В статье «Что такое Meltdown и Spectre: все об уязвимостях доступным языком» я постарался доходчиво объяснить об обнаруженных в архитектуре процессора «проблемах». Увы, не все из моих читателей поняли смысл вышеуказанного, в связи с чем и была подготовлена данная статья, представленная в своеобразном варианте «вопросы и ответы».
Что такое Meltdown и Spectre?
Друг мой, разъяснять то, о чем написали спецы получше меня я не буду. Вот тебе ссылочки на мелтдаун и спектр. В двух словах: Meltdown дает возможность программе «считать» кэш-память через уязвимость в процессоре, а Spectre из-за бреши в изоляции программ может позволить получить информацию из других программ.
Я прочитал вышеуказанные статьи и не понял о чем там речь
Чувак, зачем ты вообще интересуешься этой темой? Поставь патч, выпей кофе и живи дальше. В крайнем случае сделай шапочку из фольги, выкопай бункер и жди конца света.
Какие CVE присвоены уязвимостям?
Так Meltdown получил CVE-2017-5754, Spectre же в силу различных механизмов присвоено два номера CVE-2017-5753 и CVE-2017-5715.
Кто подвержен Meltdown?
Все процессоры компании Intel из линеек Core, Xeon, Celeron и Pentium на ядрах семейства Core, плюс ARM-чипсеты на ядрах Cortex-A15, Cortex-A57, Cortex-A72 и Cortex-A75. Тем самым, проблема затронула не только компьютеры, но и мобильные устройства. Владельцы машин на базе Intel Itanium и старых Atom, выпущенных до 2013 года, и AMD могут спать спокойно. Их данная проблема не касается. Слышу, как взорвалось ЧСВ у «амдэшников» и открылась очередная бутылка шампанского в офисе компании AMD.
Кто подвержен Spectre?
Тут список жертв более обширен – все интеловские процессоры, процессоры на базе ARM-ядер (Snapdragon, Mediatek). Что касается AMD, то вопрос спорный, однако пока никому не удалось доказать уязвимость данных чипсетов перед «призраком».
В чем разница Meltdown и Spectre?
Первый юзает ошибку в процессоре, при которой в процессе спекулятивного выполнения инструкций «камнем» игнорируются права доступа к памяти. В Spectre же из-за особенности работы алгоритмов предсказания ветвлений и переходов имеется возможность влиять на спекулятивное исполнения инструкций в другом процессе.
Что делать, если я сетевой параноик?
Ну, что сказать, лечиться надо, бро. Как вариант использовать два компьютера – один локально, без подключения к сети, другой – с установленной заплаткой и подключенным интернетом. Безопасно, дорого и бесполезно!
