Уязвимости Meltdown и Spectre -
- Это серьезно
- _Не_ дают возможности выполнить удаленно код
- Дают возможность удаленно прочитать данные ядра или других процессов, например, логины, пароли, кредитные карты
- Уязвимы операционные системы Linux, Windows, Android, MacOs, iOS и другие операционных системы, включая ОС смартфонов
- Атака возможна прямо из JavaScript с любого сайта на который вы зашли
- Являются большой угрозой для систем виртуализации и облаков, где на одном сервере работают несколько заказчиков
Что будет сделано и надо сделать
- Производители массово выпускают патчи - ищите для своей операционной системы
- Производители всех устройств, включая IoT, ICS/SCADA уже осознали что уязвимость есть и исправить ее нельзя совсем
- Пользователи мобильных устройств, скорее всего смогут устранить уязвимость, поменяв телефон на новый, когда выйдут новые телефоны с неуязвимыми процессорами
- Обновления нужно ставить как можно быстрее, хакеры скорее всего уже пользуются уязвимостью.
- Пользователи хостинга и облачных сервисов должны удостовериться что их поставщики в курсе и установили патчи
- CVE-2017-5753: bounds check bypass (Spectre)
- CVE-2017-5715: branch target injection (Spectre)
- CVE-2017-5754: rogue data cache load (Meltdown)
