Головна » Технології / Новини ІТ » Дослідники знайшли нові шляхи реалізації вразливостей Meltdown та Spectre

Останнім часом, вся індустрія інформаційної безпеки була дуже занепокоєна вразливостями Meltdown та Spectre, що дозволяють зловмисникам діставати із пам’яті приховану інформацію на великій кількості сучасних процесорів. І поки розробники випускають патчі, Meltdown виявляється менш проблемним, ніж Spectre. В цілому ситуація залишається дуже невизначеною.



На жаль, дослідники знаходять реальні шляхи до використання цих дір в безпеці і надають результати відповідних досліджень. Нещодавно, вийшла наукова стаття, де вчені Прінстонського університету спільно із фахівцями Nvidia, розробили комплекс методів для отримання доступу до конфіденційної інформації в системі. Іншими словами, вони використовують можливість доступу всіх ядер багатоядерного процесора до області спільної кеш-пам’яті. Ці техніки названо MeltdownPrime та SpectrePrime.

Суть проблеми

Методи MeltdownPrime та SpectrePrime засновані на роботі протоколів невалідності кешу та використовують атаку по часу, відому як Prime+Probe та Flush+Reload, що надає інформацію про те, як жертва використовує кеш-пам’ять.

В контексті вразливостей Spectre та Meltdown, це дозволяє атакам Prime+Probe досягати високого степеня точності та витягувати деякі види інформації. Використовуючи інвалідацію кешу, методи MeltdownPrime та SpectrePrime зможуть отримувати доступ до пам’яті жертви.

Нові атаки відрізняються від того, що було представлено попередніми дослідженнями Meltdown та Spectre. Хорошими новинами є те, що MeltdownPrime та SpectrePrime перекриваються патчами, розробленими для ліквідації оригінальних дір безпеки. Дослідники зазначають, що інженери-розробники повинні враховувати нововідкриті методи атак.

Хоча акції Intel відновилися після невдачі, численні коментатори пригадали компанії, так само як і Apple та AMD, за брак інформації стосовно реального стану справ у вразливостях їхніх процесорів. А також зниження продуктивності, в результаті використання патчів. На споживацьких системах воно може бути незначним, тоді як на промислових системах воно може мати значний вплив. При використанні Linux-систем, можна зіткнутися із додатковими витратами, пов’язаними зі значною зміною методів обробки даних.

Intel значно розширила програму пошуку вразливостей і пропонує сотні тисяч дослідникам, які знайдуть наступні вразливості.

Переклад із сайту Gizmodo

Поділитися:

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Як часто Ви дезінфікуєте свій смартфон під час карантину?

Переглянути результати

E-mail розсилка Pingvin Pro

Якщо Ви хочете отримувати статті по e-mail, пропонуємо підписатися на нашу електронну розсилку. Просто введіть свій e-mail нижче та натисніть кнопку «Підписатися».

Схожі новини

Новини ІТ

Microsoft провела дослідження щодо ефективності впровадження штучного інтелекту

Корпорація Microsoft представила результати масштабного міжнародного дослідження. Експерти дійшли висновку, що одним з ключових чинників для досягнення успіху при впровадженні ШІ, окрім самих технологій, є всебічне навчання співробітників. В ході дослідження було опитано близько 12 000 співробітників і керівників великих компаній на 20 ринках по всьому світу з 12 по 30 березня. У дослідженні розглядається […]


Новини ІТ

ASUS представила материнські плати на базі AMD B550 для недорогих ПК

Компанія ASUS оголошує про вихід материнських плат з новітнім чипсетом AMD B550, який дозволяє використовувати можливості високошвидкісної шини PCI Express 4.0 у недорогих ПК. Материнські плати на базі чипсета AMD B550 підтримують 20 ліній PCIe 4.0 загального призначення від процесорів AMD Ryzen третього покоління. Основний слот PCIe на всіх нових платах ASUS B550 пропонує 16 […]


Новини партнерів