Intel знайшла вразливість у своїх процесорах: що з цим робити
Компанія Intel заявляє про вразливість, яку виявили майже у всіх фірмових процесорах, випущених з 2011 року.
Що це таке
Проблему виявили вчені з Технологічного університету Граца. Це новий клас вразливостей Microarchitectural Data Sampling (MDS), заснований на технології спекулятивного виконання команд. Простіше кажучи, це технологія, яка дозволяє процесору передбачати, які дані знадобляться додатку або операційній системі для того, щоб підвищити продуктивність.
В результаті зловмисники можуть отримати паролі, адреси сайтів, хеш-суми та інші особисті дані користувачів. Фахівці кажуть про чотири види таких атак: ZombieLoad, Fallout, RIDL (Rogue In-Flight Data Load) та Store-to-Leak Forwarding.
При цьому «атакувати» можуть не лише персональні комп'ютери, а й віртуальні машини та навіть хмарні сервери. Щоправда, моментально отримати доступ до комп'ютера не вийде, тому наразі невідомо, чи скористалися хакери вразливістю для крадіжки особистих даних.
Де вразливість
До вразливості схильні майже всі процесори Intel, що випускалися з 2011 року. Це не стосується процесорів 8-го та 9-го покоління, а також серверних Xeon Scalable 2-го покоління, які вже містять апаратне виправлення уразливості.
У нових процесорах вразливість обіцяють усунути на апаратному рівні. Також компанія випустила оновлення прошивки, яке очищає всі дані з буфера кожен раз, коли трапляється перевантаження. Щоправда, це оновлення «з'їдає» невеликий відсоток продуктивності, але Intel запевняє, що в повсякденній роботі користувачі і не помітять цього.
Що робити
Дослідники з груп TU Graz і VUSec, які вивчали нову уразливість процесорів, рекомендують відключити фірмову технологію Hyper-Threading. Але за цим послідує істотне зниження продуктивності - на цілих 40%.
Apple, Microsoft, IBM Red Hat радять своїм користувачам зробити це, а Google відключила технологію в Chrome OS 74. Сама ж Intel не рекомендує відключати Hyper-Threading.
Крім того, Apple, Microsoft та Google випустили оновлення для своїх пристроїв. Amazon також оновила хмарний сервіс Web Services, причому автоматично, тому користувачам ні про що турбуватися не варто.
Джерело: Intel