Η ευπάθεια ασφαλείας Meltdown και Specter σε επεξεργαστές Intel, AMD, ARM επηρεάζει τους περισσότερους υπολογιστές και τηλέφωνα

Meltdown-and-Spectre

Ενώ είναι γνωστό ότι τα τσιπ της Intel αντιμετωπίζουν ένα σφάλμα που επηρεάζεται από σοβαρό πρόβλημα διαρροής μνήμης του πυρήνα στους σύγχρονους υπολογιστές, συμπεριλαμβανομένων των Windows, Linux και macOS, το ακριβές πρόβλημα και η εξήγηση αυτού του σφάλματος παρέμεινε μυστήριο. Τα Windows και το Linux έχουν ήδη αρχίσει να σπρώχνουν τις ενημερώσεις που θα διορθώσουν το πρόβλημα και τώρα έχουμε την ευπάθεια ασφαλείας “Meltdown” και “Specter”.

Το Meltdown ανακαλύφθηκε ανεξάρτητα από τρεις ομάδες. Ερευνητές από το Τεχνικό Πανεπιστήμιο του Γκρατς στην Αυστρία, τη γερμανική εταιρεία ασφάλειας Cerberus Security και το Project Zero της Google. Από την άλλη πλευρά, το «Specter» βρέθηκε από το Project Zero και τον ανεξάρτητο ερευνητή Paul Kocher.

Αυτά τα σφάλματα επιτρέπουν στα προγράμματα να κλέβουν τα δεδομένα που επεξεργάζονται αυτήν τη στιγμή στον υπολογιστή. Επειδή τα προγράμματα δεν επιτρέπεται να διαβάζουν δεδομένα από άλλα προγράμματα, οποιοδήποτε κακόβουλο λογισμικό ή πρόγραμμα μπορεί να εκμεταλλευτεί το Meltdown και το Specter για να αποκτήσει πρόσβαση σε κωδικούς πρόσβασης, δεδομένα προγράμματος περιήγησης, προσωπικές φωτογραφίες, μηνύματα ηλεκτρονικού ταχυδρομείου, άμεσα μηνύματα κ.λπ. . Αυτά τα σφάλματα μπορούν να λειτουργούν σε προσωπικούς υπολογιστές, κινητές συσκευές και μπορούν ακόμη και να κλέβουν δεδομένα απο το cloud.

Η επίθεση «Meltdown» επιτρέπει σε ένα πρόγραμμα να έχει πρόσβαση στη μνήμη και να αποκτά πρόσβαση σε δεδομένα. Από την άλλη πλευρά, το Specter επιτρέπει σε έναν εισβολέα να ξεγελάσει προγράμματα χωρίς σφάλματα, τα οποία είναι οι βέλτιστες πρακτικές για τη διαρροή ευαίσθητων πληροφοριών. Οι ερευνητές του Project Zero της Google σε μια δημοσίευση τους στο blog ανέφεραν ότι η εκτέλεση είναι “δύσκολη και περιορισμένη” στην πλειοψηφία των συσκευών Android και η εταιρεία έχει ήδη διαθέσει πρόσθετη προστασία στην ενημερωμένη έκδοση ασφαλείας του Ιανουαρίου. Αν και η Apple δεν σχολίασε δημόσια, ο ερευνητής ασφάλειας Alex Ionescu λέει ότι η ενημέρωση macOS 10.13.2 θα αντιμετωπίσει το ζήτημα.