Praktično svi procesori proizvedeni u posljednjih dvadeset godina imaju sigurnosnu rupu. Otkrivena je u tehnici nazvanoj speculative execution koja unaprijed pogađa koja bi mogla biti slijedeća naredba koju ćete zahtijevati od procesora. Napad se može izvesti upravo u trenutku kada se najosjetljiviji podaci – poput zaporki i tajnih ključeva – nalaze u memoriji sustava, koja inače nije dostupna.

Propust je otkriven još lani, za što je najzaslužniji Jann Horn, znanstvenik iz Googleovog tima Project Zero. U tajnosti su obavještene vodeće hardverske i softverske kompanije, ali nove detalje počeli su otkrivati i drugi računalni eksperti. Naposljetku su procurili u javnost: objavio ih je britanski The Register. Stoga je napušten prvobitni plan da se javnost obavijesti o propustu 9. siječnja: detalji su objavljeni jučer na blogu Project Zero.

U međuvremenu, Windowsi su već zakrpani: Microsoft je jučer izdao automatsku zakrpu za Windowse 10, mimo uobičajenog rasporeda. (Korisnici starijih Windowsa 7 i 8 morat će pričekati. Više informacija je objavljeno ovdje.) Mac OS je također zakrpan po hitnom postupku, još lani, u verziji High Sierra 10.13.2, premda će dodatne zakrpe biti uvrštene u slijedeću verziju 10.13.3.

Zakrpan je i Android, kao i datacenter platforme Googlea, Microsofta i Amazona. Zakrpani su i web preglednici Firefox (u verziji 57) te Edge, dok će Chrome biti zakrpan u verziji 64 koja izlazi 23. siječnja (u međuvremenu, možete se sami zaštititi: upute su ovdje).

meltdown

Napadi se još nisu dogodili, ali već su dobili naziv – i to ne jedan nego dva: Meltdown i Spectre. Od ta dva, ovaj prvi – čini se – napada samo Intelove procesore. AMD je već izjavio da su njegovi procesori sigurni. Intel je objavio priopćenje kojim minimizira opasnost, no većina specijaliziranih medija smatra drugačije.

U priopćenju Intel demantira i ono što su objavili mnogi mediji: kako će zakrpe (koje jednostavno isključuju ‘spekulativnu izvedbu’) automatski osjetno usporiti računalo, i do tridesetak posto. S takvom ocjenom slaže se i Linus Torvalds, otac Linuxa, koji se osobno angažirao oko „popravka“ koda za Linux.

Interesantnu priču o tome koliko je Intel doista zabrinut oko Meltdowna donosi MarketWatch: piše kako je čelnik Intela Brian Krzanich prodao stotine tisuća dionica tvrtke još prošle jeseni, čim ga je Google obavijestio o propustu – daleko prije nego što je vijest objavljena, i taman na vrijeme kako ga ne bi pogodio propis po kojem se dužnosnici ne smiju prodavati dionice temeljem insajderskih informacija.

Najjednostavniji savjet kako da otklonite problem dao je CERT: zamijenite procesor.

spectre

Drugi napad Spectre je, kako kažu Googleovci, „teže izvesti, ali teže i ublažiti“. Za razliku od Meltdowna, još ne postoje „proof of concept“ izvedbe ovog napada (za Meltdown postoje – možete ih vidjeti na YouTubeu – no bez brige: izvedeni su u laboratoriju: zloćudnih napada još nema).

Spectre, međutim, nije ograničen samo na Intelove procesore: pogađa i procesore AMD-a te ARM-a (na čijem dizajnu se temelje praktično svi procesori za smartfone i tablete).

Komentiraj

Please enter your comment!
Please enter your name here

Ova web-stranica koristi Akismet za zaštitu protiv spama. Saznajte kako se obrađuju podaci komentara.