Intel нашла очередную уязвимость в своих процессорах
Компания Intel заявляет об уязвимости, которую обнаружили почти во всех фирменных процессорах, выпущенных с 2011 года.
Что это такое
Проблему обнаружили ученые из Технологического университета Граца. Это новый класс уязвимостей Microarchitectural Data Sampling (MDS), основанный на технологии спекулятивного исполнения команд. Проще говоря, это технология, которая позволяет процессору предугадывать, какие данные понадобятся приложению или операционной системе, для того, чтобы повысить производительность.
В результате злоумышленники могут получить пароли, адреса сайтов, хеш-суммы и другие личные данные пользователей. Специалисты говорят о четырех видах таких атак: ZombieLoad, Fallout, RIDL (Rogue In-Flight Data Load) и Store-to-Leak Forwarding.
При этом «атаковать» могут не только персональные компьютеры, но и виртуальные машины и даже облачные серверы. Правда, моментально получить доступ к компьютеру не получится, поэтому пока неизвестно, воспользовались ли хакеры уязвимостью для кражи личных данных.
Где уязвимость
Уязвимости подвержены почти все процессоры Intel, выпускавшиеся с 2011 года. Это не касается процессоров 8-гои 9-го поколения, а также серверных Xeon Scalable 2-го поколения, которые уже содержат аппаратное исправление уязвимости.
В новых процессорах уязвимость обещают устранить на аппаратном уровне. Также компания выпустила обновление прошивки, которое очищает все данные из буфера каждый раз, когда случается перегрузка. Правда, это обновление «съедает» небольшой процент производительности, но Intel уверяет, что в повседневной работе пользователи и не заметят этого.
Что делать
Исследователи из групп TU Graz и VUSec, которые изучали новую уязвимость процессоров, рекомендуют отключить фирменную технологию Hyper-Threading. Но за этим последует существенное снижение производительности —на целых 40%.
Apple, Microsoft, IBM Red Hat советуют своим пользователям сделать это, а Google отключила технологию в Chrome OS 74. Сама же Intel не рекомендует отключать Hyper-Threading.
Кроме того, Apple, Microsoft и Google выпустили обновления для своих устройств. Amazon также обновила облачный сервис Web Services, причем автоматически, поэтому пользователям ни о чем беспокоиться не стоит.
Источник: Intel