20313
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
А вот подъехал ответ от Apple по поводу Meltdown/Spectre: https://support.apple.com/en-us/HT208394
iOS 11.2, macOS 10.13.2 и tvOS 11.2 включают в себя фиксы против Meltdown, Apple Watch этой уязвимостью не затронуты (АПД — все четыре операционные системы затронуты уязвимостью Spectre). Через несколько дней выйдет апдейт для Safari, чтобы защититься против Spectre. Ведется дополнительная разработка для улучшения защиты против этих уязвимостей.
Microsoft выпустила обновления для устройств Surface, защищающее от уязвимостей Meltdown/Spectre
https://support.microsoft.com/en-us/help/4073065/surface-guidance-for-customers-and-partners-protect-your-devices-again
а вот и Google подтверждает, что новые патчи, которые были сегодня выкачены на инфраструктуру, имеют минимальный эффект на производительность
https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
Ссылки от читателя:
https://www.youtube.com/watch?v=6bCdFmehMSY&feature=youtu.be
https://www.youtube.com/watch?v=yPZmiRi_c-o
эпичный проброс данных между виртуалками AWS
После апдейтов Azure, которые должны были исправить проблему Meltdown, некоторые пользователи сообщают о проблемах с виртуальными машинами https://www.theregister.co.uk/2018/01/04/azure_vms_down_following_meltdown_patch/
Читать полностью…
Так, парочка советов по поводу Meltdown/Spectre.
Рекламные движки на сайтах часто используют JavaScript, и уже есть proof of concept для Spectre на базе JS, позволяющий из браузера получать данные. Если пользуетесь браузером Chrome, то лучше включить Site Isolation (http://www.chromium.org/Home/chromium-security/site-isolation), или же установить adblocker, если вы до этого момента это не сделали. https://www.chromium.org/Home/chromium-security/ssca
в Firefox разработчики пока что сделали все за вас https://blog.mozilla.org/security/
про Сафари пока непонятно, но апдейт 10.13.2 вроде как включает в себя фикс Meltdown, а вот про Spectre непонятно. Список фиксов безопасности в 10.13.2 включает в себя уязвимости, обнаруженные экспертами Google Project Zero, но CVE номера уязвимостей не совпадают, поэтому точно сказать сложно (хотя они и относятся к ядру и говорят о доступе к защищенной памяти). https://support.apple.com/en-us/HT208331
Ждем официального ответа Apple
бум! https://twitter.com/mlqxyz/status/948887352226799617/photo/1
Читать полностью…
Хороший FAQ на русском про Meltdown/Spectre https://tjournal.ru/64579-faq-po-chipokalipsisu-chto-izvestno-o-masshtabnoy-uyazvimosti-processorov
Читать полностью…
https://developer.arm.com/support/security-update
Читать полностью…
апдейт для WIndows 10 https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892
Читать полностью…
ключевое отличие между Meltdown и Spectre:
Meltdown breaks the mechanism that keeps applications from accessing arbitrary system memory. Consequently, applications can access system memory. Spectre tricks other applications into accessing arbitrary locations in their memory. Both attacks use side channels to obtain the information from the accessed memory location.
когда амазон накатил на AWS апдейты, патчащие Meltdown, угадайте, что произошло? клиенты начали жаловаться на существенное снижение производительности https://forums.aws.amazon.com/thread.jspa?threadID=269858
Читать полностью…
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
Читать полностью…
Короче, появилась официальная информация, и там все ОЧЕНЬ-ОЧЕНЬ плохо. Проблем 2. Первая называется Meltdown, и относится к процессорам Intel. Это как раз о том самом доступе к защищенной памяти. Очень легко эксплуатируется, так что на какое-то время будет проблемой, пока все не проапдейтятся. Лечится обновлением операционных систем.
https://meltdownattack.com/meltdown.pdf
Вторая называется Spectre, относится ко ВСЕМ процессорам, включая Intel, AMD, ARM. Используя спекулятивное исполнение какого-нибудь приложения (которое обычно бы так не исполнялось), уязвимость позволяет обеспечить утечку данных жертвы. Для нее патча вроде как пока что нет. Пишут, что эксплуатировать эту проблему сложнее.
https://spectreattack.com/spectre.pdf
https://meltdownattack.com
Тут полезная секция вопросов и ответов
https://meltdownattack.com/#faq
А вот ответ ARM. Тут хуже — они говорят, что их процессоры могут быть затронуты этой уязвимостью
Читать полностью…
https://twitter.com/aprilmpls/status/949053354642235392
Читать полностью…
Подъехали новые стикеры для компьютеров с процессорами Intel
Читать полностью…
Intel тут уже сегодня пишет, что у них существенный прогресс по патчам для Meltdown и Spectre (хотя вчера для Spectre вроде как не было патчей вообще). Глядишь, такими темпами, может, и обойдется, и удастся избежать апокалипсиса, если все, кто надо, апдейты поставят
https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/
отвлечемся немного от истории с процессорами, а то она даже меня уже утомила. если вы еще не опасаетесь, что ваши данные фигурируют в различных государственных базах, то зря. Например, вот в Индии, похоже, утекла база данных ВСЕХ граждан страны — 1,2 млрд (МИЛЛИАРДА) человек. В базе можно найти имя, адрес, почтовый индекс, фото, номер телефона, адрес, и, похоже, скан сетчатки глаза и отпечатки пальцев. Госорганы пока опровергают, но вообще выглядит все плохо (для граждан Индии).
https://www.buzzfeed.com/pranavdixit/indias-national-id-database-with-private-information-of?utm_term=.kwXBB8aq2#.xcn99JnVk
https://lists.vmware.com/pipermail/security-announce/2018/000397.html
Читать полностью…
Обратите внимание на чувака справа. У него в руках -глушилка дронов
Читать полностью…
вот как это работает — перехват пароля, используя Meltdown
https://twitter.com/misc0110/status/948706387491786752/photo/1
https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
The majority of Azure customers should not see a noticeable performance impact with this update. We’ve worked to optimize the CPU and disk I/O path and are not seeing noticeable performance impact after the fix has been applied.
Как минимум, Google уже официально доложилась о патчах. В декабре 2017 года фикс Meltdown и Spectre уехал партнерам, а Nexus и Pixel получат апдейт с фиксом в январе. Также в январе выйдет Chrome 64, который также будет содержать фикс (это покрывает и ChromeOS). И Android, и Chrome будут в будущем получать улушения фиксов.
https://support.google.com/faqs/answer/7622138
We have discovered that CPU data cache timing can be abused to efficiently leak information out of mis-speculated execution, leading to (at worst) arbitrary virtual memory read vulnerabilities across local security boundaries in various contexts.
Variants of this issue are known to affect many modern processors, including certain processors by Intel, AMD and ARM. For a few Intel and AMD CPU models, we have exploits that work against real software. We reported this issue to Intel, AMD and ARM on 2017-06-01
Детали подвезли
https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
огонь! (а также FML) "Testing also showed that an attack running on one virtual machine was able to access the physical memory of the host machine, and through that, gain read-access to the memory of a different virtual machine on the same host."
Читать полностью…
Общие слайды Intel о проблеме в процессорах. Ключевой слайд — 4. Они признают, что метод позволяет получить доступ к защищенной памяти, не обладая соответствующими правами.
https://s21.q4cdn.com/600692695/files/doc_presentations/2018/Side-Channel-Analysis-Security.pdf
Ответ AMD. Если кратко, то "фиг вам, а не уязвимость в AMD"
Читать полностью…