«Чипокалипсис» продолжается: Intel рассказала о новой уязвимости
Logo
Cover

Intel при содействии Microsoft обнаружила очередную уязвимость в системе спекулятивного исполнения команд — подобную Spectre и Meltdown, которые давали доступ к данным и файлам. В январе поспешно выпущенные патчи заставляли компьютеры перезагружаться или выключаться. Теперь Intel выпустила обновление лишь для партнеров, уверяя, что обычные пользователи «частично защищены».

О новой уязвимости в общих чертах на сайте Intel рассказала исполнительный вице-президент и глава отдела безопасности компании Лесли Калбертсон. По ее словам, уязвимость обнаружили совместно специалисты двух команд — Google Project Zero и Microsoft Security Response Center. На сайте Intel в бюллетене безопасности уязвимость именуется Speculative Store Bypass (SSB), или Variant 4. Так же, как и январские прорехи, новая использует нюансы спекулятивного исполнения команд и доступа к данным в кэше процессоров, которые могут получить сторонние приложения.

В отчетах Google Project Zero уязвимость описали еще в феврале нынешнего года. Калбертсон заявила, что ей не известны случаи реального использования Variant 4. Кроме того, она отметила, что наиболее прямолинейный способ запуска вредного кода — через браузеры, и этот путь перекрыт зимними обновлениями Safari, Edge и Chrome.

Однако для полноценной защиты Intel готовит патчи для процессоров. Сейчас бета-версию распространили среди партнеров компании. Отмечается, что после применения патча производительность системы снижается на 2-8% в зависимости от конфигурации.

Калбертсон добавляет, что работа по выявлению багов будет проложена: «Разумеется, мы уверены в том, что способны ограничить воздействие будущих угроз для продуктов Intel».

Уязвимость также кратко упомянута на сайте другого производителя процессоров — AMD. Там нет информации о том, насколько «заплатка» замедляет процессоры этой компании.

На сайте US CERT опубликована подборка ссылок на сайты производителей компьютерных компонентов и ИТ-компаний, которые затронуты или могут быть затронуты этой уязвимостью.

О глобальной уязвимости в современных процессорах общественность оповестили в начале января. Эксплуатирующий систему спекулятивного исполнения команд дефект, который окрестили «чипакалипсисом», затрагивает практически все процессоры Intel, а также системы на базе AMD и ARM.