Ενημέρωση 5:42 μ.μ. ET: Η Apple δημοσίευσε μια σελίδα υποστήριξης με οδηγίες σχετικά με τον τρόπο απενεργοποίησης του υπερ-νήματος για την πλήρη προστασία του Mac σας από το ZombieLoad, αλλά προειδοποίησε ότι αυτό θα μπορούσε να μειώσει την απόδοση έως και 40%. Για περισσότερες πληροφορίες, διαβάστε τον οδηγό μας σχετικά με τον τρόπο απενεργοποίησης της λειτουργίας.
Υπάρχει μεγάλη πιθανότητα ο φορητός υπολογιστής σας να τροφοδοτείται από επεξεργαστή Intel. Εάν ναι, τότε θα πρέπει να ενημερώσετε τον υπολογιστή σας αμέσως, αφού ανακαλύφθηκε μια κατηγορία ευπάθειας που επιτρέπει στους εισβολείς να κλέψουν δεδομένα απευθείας από τον επεξεργαστή σας.
Το αποκαλούμενο σφάλμα ZombieLoad και τρεις σχετικές ευπάθειες ανακαλύφθηκαν από μερικούς από τους ίδιους ερευνητές που έφεραν στο προσκήνιο τα κρίσιμα ελαττώματα Spectre και Meltdown και μοιράζονται πολλές ομοιότητες με αυτά τα σφάλματα.
Το ZombieLoad και οι συγγενείς του επηρεάζουν κάθε επεξεργαστή Intel που κατασκευάζεται από το 2011, πράγμα που σημαίνει ότι όλα τα MacBooks, μια μεγάλη πλειοψηφία υπολογιστών με Windows, οι περισσότεροι διακομιστές Linux και ακόμη και πολλά Chromebook είναι στο στόχαστρο. Τα σφάλματα μπορούν ακόμη και να χρησιμοποιηθούν σε εικονικές μηχανές στο cloud. Αλλά τα τσιπ AMD και ARM δεν φαίνεται να επηρεάζονται από αυτά τα τελευταία ελαττώματα.
Πίστωση: Intel
Η Intel, η οποία ονομάζει αυτό το σύνολο ελαττωμάτων Microarchitectural Data Sampling, ή MDS, λέει ότι επιλεγμένοι επεξεργαστές 8ης γενιάς και 9ης γενιάς προστατεύονται ήδη από το ελάττωμα και ότι όλοι οι μελλοντικοί επεξεργαστές θα περιλαμβάνουν μετριασμό υλικού. (Οι ερευνητές που ανακάλυψαν τα ελαττώματα διαφωνούν με την Intel και επιμένουν ότι αυτά τα τσιπ εξακολουθούν να επηρεάζονται.)
"Η μικροαρχιτεκτονική δειγματοληψία δεδομένων (MDS) έχει ήδη αντιμετωπιστεί σε επίπεδο υλικού σε πολλούς από τους πρόσφατους επεξεργαστές Intelth Core 8 8ης και 9ης γενιάς, καθώς και στην οικογένεια 2ης γενιάς Intel® Xeon® Scalable Processor Family", ανέφερε η Intel σε επίσημη δήλωση Το
Πώς λειτουργούν οι επιθέσεις
Όπως και το Spectre, το Meltdown και πολλά άλλα ελαττώματα που ανακαλύφθηκαν από τότε, αυτές οι τέσσερις διαφορετικές επιθέσεις-που ονομάζονται ZombieLoad, Fallout, RIDL και Store-to-Leak Forwarding-εκμεταλλεύονται αδυναμίες σε ένα ευρέως χρησιμοποιούμενο χαρακτηριστικό που ονομάζεται "κερδοσκοπική εκτέλεση". βοηθήστε έναν επεξεργαστή να προβλέψει τι θα χρειαστεί μια εφαρμογή ή πρόγραμμα στη συνέχεια για να βελτιώσει την απόδοση.
Ο επεξεργαστής εικάζει ή προσπαθεί να μαντέψει, ποια αιτήματα για λειτουργίες θα λάβει στο εγγύς μέλλον (δηλαδή, τα επόμενα λίγα χιλιοστά του δευτερολέπτου). Ο επεξεργαστής πραγματοποιεί ή εκτελεί αυτές τις λειτουργίες προτού ζητηθούν για να εξοικονομήσει χρόνο όταν τα αιτήματα υποβάλλονται πραγματικά.
Το πρόβλημα είναι ότι πραγματοποιώντας λειτουργίες πριν από την πραγματική τους ανάγκη, οι CPU τοποθετούν τα αποτελέσματα αυτών των λειτουργιών-δηλαδή, δεδομένων-στις δικές τους βραχυπρόθεσμες μνήμες cache. Με διάφορους τρόπους, το Spectre, το Meltdown και αυτά τα τέσσερα τελευταία ελαττώματα επιτρέπουν στους επιτιθέμενους να διαβάζουν αυτά τα δεδομένα απευθείας από τις κρυφές μνήμες του επεξεργαστή. Υπάρχει μια τεχνική ανάλυση των τεσσάρων νέων επιθέσεων εδώ.
Ένα ανησυχητικό βίντεο απόδειξης της ιδέας δείχνει πώς μπορεί να εκτελεστεί η εκμετάλλευση ZombieLoad για να δει ποιους ιστότοπους βλέπει ένα άτομο σε πραγματικό χρόνο. Τα τρωτά σημεία ανοίγουν επίσης την πόρτα για τους εισβολείς να εντοπίσουν κωδικούς πρόσβασης, ευαίσθητα έγγραφα και κλειδιά κρυπτογράφησης απευθείας από μια CPU.
"Είναι σαν να αντιμετωπίζουμε την CPU ως ένα δίκτυο εξαρτημάτων και ουσιαστικά παρακολουθούμε την κίνηση μεταξύ τους", δήλωσε στο Wired ο Cristiano Giuffrida, ερευνητής στο Vrije Universiteit Amsterdam, ο οποίος ήταν μέλος των ομάδων που ανακάλυψαν τις επιθέσεις MDS. «Ακούμε οτιδήποτε ανταλλάσσουν αυτά τα στοιχεία».
Πίστωση: Michael Schwartz/Twitter
Ενημέρωση τώρα
Υπάρχουν κάποια καλά νέα. Η Intel, η Apple, η Google και η Microsoft έχουν ήδη εκδώσει ενημερώσεις κώδικα για να διορθώσουν τα ελαττώματα. Έτσι έχουν πολλοί κατασκευαστές διανομών Linux. Αλλά δεν κινδυνεύετε έως ότου ενημερώσετε όλες τις συσκευές σας που βασίζονται στην Intel και τα λειτουργικά τους συστήματα, κάτι που συνιστούμε να κάνετε άμεσα. Διαβάστε τον οδηγό μας σχετικά με τον τρόπο ελέγχου για ενημερώσεις στο Mac σας ή ακολουθήστε αυτά τα βήματα για να ενημερώσετε τον υπολογιστή σας Windows 10.
Η Intel παραδέχτηκε ότι οι πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας θα επηρεάσουν την απόδοση της CPU έως και 3% σε συσκευές καταναλωτών και έως 9% σε μηχανές κέντρου δεδομένων και η Google απενεργοποιεί την υπερ-κλωστή (μέθοδος που χωρίζει τους πυρήνες για να αυξήσει την απόδοση) στο Chrome OS 74 για τον μετριασμό των κινδύνων ασφαλείας. Αλλά μην αφήσετε αυτό να σας αποτρέψει από το να πιέσετε χειροκίνητα την ενημέρωση.
Η Apple δημοσίευσε μια σελίδα υποστήριξης εξηγώντας ότι ο μόνος τρόπος για να μετριάσετε πλήρως το ελάττωμα είναι να απενεργοποιήσετε το υπερ-νήμα, αλλά ότι με αυτόν τον τρόπο, κινδυνεύετε να μειώσετε την απόδοση του συστήματος κατά ένα εκπληκτικό 40%, σύμφωνα με εσωτερικές δοκιμές. Οι περισσότεροι άνθρωποι δεν θα χρειαστεί να λάβουν τέτοια ακραία μέτρα για την προστασία των υπολογιστών τους, αλλά ορισμένοι χρήστες σε κίνδυνο, όπως οι κυβερνητικοί υπάλληλοι και τα στελέχη των επιχειρήσεων, μπορεί να θέλουν να λάβουν την προφύλαξη. Εάν ανήκετε σε αυτές τις ομάδες ή θέλετε επιπλέον σιγουριά, διαβάστε τον οδηγό μας σχετικά με τον τρόπο απενεργοποίησης του υπερ-νήματος στο macOS (για Mojave, High Sierra και Sierra).
Συμπέρασμα
Δυστυχώς, οι ερευνητές πιστεύουν ότι τα τρωτά σημεία που σχετίζονται με την κερδοσκοπική εκτέλεση θα συνεχίσουν να εμφανίζονται στο μέλλον. Μπορούμε μόνο να διασταυρώσουμε ότι αυτές οι ατέλειες επιδιορθώνονται γρήγορα, αλλά μόλις γίνουν, εναπόκειται σε εσάς να βεβαιωθείτε ότι όλες οι συσκευές σας έχουν ενημερωθεί στις πιο πρόσφατες, πιο ασφαλείς εκδόσεις.
- Meltdown and Spectre: Πώς να προστατέψετε τον υπολογιστή, το Mac και το τηλέφωνό σας
- Τι είναι το TPM; Πώς μπορεί αυτό το τσιπ να προστατεύσει τα δεδομένα σας
- 9 Συμβουλές για να παραμείνετε ασφαλείς στο δημόσιο Wi-Fi