Техническая индустрия изо всех сил пытается исправить (или хотя бы смягчить) две новые уязвимости, обнаруженные исследователями безопасности в конце 2017 года. Meltdown и Спектр Заголовки газет во всем мире, и не зря - эти два недостатка затрагивают почти все устройства на базе процессоров Intel, AMD или ARM, выпущенные за последние 20 лет.
Эти уязвимости могут повлиять на смартфоны, настольные компьютеры, ноутбуки, облачные серверы, и этот список можно продолжить. Имейте в виду, что это не исключительная проблема Microsoft - затронуты все другие поставщики операционных систем.
Что такое Meltdown и Spectre?
Дублированный Meltdown и Спектр , две уязвимости позволяют злоумышленнику использовать критические недостатки современных процессоров, чтобы получить доступ к защищенная память ядра . Обладая правильным набором навыков, хакер теоретически может использовать их для взлома привилегированной памяти процессора и запуска вредоносного кода для доступа к чрезвычайно конфиденциальному содержимому памяти из него. Это содержимое памяти может содержать пароли, нажатия клавиш, личные данные и другую ценную информацию.
Этот набор уязвимостей показывает, что можно обойти изоляция адресного пространства - фундамент целостности процессора с 1980 года. изоляция адресного пространства считался надежным механизмом изоляции между пользовательскими приложениями и операционной системой, а также между двумя приложениями.
Все современные процессоры используют ряд основных процессов, помогающих ускорить выполнение запросов. Meltdown и Спектр Воспользуйтесь преимуществами времени получения различных инструкций для извлечения конфиденциальной или личной информации. Хотя эксперты по безопасности определили, что Spectre сложнее использовать, чем Meltdown, похоже, что он может нанести значительно больший ущерб, чем Meltdown.
Как это на вас влияет?
В то время как Meltdown обходит изоляцию между пользовательскими приложениями и ОС, Спектр разрывает изоляцию между двумя разными приложениями. Возможно, больше всего беспокоит Spectre то, что хакерам больше не нужно искать уязвимости в программе - теоретически возможно обмануть программы, которые следуют передовым методам, для утечки конфиденциальной информации, даже если у них есть надежный магазин безопасности.
Если бы мы были полностью пессимистичны в отношении угрозы безопасности, ни одно приложение больше не могло бы считаться безопасным на 100%. Хотя подтвержденных атак с использованием Spectre и Meltdown не было, есть вероятность, что хакеры в черной шляпе уже задумываются о том, как получить доступ к вашим данным, используя эти уязвимости.
Патчи безопасности
К сожалению, это недостаток безопасности на уровне микросхемы, который нельзя полностью исправить с помощью обновления программного обеспечения. Поскольку для этого требуется модификация ядра ОС, единственное постоянное исправление, которое полностью устранит нарушения, - это изменение архитектуры (другими словами, замена ЦП). Это оставило у крупных игроков технологической индустрии небольшой выбор. Поскольку они не могут заменить ЦП на всех ранее выпущенных устройствах, их лучшая надежда - снизить риск настолько, насколько это возможно, с помощью исправлений безопасности.
Все поставщики операционных систем выпустили (или собираются выпустить) исправления безопасности для устранения недостатков. Однако исправление имеет свою цену - ожидается, что исправления безопасности замедлят работу всех затронутых устройств где-то на 5–30 процентов из-за фундаментальных изменений в том, как ядро ОС обрабатывает память.
Редко когда все крупные игроки собираются вместе, чтобы исправить эти недостатки, но это также хороший показатель того, насколько серьезна проблема. Без особой паники рекомендуется следить за обновлениями системы безопасности и предлагать своему устройству наилучшую защиту от этих уязвимостей. Чтобы помочь вам в этом поиске, мы составили список исправлений двух недостатков безопасности.
Как защититься от недостатков безопасности CPU Meltdown и Spectre
Ниже вы найдете список способов защитить себя от уязвимостей Meltdown и Spectre. Руководство разделено на серию подзаголовков с наиболее популярным диапазоном устройств, подверженных этим уязвимостям. Следуйте руководству, подходящему для вашего устройства, и обязательно посетите эту ссылку, так как мы будем обновлять статью новыми исправлениями по мере их выпуска.
Заметка: Имейте в виду, что приведенные ниже шаги в значительной степени эффективны против Meltdown, который представляет собой самую непосредственную угрозу для двух недостатков безопасности. Spectre по-прежнему малоизвестен, но исследователи по безопасности помещают его на второе место в своем списке, потому что его намного сложнее использовать, чем Meltdown.
Как исправить недостатки безопасности Spectre и Meltdown в Windows
Есть три основных требования, которые необходимо выполнить, чтобы обеспечить максимальную защиту от новых недостатков безопасности в Windows - обновление ОС, обновление браузера и обновление прошивки. С точки зрения обычного пользователя Windows, лучше всего прямо сейчас убедиться, что у вас установлено последнее обновление Windows 10, и убедиться, что вы просматриваете веб-страницы с помощью исправленного веб-браузера.
Microsoft уже выпустила экстренное исправление безопасности через WU (Центр обновления Windows). Однако кажется, что обновление не отображается на некоторых компьютерах из-за сторонних антивирусных пакетов, которые предотвращают изменения ядра. Эксперты по безопасности работают над списком поддерживаемых антивирусных программ, но все, мягко говоря, фрагментировано.
Если вам не предлагалось выполнить автоматическое обновление, откройте окно «Выполнить» ( Windows key + R ), тип ' обновление управления » и ударил Войти . в Центр обновления Windows экран, нажмите на Проверить обновления и установите новое обновление безопасности, если будет предложено.
Microsoft также предоставила ссылки для ручной загрузки, чтобы решить эту проблему для Windows 7, Windows 8.1 и Windows 10:
- Windows 7 с пакетом обновления 1 (SP1)
- Windows 8.1
- Windows 10
Заметка: Ссылки выше содержат несколько пакетов обновлений для различных архитектур ЦП. Загрузите патч, применимый к конфигурации вашего ПК.
Однако защитить ваш ПК с Windows от Spectre и Meltdown немного сложнее, чем загрузить исправление безопасности Microsoft. Вторая линия защиты - это исправления безопасности для используемого вами веб-браузера.
- Fire Fox уже включает исправление, начиная с версии 57.
- Edge и Internet Explorer для Windows 10 уже получили исправления безопасности, направленные на защиту от этих уязвимостей.
- Хром объявила о патче безопасности, который планируется выпустить 23 января.
Пользователям предлагается принять любое автоматическое обновление, чтобы обеспечить защиту на уровне браузера. Если у вас нет последней версии браузера или обновление не установилось автоматически, удалите его и загрузите последнюю версию.
Отдельным направлением производители микросхем (Intel, AMD и ARM) работают над обновлениями прошивки для дополнительной защиты оборудования. Скорее всего, они будут распространяться отдельно от OEM-производителей. Однако работа только начинается, так что может пройти некоторое время, пока мы не увидим, что обновления прошивки прибывают на наши устройства. Поскольку выпускать обновления встроенного ПО должны производители оригинального оборудования, стоит проверить на сайте поддержки OEM-производителей вашего ПК новости о возможном исправлении.
Уже говорят, что Microsoft объединяется с производителями процессоров, чтобы создать инструмент, который будет проверять защиту как для прошивки, так и для обновлений Windows. Но до тех пор нам нужно вручную проверить себя.
Как исправить недостатки безопасности Spectre и Meltdown на Android
Устройства Android также подвержены уязвимостям Spectre и Meltdown. Ну по крайней мере теоретически. Исследовательская группа Google обнаружила уязвимости и уведомила производителей микросхем (задолго до того, как об этом узнала пресса). Это произошло за 6 месяцев до согласованного раскрытия информации, поэтому можно предположить, что эта задержка позволила Google подготовиться лучше, чем конкуренты.
С 5 января Google начал распространять новое обновление безопасности для Android для защиты от Meltdown и Spectre. Но, учитывая фрагментированный характер мира Android, есть вероятность, что вы не получите его так быстро, как захотите. Естественно, телефоны под брендом Google, такие как Nexus и Pixel, имели приоритет и почти мгновенно получали его по OTA.
Если у вас есть телефон Android от другого производителя, кроме Google, вам, возможно, придется долго ждать. Однако, учитывая внимание прессы, которое получают Meltdown и Spectre, они могут значительно ускорить процесс.
Но независимо от производителя вашего Android-устройства перейдите на Настройки и посмотрите, есть ли у вас ожидающие обновления. Если нет, проведите онлайн-расследование, чтобы узнать, планирует ли производитель вашего телефона выпустить исправление в ближайшее время.
Как исправить недостатки безопасности Spectre и Meltdown на iOS
Apple определенно была застигнута врасплох, когда мы раскрыли две уязвимости. Хотя компания изначально отрицала, что какое-либо из их устройств подвержено воздействию Meltdown и Spectre, с тех пор они признать, что недостаток затрагивает все айфоны . Поскольку у них почти идентичная архитектура процессора, iPad и iPod в равной степени подвержены уязвимостям безопасности.
Apple объявила, что она начала «процедуры смягчения последствий» для Meltdown в iOS 11.2, но дата выпуска исправления для более старых версий не была объявлена. Похоже, следующее обновление будет направлено на устранение потенциального эксплойта Javascript в Safari.
Пока вы ждете официального заявления Apple, следите за новыми обновлениями для вашего iPhone, iPad или iPod. Идти к Настройки> Общие> Обновление ПО и установите все ожидающие обновления.
Как исправить недостатки безопасности Spectre и Meltdown на Mac
Несмотря на то, что Apple изначально молчала о проблеме, Mac также подвержены влиянию Meltdown и Spectre. Как оказалось, почти все продукты Apple (кроме Apple Watch).
Компания уже выпустила серию исправлений, призванных устранить проблему, начиная с macOS версии 10.13.2 , и главный исполнительный директор подтвердил, что в ближайшее время будут исправлены другие проблемы. Также будет готовиться обновление браузера Safari как для macOS, так и для iOS, которое, как сообщается, предназначено для предотвращения возможного использования Javascript.
Пока не появятся новые исправления, старательно применяйте все обновления из App Store для OS X или macOS и убедитесь, что у вас установлена последняя возможная версия.
Как исправить недостатки безопасности Spectre и Meltdown на Chrome OS
Chromebook - это устройства с самым сильным уровнем защиты от Meltdown и Spectre. Google объявил, что все последние Chromebook должны быть автоматически защищены от этих новых угроз безопасности. Любой Chromebook, работающий на Chrome OS версии 63 (выпущен в декабре) уже должен содержать необходимые исправления безопасности.
Чтобы быть в безопасности, убедитесь, что у вас установлено последнее обновление Chrome OS. Большинство пользователей уже используют версию 63, но если у вас нет, обновите ее немедленно.
Если вы хотите получить более подробную информацию, вы можете ввести ' chrome: // gpu » в свой омнибар и ударил Войти . Затем используйте Ctrl + F искать ' Операционная система Это позволит вам увидеть версию вашего ядра. Версии ядра 3,18 и 4.4 уже исправлены эти недостатки безопасности.
![[FIX] OneNote продолжает вылетать на iPad](https://jf-balio.pt/img/how-tos/32/onenote-keeps-crashing-ipad.jpg)
