US-CERT: Замяна на CPU е лекът срещу Meltdown

Проблемът с уязвимостта на процесорите не може да се реши със софтуерни кръпки, а със замяна на процесора (CPU), смятат експерти по сигурността от „United States Computer Emergency Readiness Team” (US-CERT). Групата публикува тази седмица съобщение с подобно послание, но впоследствие то бе свалено от сайта й.

Кеширани версии на изявлението и свалени екранни снимки потвърждават препоръката на US-CERT: за справяне с уязвимостите Meltdown и Spectre в чиповете на Intel, AMD и ARM не са достатъчни само софтуерни ъпдейти, а замяна на процесора!

Уязвимостта е причинена от дизайнерско решение за архитектурата на процесора. Пълното й отстраняване изисква замяна на уязвимия CPU хардуер, категорични са специалистите от US-CERT в оригиналното си изявление.

По-късно екипът публикува нов документ, който препоръчва прилагане на софтуерни ъпдейти, а в придружаващата таблица има линкове към официалните пачове на Google, Microsoft, Apple, Mozilla и други разработчици на софтуер. Не е ясно защо US-CERT е променила позицията си по случая.

За да изпълнят злонамерен код локално, атакуващите се нуждаят от валиден акаунт или компрометиране на конкретната машина. Възможни са атаки с използване на JavaScript в уеб браузъра. Под най-голям риск са многопотребителските системи, вкл. виртуализирани и облачни, а най-безрискови са еднопотребителските системи, при които вероятността за локално изпълнение на код е минимална.

Софтуерните компании, вкл. Microsoft, Mozilla и Google, вече обновиха своите продукти, за да предпазят потребителите от JavaScript-базирани атаки. Пуснати са и ъпдейти на фърмуера от повечето компании. Intel уверява, че до края на следващата седмица на около 90% от устройствата ще бъдат инсталирани пачове, които блокират Meltdown и Spectre атаки.

Коментар