O co chodzi? W dużym skrócie – o odkryte przez naukowców z Google (Project Zero) luki w konstrukcji niemal wszystkich procesorów wyprodukowanych po 2010 roku. Dziury w zabezpieczeniach odkryto już przed kilkoma miesiącami i w tajemnicy pracowano nad stworzeniem odpowiednich zabezpieczeń, mających zmniejszyć straty. Problem dotyczy zarówno urządzeń Intela, AMD oraz mobilnych, opartych na architekturze ARM.
Czy Meltdown i Spectre spowolnią komputery?
Wyjątkowość luk nazwanych „Meltdown” i „Spectre” polega na tym, że nie dotyczą jak zwykle systemów operacyjnych, tylko samych procesorów. Programiści z Intela i AMD zapewniają jednak, że są w stanie poradzić sobie z zagrożeniem, wypuszczając odpowiednie aktualizacje. Problem w tym, że mogą one znacząco zmniejszać prędkość niektórych systemów. Fachowcy nie są w tym zakresie zgodni i informują o spadkach wydajności rzędu 5 – 30 – a niektórzy nawet 60 proc.
„Bezpieczeństwo informacji jest priorytetem firmy AMD, a nasi specjaliści podążają za ekosystemem technologii w poszukiwaniu nowych zagrożeń” – brzmi komunikat opublikowany na stronie AMD. Podkreślono, że całkowita ochrona przed wszystkimi możliwymi zagrożeniami jest praktycznie niemożliwa, a najnowsze doniesienia wskazują na konieczność współpracy całej branży. „Testy przeprowadzone przez zespół Google Project Zero, wykonany został w laboratoryjnym środowisku, które nie odzwierciedla realiów publicznych domen” – zauważono.
AMD zwraca również uwagę na informacje opublikowane przez Niebezpiecznik.pl. „Szczegółowa lektura technicznego opisu podatności opublikowanego wczoraj przez Google zdradza, że zespół testował jedynie procesor AMD w niedomyślnej konfiguracji: (AMD PRO CPU, eBPF JIT włączone). Innymi słowy, do tej pory nie pokazano jeszcze żadnego ataku na procesory AMD, który działałby na ich domyślnych konfiguracjach”.
Ponadto specjaliści z AMD ustalili, że w wariancie pierwszym (Bounds Check Bypass), problem może być rozwiązany przez aktualizację oprogramowania / systemu operacyjnego. W wariancie drugim (Branch Target Injection), różnice w architekturze układów AMD powodują, że istnieje niemal zerowe ryzyko wykorzystania tego wariantu ataku i nie zostały do tej pory udowodnione na procesorach AMD. Z kolei w wariancie trzecim (Rogue Data Cache Load), atak jest niemożliwy do przeprowadzenia z powodu różnic w architekturze AMD.
Załatać dziury w procesorach
Według ekspertów jedynym sposobem na zyskanie pewności bezpieczeństwa jest wymiana procesora na zupełnie nowy. Oczywiście taki sprzęt musi wcześniej powstać, co zarówno inżynierom AMD i Intela może zająć trochę czasu. Do tej pory specjaliści zalecają pobranie i zainstalowanie najnowszych aktualizacji systemowych. Nie dla wszystkich systemów operacyjnych zdołano jednak stworzyć odpowiednie łatki. Na swoją kolej muszą czekać m.in. użytkownicy Windows 7 i 8.
Czy chmury są bezpieczne?
W całej sprawie jest nadal mnóstwo niewiadomych, z wielką szybkością pojawiają się też nowe i sprzeczne ze sobą doniesienia. Jedną z najpoważniej brzmiących sugestii jest ta mówiąca o możliwości odczytywania informacji zawartych w internetowych chmurach, gdzie miliardy użytkowników internetu przechowują m.in. swoje hasła, czy inne wrażliwe dane. Ciekawie w świetle całej afery wygląda też zachowanie prezesa Intela – Briana Krzanicha, który pod koniec listopada 2017 roku sprzedał posiadane przez siebie akcje firmy na sumę 24 mln dolarów. W tamtym czasie tłumaczył swoją decyzję wprowadzeniem nowego podatku w Kalifornii.
Co robić?
Dla użytkowników Chrome
Ponieważ exploit można wykonać za pośrednictwem strony internetowej, użytkownicy Chrome mogą włączyć funkcję izolowania witryny na swoich urządzeniach.
Oto jak włączyć funkcję Site Isolation w systemach Windows, Mac, Linux, Chrome OS lub Android:
Skopiuj chrome://flags/#enable-site-per-process
i wklej je w polu adresu URL u góry przeglądarki Chrome, a następnie naciśnij klawisz Enter.
Poszukaj izolacji strony ścisłej, a następnie kliknij pole oznaczone jako Włącz.
Po zakończeniu kliknij Uruchom ponownie teraz, by ponownie uruchomić przeglądarkę Chrome.
Inne przeglądarki
Mozilla, Microsoft i Apple powiedziały, że zaktualizują swoje przeglądarki, aby zmniejszyć zagrożenie związane z nowymi metodami ataku. Mozilla rozpoczęła aktualizację obecnego Firefoksa 57, a Microsoft zmodyfikuje zarówno jego przeglądarkę Internet Explorer, jak i nowe przeglądarki Edge.
Mozilla wydała już pierwszą z dwóch krótkoterminowych poprawek w aktualnej wersji Firefoksa i działa teraz na drugim.
Rzadziej aktualizowana wersja Firefoksa w wersji Enterprise Support Release nie jest tak podatna na nowe ataki, ale Mozilla planuje aktualizację następnej wersji Firefox ESR 23 stycznia.