Meltdown i Spectre su sigurnosne ranjivosti koje utječu na većinu modernih procesora. Praktične podvige za te ranjivosti otkrili su samostalno 2017. godine istraživači s Tehničkog sveučilišta u Grazu u Austriji i Googleov projekt Zero u Kaliforniji. Ranjivosti su službeno objavljene 3. siječnja 2018. godine.

Meltdown je ranjivost specifična za Intelove procesore. Kada se od Intelovih CPU-a zatraži da preuzmu podatke, oni pročitaju podatke prije provjere privilegija korisnika. Iako povlašteni podaci nisu isporučeni neprivilegiranom korisniku, CPU radi drugačije na temelju određenih podataka koji su se dohvatili. Napadač može pratiti performanse procesora u bočnom kanalu i razlikovati važne pojedinosti o podacima. Ova informacija poboljšava ili jamči mogućnost da će naknadni napadi uspjeti.

Učinak je sličan viđenju da netko pomiče nešto iza zavjese. Ne možete vidjeti tu stvar, ali ako možete vidjeti njen oblik i kretanje u zavjesama, možete napraviti obrazovan nagađanje o tome što je to. To se zove "otapanje" jer se informacijska barijera koja štiti povlaštene podatke učinkovito ukida napadom.

Videozapis u nastavku, koji su stvorili istraživači koji su ga otkrili, pokazuje dokaz o napadu Meltdown u akciji.

Spektar

Spectre je sličan Meltdownu, ali umjesto napada vlastitog ponašanja čipa, cilja na prethodno nepoznatu slabost temeljne paradigme dizajna CPU-a.

Paradigma, izvršenje izvan redoslijeda, koristi spekulativno izvršenje kako bi "pogodilo" koja bi se operacija trebala dogoditi sljedeća, i učiniti nešto od tog posla prije vremena. Ako je pretpostavka točna, postiže se veliko ubrzanje. Procesori s ovim dizajnom nazivaju se superskalarni procesori. Većina modernih CPU-ova su superskalarni, poput onih u modernim stolnim računalima, prijenosnim računalima i mobilnim uređajima.

Spektar koristi prednosti superskalarnih procesora manipulirajući njihovim spekulativnim predviđanjima grana. Napadač izdaje upute koje su izrađene tako da uzrokuju pogrešne pretpostavke od strane CPU-a, što omogućuje analizu bočnih kanala. Spectre zatim koristi ove informacije za manipuliranje koda koji CPU izvršava, uključujući privatne upute drugog pokrenutog programa. Ovaj opći tip napada zove se ubrizgavanje ciljne grane .

Spektrični napadi teško je provesti jer moraju posebno usmjeriti žrtvine programe. Također ih je teže spriječiti, jer utječu na sve superskalarne procesore, uključujući one koje proizvode Intel, AMD i ARM.

Ranjivost se naziva "Spectre" u odnosu na špekulativnu obradu i zato što će ovaj problem "proganjati" svijet računala još mnogo godina.

Zašto su oni važni?

Ove ranjivosti postoje u fizičkom krugu CPU-a, tako da ih je vrlo teško popraviti.

Meltdown utječe na svaki Intel CPU stvoren u posljednjih dvadeset godina. Spectre utječe na temeljni dio većine modernih procesora.

Napadi s otpuštanjem mogu se ublažiti promjenama operativnog sustava, što će rezultirati sporijim performansama. Međutim, za Spectre napade, nikakvo softversko ublažavanje možda neće biti moguće.

Je li moj uređaj pogođen?

Stolna i prijenosna računala

Meltdown utječe na sve Intelove procesore koji datiraju barem od 1995. godine. Od ovog pisanja, popravci su u razvoju za operacijske sustave Microsoft Windows, MacOS X i Linux. Ti popravci ublažavaju mogućnost napada na razini kernela, uz procijenjene troškove izvedbe od 5-10%.

Spectre utječe na sve superskalarne procesore, što uključuje veliku većinu potrošačkih procesora. To ne utječe na skalarne procesore. Na primjer, Raspberry Pi koristi skalarne ARM procesore, koji ne koriste spekulativne obrade i nisu ranjivi na ovaj napad.

Mobilni uredaji

Android i iOS uređaji, poput pametnih telefona i tableta, teoretski su podložni oba napada. Međutim, najnovije verzije Androida i iOS-a uključuju ažuriranja za ublažavanje Meltdown-a; i Spectre napadi, iako je moguće, pokazali su se vrlo neostvarivima.

Web preglednici

Ako koristite Firefox Quantum (verzija 57 ili noviji), zaštićeni ste od Meltdown-a kada pokrećete kod, kao što je JavaScript, u ​​pregledniku.

Google je najavio da će Chrome verzija 64, s predviđenim datumom objavljivanja 23. siječnja 2018. godine, ublažiti Meltdown u pregledniku.

Korisnici programa Microsoft Edge mogu očekivati ​​da će preglednik automatski biti skeniran pomoću servisa Windows Update. Opera je također najavila nadolazeće sigurnosno ažuriranje kako bi ublažila Meltdown.

Kako mogu zaštititi svoj uređaj?

Da biste zaštitili uređaj od napada Meltdown, instalirajte sva ažuriranja koja su trenutno dostupna za vaš operativni sustav.

• Za Windows 10, 8 i 7 potražite novi Windows Update.
• Za MacOS X provjerite ima li novih sigurnosnih ažuriranja u App Storeu.
• Za Android instalirajte sigurnosno ažuriranje Google December 2017 na pametnom telefonu ili tabletnom računalu. Ažuriranja možete pronaći u Postavkama, O uređaju . Noviji Pixel, Nexus i Galaxy telefoni odmah ispunjavaju uvjete za nadogradnju sigurnosti. Provjerite kod proizvođača ako niste sigurni je li ažuriranje dostupno za vaš uređaj.
• Za iOS instalirajte iOS 11.2 ili noviju verziju na pametnom telefonu ili tabletu. Da biste provjerili ima li ažuriranja, idite na Postavke, Općenito, Ažuriranje softvera .