Spectre i Meltdown – ozbiljne ranjivosti pogađaju skoro sve procesore i operativne sisteme
Istraživači is Google Project Zero objavili su više detalja o novootkrivenim ranjivostima nazvanim Spectre (CVE-2017-5753 i CVE-2017-5715) i Meltdown (CVE-2017-5754). Detalji otkrivaju da ranjivosti pogađaju skoro sve procesore kompanija kao što su Intel, ARM i AMD koji su proizvedeni poslije 1995. godine.
Ranjivosti su posljedica greške u procesu optimizacije izvršavanja procesorskih instrukcija pod nazivom spekulativno izvršavanje. Eksploatacija ovih ranjivosti može dovesti do krađe osjetljivih podataka.
Spekulativno izvršavanje podrazumijeva izvršavanje procesorskih instrukcija van tekućeg redoslijeda. Procesor na osnovu podataka sa kojim raspolaže unaprijed izvrši instrukcije za koje smatra da će se izvršavati u skoroj budućnosti. Ukoliko se ispostavi da put izvršavanja koji je procesor pretpostavio nije tačan rezultati se poništavaju i prelazi se na korektan put.
Moguće je da spekulativno izvršavanje ostavi indikatore uz pomoću kojih se indirektno mogu pročitati povjerljivi podaci.
Meltdown
Pogađa skoro sve procesore proizvedene od strane kompanije Intel. Ovaj napad koristi spekulativno izvršavanje kako bi zaobišao izolaciju koja odvaja memorijske lokacije koje koristi sistem od memorije koju koriste korisničke aplikacije. Uspješna eksploatacija može dozvoliti bilo kojoj korisničkoj aplikaciji pristup kompletnoj sistemskoj memoriji koja uključuje i kernel.
Spectre
Za razliku od Meltdown-a ovu ranjivost je teško zakrpiti. Spectre zaobilazi izolaciju između različitih aplikacija. Korišćenjem ovog napada napadač može navesti legitimne aplikacije da upisuju podatke u memorijski prostor pod kontrolom napadača što mu daje pristup podacima u proizvoljnim djelovima memorije legitimnih procesa.
Spektre omogućava krađu informacija iz kernela od strane korisničkih programa kao i krađu informacija sa Host sistema od strane Guest sistema u okruženjima za virtualizaciju.
Spectre napad takođe omogućava JavaScript kodu da zaobiđe sandbox okruženje veb čitača. Istraživači tvrde da su napisali JavaScript kod koji uspješno čita podatke iz adresnog prostora veb čitača koji ga pokrene.
Ova ranjivost pogađa skoro sve sisteme uključujući desktop i laptop računare, cloud servere i pametne telefone koji koriste procesore proizvedene od strane kompanija Intel, AMD i ARM.
Za razliku od Meltdown napada primjena KAISER zakrpe neće otkloniti problem.
Mjere zaštite
US-CERT je predložio da se svi pogođeni procesori zamijene, ali ovo rješenje nije praktično za većinu korisnika i kompanija. Za razliku od Meltdown ranjivosti koje su već zakrpljene od strane velikih IT kompanija Spectre nije moguće tako lako zakrpiti.
Lista trenutno dostupnih ažuriranja:
Microsoft
Microsoft je objavio Meltdown ažuriranje za Windows 10 operativni sistem (možete preuzeti ovdje) i najavio je objavljivanje ažuriranja za Windows 7 i 8 za 9. januar ove godine.
Apple
Apple je objavio članak u kome navode da su svi Mac i iOS sistemi pogođeni, ali da trenutno ne postoje eksploatacioni kodovi koji mogu ugroziti ove sisteme. Oni su već objavili načine za umanjene štete u sljedećim verzijama operativnih sistema iOS 11.2, macOS 10.13.2 i tvOS 11.2. Pored toga najavili su da će uskoro objaviti mjere koji će zaštiti veb čitač Safari od Spectre napada.
Android OS
Google je izjavio da su ranjivosti otklonjene u redovnom ažuriranju objavljenom 5. januara. Oni dodaju da trenutno ne postoje indicije uspješne eksploatacije Meltdown ili Spectre ranjivosti od strane hakera.
Firefox
Mozilla je objavila verziju Firefox-a 57.0.4 u kojoj je predstavljeno privremeno rješenje za ove ranjivosti.
Google Chrome
Google je najavio da će ažuriranja za Meltdown i Spectre objaviti 23. januara. Korisnicima preporučuju da u međuvremenu koriste eksperimentalnu funkcionalnost nazvanu Site Isolation o kojoj možete pročitati ovdje.
Linux
Razvojni tim iz Linux kernela objavio je ažuriranja za sljedeće verzije kernela: 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 i 3.2.97 koja možete preuzeti sa Kernel.org.
VMware
VMware objavio je listu pogođenih proizvoda kao i ažuriranja za ESXi, Workstation i Fusion.
Izvor:thehackernews.com
