События

Обнаружен четвертый вариант уязвимостей Meltdown-Spectre

Обнаружен четвертый вариант уязвимостей Meltdown-Spectre

Исследователи Microsoft и Google обнаружили четвертый вариант нашумевших уязвимостей Meltdown-Spectre. Уязвимость может быть проэксплуатирована либо запущенным на уязвимом компьютере вредоносным ПО, либо авторизованным в системе злоумышленником для медленного извлечения конфиденциальных данных из защищенной памяти ядра или приложения.

Обнаруженные ранее уязвимости в современных процессорах известны как Spectre v1 (CVE-2017-5753), Spectre v2 (CVE-2017-5715) и Meltdown (CVE-2017-5754). Теперь же исследователи Microsoft и Google сообщили о четвертой уязвимости (CVE-2018-3639), затрагивающей все современные процессоры – Intel, AMD, Arm (используются в смартфонах, планшетах и встраиваемых устройствах по всему миру), а также Power 8, Power 9 и System z от IBM.

Новая уязвимость потенциально может быть проэксплуатирована с помощью запущенного внутри приложения скрипта (например, JavaScript на web-странице во вкладке браузера) для получения конфиденциальных данных из других областей приложения (например, персональной информации с web-страницы в другой вкладке браузера).

Согласно Intel, исправляющее Spectre v1 обновление существенно усложняет осуществление атаки с эксплуатацией новой уязвимости. В настоящее время доступных эксплоитов для нее не существует.

Исследователи компании Red Hat опубликовали видео, демонстрирующее эксплуатацию уязвимости.

Как пояснил директор Intel по безопасности продуктов Лесли Калбертсон (Leslie Culbertson), атака с использованием четвертого варианта уязвимости базируется на так называемом спекулятивном выполнении – функции, присущей практически всем современным процессорам. Благодаря ей злоумышленник может осуществить атаку по сторонним каналам и похитить конфиденциальные данные.

Спекулятивное выполнение команды – выполнение команды до того, как станет известно, понадобится она или нет.

Атаки по сторонним каналам – класс атак, направленный на уязвимости в практической реализации криптосистемы.

Источник

Автор: Сергей Куприянов
22.05.2018 (08:23)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.