Главная Статьи Как устранить уязвимости в процессорах Intel

Как устранить уязвимости в процессорах Intel

Общая информация

Выявленные в конце прошлого года уязвимости в процессорах Intel, получили названия Meltdown и Spectre.

Первая позволяет зловреду прочесть содержимое практически любой области компьютера, в том числе в системах паравиртуализации и контейнерной изоляции (таких как OpenVZ, Docker и т. д.). Проверка при помощи прототипа эксплоита показала, что скорость чтения данных ядра составляет примерно 2 Мб/с. Вторая создает «дыры» в механизмах изоляции и позволяет получить доступ к данным только приложений.

Способы защиты

Для защиты от этих уязвимостей, практически все разработчики операционных систем оперативно выпустили патчи безопасности.

Для систем Windows это обновление KB4056892, размером 1,2 Гб. Его применение ограничено только машинами, работающими на базе процессоров Intel. При установке на машинах с AMD, пользователь получает «синий экран смерти» или просто невозможность загрузки. В связи с этим, автоматическое распространение этого пакета остановлено. Но его можно самостоятельно скачать и установить, используя центр поддержки.

Вторая проблема применения этого патча — падение производительности. По официальному заявлению, менее всего этому подвержены владельцы Windows 10 и новых процессоров. Для всех остальных потеря производительности может достичь величины 50%.

Для Linux-систем — декабрьское обновление ядра до версии 4.14.11, где уже включена поддержка KPTI — изоляции процессов. Также, разработчиками Google был выпущен набор патчей ядра Linux для блокировки атак Spectre.

Для MacOS 10.13.2 было создано анонимное обновление безопасности, однако Apple не разглашаются данные о том, какие уязвимости оно закрывает. По заявлению представителей компании, обновление 10.13.3 будет содержать дополнительные компоненты защиты.

Поскольку эти уязвимости затрагивают и архитектуру ARM, использующуюся в мобильных устройствах, в Google выпустили автоматическое обновление для Pixel и Nexus.

Также разработаны рекомендации для защиты от Meltdown и Spectre в отдельных приложениях.

Для Google Chrome и разработанных на основе  Chromium — включить экспериментальную функцию строгой изоляции сайтов. По умолчанию, будет активирована в версии 64, публикация которой назначена на 23 января 2018 года.

Для Firefox — обновление до версии 57.0.4, в которой реализована блокировка уязвимостей при исполнении кода, написанного на Java.

Обновления Vmware до версии 14.1.1 включают аппаратную поддержку для защиты от атак в гостевую систему.