Потвърдени нови уязвимости от призрачен тип: Какво да направите

Intel, AMD, ARM и IBM вчера (21 май) потвърдиха, че наистина има допълнителни недостатъци от типа Spectre, открити в процесорите му, както се твърди по-рано този месец от немско списание, заедно с нов недостатък от типа Meltdown. Уязвимостите могат да бъдат използвани при атаки на потребители, базирани на браузър, но трябва да бъдат закърпени на системно ниво през следващите седмици.

Недостатъците, подобни на Spectre, посочени като Variant 4 в публикация в блога на Leslie Culbertson от Intel, изпълнителен вицепрезидент и генерален мениджър на Product Assurance and Security в Intel, бяха съобщени за първи път в началото на май от немското компютърно списание C'T, което бяха разказани за недостатъците от тогава неназовани изследователи (някои от които работеха за Microsoft и Google) и нарекоха недостатъците Spectre NG или Next Generation. (и ето списък на засегнатите процесори на Intel.)

Подобният на разтопяване дефект се нарича Вариант 3а и като цяло е по-малко сериозен. Той ще бъде закърпен чрез предстоящи актуализации на фърмуера на процесора, а не чрез корекции на операционната система.

AMD пусна собствено изявление, че корекциите на вариант 4 се внедряват от дистрибутори на Microsoft и Linux. ARM заяви, че четири от по-късните му процесори от серия Cortex A са били засегнати от вариант 4 и посочи технически смекчения мерки. IBM подробно описва как недостатъците на Variant 4 засягат чиповете му POWER.

ОЩЕ: Разтопяване и призраци: Как да защитите вашия компютър, Mac и телефон

Какво можеш да направиш

Кулбъртсън каза, че „смекченията, базирани на браузъра [за вариант 4 … вече са внедрени и са достъпни за използване днес”, така че поддържайте браузъра си актуален. Chrome трябва да се актуализира автоматично, при условие че от време на време рестартирате машината си. За да проверите дали Chrome има предстояща актуализация, отворете chrome: // settings/help, където ще видите състоянието на версията му.

Firefox също трябва да се актуализира, но можете сами да потвърдите състоянието му. Просто щракнете върху бутона на менюто, щракнете върху Помощ и изберете Всичко за Firefox. Ако са налични актуализации, Firefox ще ги изтегли автоматично.

Браузърите на Microsoft Edge и Internet Explorer се актуализират чрез Windows Update, което ще искате да проверите за актуализации в цялата система. Браузърът Safari на Apple също така прави обратна връзка при системните актуализации, въпреки че все още няма информация от Intel или Apple дали Macs са били или ще бъдат закърпени срещу новите недостатъци на Spectre.

Кулбъртсън каза, че Intel "вече е доставила актуализацията на микрокода за Вариант 4 в бета форма на производителите на OEM системи и доставчиците на системен софтуер", и че този пластир трябва да бъде "пуснат в BIOS и софтуерни актуализации през следващите седмици".

Очаквайте да видите системни известия от софтуера за собствени актуализации на вашата система, като Dell SupportAssist или HP Support Assistant. Те ще пристигнат скоро и трябва да бъдат изтеглени, за да защитите вашия компютър.

Повече за Вариант 4

Кулбъртсън пише, че Intel „не е виждала никакви доклади за този метод, използван в реални експлойти“, но това не би трябвало да попречи на потребителите да забавят актуализациите.

Подобно на другите вече разкрити недостатъци на Spectre и Meltdown, уязвимостите на Variant 4 и Variant 3a се коренят в спекулативно изпълнение, метод за ускоряване на процесорите на процесора, който стана обикновен през последните две десетилетия.

Поправянето или смекчаването на всякакви недостатъци на Spectre или Meltdown забавя процесорите на процесора и Кулбъртсън казва, че чиповете на Intel, които са внедрили корекциите за Spectre Variant 4 "са наблюдавали въздействие от приблизително 2 до 8 процента" въз основа на общите резултати за бенчмарк тестове.