Начало нынешнего года в мире IT прошло под шумиху вокруг уязвимостей Meltdown и Spectre, найденных в процессорах Intel, AMD и ARM. Особенно ситуация затронула Intel, потому как оказалось, что найденные уязвимости касаются всех CPU за последние пару десятилетий.

Intel, Microsoft и прочие компании начали работать над заплатками, появилась информация, что заплатки сильно просаживают производительность в определённых сценариях, некоторые заплатки нарушали работу ПК, но в итоге вся шумиха постепенно стихла. Стихла, потому что обычных потребителей особо и не коснулась. Производительность в потребительских задачах не упала, а уязвимости даже после появления информации о них никто не использовал в реальных атаках.

Но вот сегодня стало известно, что найдены новые уязвимости. И снова под ударом в основном Intel. У ARM эти уязвимости есть в «некоторых» процессорах, а по поводу AMD и вовсе пока неясно.

Новых уязвимостей пока восемь. Источник назвал их Spectre NG (NextGeneration). Четыре из них критические, причём они серьёзнее, чем предыдущие, которые навели столько шороху. Основная проблема в том, что злоумышленник посредством этих уязвимостей может атаковать виртуальную машину, а уже оттуда добраться и до хост-системы, к примеру, сервера или облака.

Intel уже оповещена об уязвимостях и работает над заплатками. Они выйдут в два этапа: в мае и августе. Конечно, если снова не будет никаких проблем.

Однако тут возникает и другой вопрос. Сколько ещё подобных уязвимостей будет найдено в современных процессорах? Ведь проблема-то на уровне архитектуры, причём те базовые архитектурные кирпичики, которые позволяют использовать упомянутые атаки, остаются неизменными уже 20-30 лет.

Да, Intel обещала выпустить до конца года процессоры, которые на аппаратном уровне будут защищены от этих уязвимостей, но от всех ли? Ведь вот сегодня нашли восемь новых, а после выхода «новых» CPU окажется, что есть и другие, от которых эти процессоры не защищены. Нас с вами напрямую это вроде бы и не касается, да только сегодня мир почти полностью цифровой. И если кто-то где-то вдруг захочет и сможет навести шороху, используя эти уязвимости, что тогда?

Please wait...
Комменты

11 комментариев

сначала новые
по рейтингу сначала новые по хронологии
1

Лучшеб они в оперативной памяти уязвимости нашли и она подешевела процентов на 40

Автор2
Кукишев Дмитрий

ну процессоры же от этого не подешевели) почему вы думаете, что память подешевела бы?)

3
robertgoldenowl

А для кого вообще эти уязвимости представлют опасность? Вот я сижу и думаю...Да, в компе уязвимость, да кто-то теоретически может получить доступ к моим данным. Но как-то пофиг, что с ними делать?)) Просто если кому-то действительно есть что скрывать, врядли он бует хранить эти файлы на рабочей машине или в облаке. Я думаю, распостранять слухи об уязвимостях нужно на уровне правительственных сайтов или в компаниях с крупными серверами, где действительно много важной инфы. И то делать это нужно так, что бы вообще никто не знал. А если на весь мир заявили о какой-то уязвимости, то это либо проделки компании-конкурента (чёрный PR шаг), либо за этим скрывается что-то более весомое чем просто новость.

Автор4
Кукишев Дмитрий

напрямую такого рода уязвимости представляют угрозу в первую очередь государственным структурам, крупным компаниям и финансовым структурам, ибо там злоумышленники, если получат доступ, могут наделать дел.
но это ведь и нас с вами может коснуться. к примеру, если будут проблемы на серверах или облачных хранилищах Google (или другого крупного IT-гиганта). или если атакуют крупного мобильного оператора и рухнет сеть. про государственные и финансовые структуры я вообще молчу)

5
robertgoldenowl

Это я понимаю, но все же. Правильное ли решение принимают компании, которые расказывают общественности об уязвимостях? Не лучше ли тихонько устранить неполадки на программном уровне и не создавать такой ажиотаж вокруг этой проблемы? Я понимаю, что иногда проблема аппаратная и тогда уже ничего не поделать, но если можно устранить неполадку простым упдейтом и назвать это "исправлением проблем с безопасностью", то почему бы не сделать так?

Автор6
Кукишев Дмитрий

там вопрос в законах. насколько я понимаю, такие компании просто обязаны оповещать общественность о проблемах, найденных в их продуктах. даже иски есть к Intel, так как подозревают, что она узнала об уязвимостях за несколько месяцев до того, как об этом впервые написали СМИ

7
robertgoldenowl

А, ну в случае с утечками информации ситуация преобретает немного другой характер. Согласен. Тогда по-тихому действительно не получиться))

8

заголовок жовтушний, і текст не краще :) Дмитро, звідки стільки фаталізму?
інтел чи не найкрупніший виробник цп, і якщо в них є якась вразливість, то нам прийдеться з цим уживатись, навіть якщо вразливість "похлеще предыдущих"))

Автор9
Кукишев Дмитрий

ну во-первых, где там желтизна?) в слове "похлеще", которое слишком экспрессивное?)
во-вторых, фатализма никакого нет, просто проблема с уязвимостями в теории в будущем может обернутся гораздо более серьёзными проблемами для отрасли и рынка в целом. а может и не обернуться)

10

не жовтий, так не жовтий - отже я обізнався)

Автор11
Кукишев Дмитрий

ну почему же. если вы так считаете - ваше право. просто мне, как автору, интересно услышать обоснование)

Новый комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.