Уязвимость Meltdown, получившая идентификатор CVE-2017-5754, может позволить приложению прочесть содержимое любой области памяти компьютера, включая память ядра и остальных пользователей.
Специалисты отмечают, что уязвимость процессоров Intel задевает практически все устройства, выпущенные с 1995 года. Как передает Интерфакс, об этом сообщает CNBC.
Обнаруженная уязвимость может позволить хакерам получить доступ к паролям, ключам шифрования либо секретной информации, открытой в приложениях. В своем оповещении Microsoft подтвердила, что уязвимость существует и на процессорах от AMD и на ARM-чипах. «Умные» часы Apple Watch впрочем не подвержены уязвимости Meltdown. Кроме всех устройств под управлением Windows, Linux и 64-битной macOS, риску подвергаются облачные сервисы, в том числе Amazon EC2, Microsoft Azure и Google Compute Engine.
Как докладывают ученые из команды Google Project Zero, Meltdown дает возможность поднять привилегии на системе и из пространства пользователя прочесть содержимое любой области памяти, в том числе память ядра и чужой памяти в системах паравиртуализации (кроме режима HVM) и контейнерной изоляции. Первая нарушает границу между приложениями и внутренней памятью ОС (и дает доступ к данным в памяти операционной системы), 2-ая нарушает границу между самими приложениями (в итоге один сервис может получить доступ к данным второго).
Исправить обнаруженный дефект в состоянии только создатели операционной системы, а экстренное обновление версии ОС вполне может стать первопричиной понижения производительности устройства сразу до 30%. Но его установка значительно понизит работоспособность компьютера.
Правда, дефект задевает, как правило, чипы, выпущенные за последние 10 лет. При всем этом в Intel выделили, что выявленные ошибки «не могут повредить, поменять либо удалить данные пользователей» — хотя проблема с уязвимостями в первую очередь не в повреждении либо изменении данных, а в их вероятной краже.
Отмечается, что Apple уже частично закрыла уязвимость в обновлении macOS от 6 декабря. Точно также обновление для ОС выпустили и в Linux.
