Уязвимость SPECTRE неустранима (1 фото)

Категория: IT-технологии
19 января 2018
3


Не имею ни малейшего сомнения, что данная информация привлечет меньше внимания, чем подборка картинок для деградации, фото котов, сисек и бомжей в зловонных квартирах. Но возможно малой части адекватных людей на этом сайте будет полезно узнать следующее:

3 января на сайтах была выложена новость о процессорах интел.

Дабы лодку не раскачивали, ей тут же повесили тег "fake", а специально-обученные люди откомментировали в стиле "ясно, пойду посру" и "у меня amd". Никто из читателей не удосужился загуглить о чём идёт речь, так она и ушла из виду с сотней лайков как новость "чеводотам с процессорами интел".

Тем, не менее, речь идёт как минимум о 3х критических уязвимостях, информацию о которых всеми силами пытаются скрыть ещё с лета. А на публику они всплыли лишь в январе и произвели шок в IT-сообществе.

https://meltdownattack.com/

Читаем внимательно теперь: Впервые, за всю историю интернета (человечества и вслененной) опубликована _неустранимая_ критическая кросплатформенная уязвимость, эксплоиты к которой выложены в открытый доступ. В т.ч исполнены на javascript. Уязвимость spectre затрагивает все процессоры, включая AMD.

Что это означает мой наивный друг?

Это означает, что твою машину можно прямо сейчас захватить ПОЛНОСТЬЮ, стянуть все пароли, зашифровать/расшифровать данные и тд и тп. Для этого достаточно просто внести соответствующий код в JS и получить контроль над кешем процессора.

Уязвимость "spectre" (на самом деле их 2 -

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715 )

принципиально неустранима. До выпуска новых процессоров. Это лет эдак через 3-6... От неё нельзя защититься ни работой в вирт. машине ни запуском приложений в песочнице, ни антивирусами, ни заплатками, ни сменой железа/оси... Единственное, что может усложнить заражение - это отключение javascript и посещения только доверенных сайтов. Т.к. исполнение зараженного кода на JS ГАРАНТИРОВАННО приведёт к получению ПОЛНОГО контроля над вашей машиной. Причём не оставляя никаких следов.

Умышленно были сделаны эти закладки в процессорах, в погоне за прибылью или по глупости я не обсуждаю. Факт заключается в том что сплоиты лежат в открытом доступе. Хакерское сообществе в курсе. В IT-сообществе ведётся работа по минимизации последствий и ущерба. Уже сегодня закрытие 1й их 3х уязвимостей (meltdown) обошлось очень дорого.

В общем, мне очень грустно что какая-нибудь обосцавшаяся [оскорбление] у аудитории ЯПа привлечет больше внимания, нежели информация о тотальной уязвимости, имеющей планетарное значение, которой вы все до единого подвержены. Речь и про домашние/рабочие ПК, планшеты, мобилы и вообще всё что подключается к интернету.

Предупреждения:

1) Убегать на лиункс бесполезно.
2) Покупать новое железо бесполезно.
3) Обновлять операционку и антивирус бесполезно.
4) Лезть в инет через вирт.машину бесполезно.
5) Надяться на то, что вы нищий, а потому никому не нужны - бесполезно.
6) Замалчивать тему, в надежде что хакеры её заигнорят и забудут - бесполезно.

Важно! ЛЮБЫЕ патчи для операционных систем предотвращают Meltdown, но не Spectre.

Профилактика заражения:

1) подтяните обновления безопасности, чтобы избавиться хотя бы от уязвимости meltdown. Работа процессора замедлится не сильно. видеопроцессор не будет затронут.
2) обновите браузер
3) поставьте NoScript и разрешите скрипты на исполнение лишь на доверенных сайтах. Исполнение скриптов на подозрительных сайтах чревато моментальной и необратимой потерей контроля над вашим ПК, если не сегодня то через неск-ко месяцев, когда хакеры освоятся с этими сплойтами. Я думаю без внимания они это не оставят, как в своё время не оставили сплойты АНБ, на основании которых создали WannaCry. Который является просто цветочками в сравнении с тем, что может быть создано на базе спектра.
4) Почитайте насколько всё серьёзно и плохо https://habrahabr.ru/post/346026/

https://habrahabr.ru/post/346074/ https://habrahabr.ru/company/ruvds/blog/346350/

PS Уязвимость spectre вас затрагивает с вероятностью 100%, если ваш процессор новее 1995го года. Если у вас до сих пор Pentium MMX или 486й можете расслабиться.

Я предупредил, а вы делайте что хотите. Можете заигнорить, как привыкли игнорить всю важную инфу, требующую умственной нагрузки.
+15
3 комментария
YurPalych_2
20 января 2018
2 099 комментариев
+1
ААААА!!!!! МЫ ВСЕ УМРЁМ!!!!! ЧТО ДЕЛАТЬ?
by_fior
21 января 2018
410 комментариев
+2
если честно - СРАТЬ на это все, я могу сказать лишь одно - ЕСЛИ КОМУ БЫ ТО НИ БЫЛО НУЖНО ВАС ВЗЛОМАТЬ - ВЗЛОМАЮТ, а спектр это даже не сотая доля всех уязвимостей которые вообще существуют, это как не есть сладости - боятся сахарного диабета или порчи зубов...
dr3am3r
dr3am3r
22 января 2018
294 комментария
0
Цитата: by_fior
если честно - СРАТЬ на это все, я могу сказать лишь одно - ЕСЛИ КОМУ БЫ ТО НИ БЫЛО НУЖНО ВАС ВЗЛОМАТЬ - ВЗЛОМАЮТ, а спектр это даже не сотая доля всех уязвимостей которые вообще существуют, это как не есть сладости - боятся сахарного диабета или порчи зубов...

Согласен, волка боятся - в лес не ходить.
Добавьте свой комментарий
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Вам будет интересно:
Регистрация