Spectre)
  • CVE-2017-5715: branch target injection (Spectre)
  • CVE-2017-5754: rogue data cache load (Meltdown)