Meltdown i Spectre – co to jest, o ile wolniejsze będą nasze komputery i czy należy się obawiać?
O Meltdown i Spectre jest głośno w ostatnich dniach – nie bez powodu. Ten zbiór luk w zabezpieczeniach procesorów pozwala na odczyt informacji, do których żaden kod nie powinien mieć dostępu. Dotyczą one też praktycznie wszystkich procesorów na rynku: Intela, AMD, ARM i więcej.
W skrócie, Meltdown i Spectre dają programom dostęp do pamięci, czyli do danych, do których nie powinny mieć dostępu. Działają na różnych zasadach – szczegóły techniczne znajdziecie tutaj – a problem w mniejszym lub większym stopniu dotyczy zdecydowaną większość procesorów w obecnych komputerach, osobistych czy w tzw. chmurze, np. AWS i podobne usługi.
Czy mam się przejmować?
„Zwykły użytkownik” nie powinien z tego powodu panikować, ale warto zadbać o to, żeby wszystkie dostępne łatki były zainstalowane, niezależnie od systemu operacyjnego czy producenta komputera. Zarówno Spectre jak i Meltdown wymagają możliwości uruchomieniu kodu bezpośrednio na atakowanym komputerze, więc jeśli zadbacie o to, żeby nie pobierać i instalować oprogramowania z nieznanych źródeł, to powinniście być bezpieczni.
Niestety, atak można przeprowadzić za pomocą JavaScriptu, czyli za pomocą przeglądarki internetowej. Łatki dla nich już zaczęły się pojawiać – więcej szczegółów poniżej.
Ale co mogą mi ukraść?
Na przykład hasła, ale to tylko jeden przykład, obrazujący jak potencjalnie niebezpieczne są te luki. Generalnie są to ataki read-only, czyli odczytujące informacje z pamięci.
Słyszałem, że łatki spowolnią mi komputer o 63%!
Problem istnieje w procesorach od około 20 lat, a ich wymiana na wolne od wad nie jest technicznie możliwa, chociażby dlatego, że wiązałoby się to w wielu sytuacjach z wymianą komputera. Zostają więc łatki programowe, za pomocą których lepiej oddzielana jest przestrzeń przeznaczona dla programów użytkownika od kerneli systemów operacyjnych. Teoretycznie może to znacząco spowalniać pracę komputera, zależnie od pracy jaką wykonuje i jego obciążenia.
Nie spodziewajcie się aż takich strat wydajności.
Apple
Firma z Cupertino opublikowała dokument, z którego wynika, że każdy Mac i wszystkie urządzenia z iOS, poza Apple Watchem, są dotknięte przez Meltdown i Spectre. Apple twierdzi też, że obecnie „nie ma znanych exploitów dla naszych klientów” – to niebezpieczne twierdzenie, bo powinniśmy się bać właśnie tych nieznanych. W międzyczasie jednak firma wprowadziła łatki dla swoich OS. Zabezpieczone są:
- iOS 11.2 i nowsze
- macOS 10.13.2 High Sierra i nowsze
- tvOS 10.2 i nowsze
W najbliższych dniach ma też pojawić się łatka dla Safari.
Z ich wstępnych testów wynika, że wpływ łatek dla Meltdown nie są policzalne w takich benchmarkach jak Geekbench 4, Speedometer, JetStream czy ARES-6.
Łatka dla Safari, które ma się pojawić, nie ma policzalnego wpływu dla Speedometer i ARES-6, a spadek wydajności dla JetStream wynosi 2,5%.
Microsoft
Pojawiła się seria łatek dla urządzenia z rodziny Surface – Microsoft opublikował wszelkie informacje na ten temat tutaj. Łatki są lub będą dostępne w najbliższym czasie, ponieważ nie wypuszczają ich jednocześnie dla wszystkich klientów.
Sprawdźcie przy okazji Windows Update na swoim PC i upewnijcie się, że KB4056892 jest zainstalowany.
Microsoft opublikował też już łatki dla Internet Explorera i Edge’a – instalujcie je.
Firma twierdzi, że ich metoda Retpoline ma znikomy negatywny wpływ na wydajność. To będzie miało szczególne znacznie dla Google Cloud.
Łatka dla Chrome (wersja 64) będzie dostępna od 23 stycznia.
Mozilla
Firefox 57 jest już załatany, więc powinniście wykonać update ASAP.
Ten artykuł będzie uaktualniany wraz z pojawianiem się nowych informacji.
Komentarze: 7
Hmm… czyli AppleTV 2 oraz iPada 3 mam wyrzucić do kosza?
To jest paranoja co oni odstawiają. Wszyscy, choć MS po tym jak wypuścił łatę dla win10 zapowiedział patcha dla 7-8.
A Apple? Nie masz 11 to pa, pa? Noe masz HS to jw? Z ATV to samo?! Powinni nie tylko zrobić patche dla Sierry, Yose i Mav jak najszybciej, ale wyraźnie to zaznaczyć w komunikatach dla klientów. Tylko połowa użytkowanych handheldów @iOS ma 11, spora część jedzie na 10-ce… przecież to powinno być na wczoraj! Z ATV pewnie będzie w grudniu popołudnu o ile w ogóle…
Ja właśnie od dawien dawna siedzę na El Capitanie bo dla mnie Sierra i High Sierra nie przyniosły nic nowego a tylko komp mi zaczął nieznacznie gorzej chodzić. Póki co nigdzie nawet słowa o łatkach dla Sierry czy El Capitana o starszych nie mówiąc. Apple niestety w moich oczach traci i to bardzo od kilku lat. Jeśli nie wypuszczą odpowiednich łatek na starsze systemy to będzie ich strzał w kolano.
Tak jeszcze jako ciekawostka to ostatnia łatka bezp. z grudnia poprawia pewne kwestie z możliwością odczytu z jądra informacji. Ale chyba nie jest to łatka ostateczna skoro Apple mówi że bład naprawiono w macOS 10.13.2 High Sierra i nowszych.
https://support.apple.com/pl-pl/HT208331
Z tego, co wiadomo do tej pory AMD jest bezpieczne. Jedyne ataki, które udały się do tej pory przeprowadzić nie działają na domyślnej konfiguracji. Jeżeli ktoś nie grzebał w ustawieniach procesora (Google pisze dokładnie o włączeniu ustawień kompilatora eBPF JIT), to nie powinien się raczej niczego obawiać. PÓKI CO ;).
To teraz już muszę zaktualizować komputer? I telefon też już muszę zmienić? Super‼️ Klaszczę tyłkiem z zachwytu 😕… Za dni parę okaże się czy wszystkie topowe procki ARM są podatne na atak i ile zwalniają po łatce programowej. A co mam zrobić ze starym MBP? Nie używać tam haseł? Wyrzucić na śmietnik?
Ciekawe ile agencji właśnie przeszukało dane swoich przeciwników, albo od jak dawna to robią. Jedna wielka tragedia 😟.
Ten filmik YT to fake co już od dawna opisano na forach IT ale trzeba autorowi przyznać, że miał pomysł jak nabić mnóstwo odsłon