Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

В начале нынешнего года IT-сообщество всколыхнула новость о двух серьезных уязвимостях Spectre и Meltdown, затрагивающих практически все современные процессоры. С тех пор был выпущен целый ряд обновлений, однако системным администраторам пока еще рано думать об отдыхе.

 

Исследователи обнаружили в процессорах Intel еще восемь уязвимостей. Поскольку все уязвимости связаны с одной и той же ошибкой в архитектуре процессора, они получили общее название Spectre Next Generation (Spectre-NG).

Каждой уязвимости Spectre-NG присвоен свой индикатор CVE и не исключено, что каждая также получит собственное название. Для исправления каждой уязвимости потребуется отдельный патч. По предварительным данным, помимо Intel, проблема также затрагивает работу некоторых процессоров ARM.

В настоящее время Intel работает над обновлениями, а также помогает разработчикам операционных систем подготовить свои патчи. Предположительно, Intel планирует две ветки обновлений. Первые будут выпущены в мае, а вторые – в августе.

Intel характеризует четыре из восьми уязвимостей Spectre-NG как «высокой опасности», а оставшиеся четыре – как «средней опасности». 

Одна из уязвимостей упрощает атаки внутри системы, так как для атак требуется гораздо меньше информации, поэтому Spectre-NG представляет большую угрозу для облачных провайдеров и их клиентов, чем Spectre. Атакующий может запустить компьютерную программу, фрагмент программного кода или последовательность команд на виртуальной машине и атаковать хост оттуда. Также возможно атаковать виртуальные машины других пользователей, запущенных на том же сервере.

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют сетевым администраторам отслеживать выпуск новых патчей и оперативно устанавливать актуальные обновления безопасности.