Processzorok sérülékenységei

A modern mikroprocesszorok spekulatív végrehajtás algoritmusának hardveres implementációját érintően sérülékenységek (Meltdown és Spectre) váltak ismertté, melyeket kihasználva egy felhasználó ún. mellékcsatornás támadásokat (side channel attacks) hajthat végre és jogosulatlanul érzékeny adatokhoz férhet hozzá.

Az eddig rendelkezésre álló információk szerint a biztonsági rések befoltozására megkerülő megoldás nem ismert, a szoftveres javítások pedig nem nyújtanak száz százalékos védelmet, ugyanakkor ezek telepítése szükséges. Mind a hardware, mind a különböző operációs rendszer gyártók folyamatosan jelentetik meg a biztonsági frissítéseket, melyekről friss információkat weboldalunkon találhatnak.

Az US-CERT figyelmeztető jelzést adott ki, melyben megtalálható egy összefoglaló táblázat különböző, a sérülékenységben érintett gyártók, valamint közvetve érintett felhő szolgáltatók, az esettel kapcsolatban tett közleményeiről, köztük javítási információkról.

A Microsoft a 2018.01.09-én esedékes havi biztonsági frissítése előtt, soron kívül az alábbi termékekhez már adott ki javítást [1,2], amelyek automatikus frissítésen keresztül elérhetőek:

Windows 10, Windows 8.1, Windows 7 SP1, Windows Server, version 1709 (Server Core Installation), Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2

A frissítések telepítésével kapcsolatban azonban a Microsoft felhívja a figyelmet arra, hogy a javítások egyes antivírus (AV) szoftverekkel inkompatibilitási problémákat okozhatnak, ami a frissítés telepítése után a rendszer újraindulásakor annak kifagyását eredményezi.

A probléma elkerülése érdekében a Windows Update csak abban az esetben engedi telepíteni a hibajavítást, amennyiben az adott rendszeren megtalálható egy registry bejegyzés, amely az AV szoftver kompatibilitását jelzi, ellenkező esetben meg sem jelenik a frissítési opció. A népszerű AV termékek kompatibilitásáról a gyártók weboldalán vagy egy folyamatosan frissülő táblázatban találhat információt.

Microsoft közzétett egy PowerShell szkriptet, amivel felhasználók maguk is ellenőrizhetik, hogy a hibajavítás engedélyezett-e számukra: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

2018. január 9-én a Microsoft átmenetileg felfüggesztette a Windows operációs rendszer legújabb biztonsági frissítéseit az AMD processzoros eszközökre, mivel a frissítést követően azok működésképtelenné válhatnak.

Továbbá a sérülékenység kiküszöbölésének mellékhatása, hogy a processzor teljesítménye visszaesik - ami függ attól, hogy milyen típusú a futtatott számítási feladat - 5% és 30% között is lehet.

A Microsoft által közzétett információk szerint a teljesítménycsökkenésben legkevésbé a Skylake, Kabylake - vagy ezeknél újabb - mikroarchitektúrájú PC-ken futó Windows 10 rendszerek érintettek, ennél régebbiek esetében azonban szignifikáns a teljesítmény romlás.

Frissítés:

  • Az Apple is kiadott javítást (de csak a Meltdown-ra), mely a iOS 11.2, macOS 10.13.2 és a tvOS 11.2 verziókban érhető el. Az Apple Watch-ot nem érinti a hiba.
  • A Google is adott ki javításokat az Androidhoz, a következő támogatott eszközeihez: Nexus 5X, Nexus 6P, Pixel C, Pixel/XL, and Pixel 2/XL. A Chrome-hoz majd csak január 23-án lesz frissítés.
  • A Linux x86-os kernelhez is adtak ki javításokat (szintén csak a Meltdown-ra), amely a 4.4.110, 4.9.75 és a 4.14.12-es verziókban érhető el. 
  • Az Intel folyamatosan ad ki javításokat a processzoraihoz. Azt ígérik, hogy január első hetének végére az elmúlt 5 évben kiadott processzorok 90%-ához adnak ki javítást.

Frissítés (2018.01.09.):

Az Apple javítást adott ki a Spectre sérülékenységre, amely az iOS 11.2.2, macOS 10.13.2 és a Safari 11.0.2 verziókban érhető el.

Frissítés (2018.01.11.):

Az Ubuntu Xenial 16.04-et használók is bootolási problémákat tapasztalnak a 4.4.0-108-as verziójú kernel kapcsán, amely egy - többek között a Meltdown sérülékenység miatt kiadott - biztonsági frissítés részeként vált elérhetővé. 

Időközben a 4.4.0-109-es verzió is elérhetővé vált

Frissítés (2018.01.12.):

Az Intel CPU mikrokódokat jelentetett meg Linux operációs rendszerekhez a Spectre/Meltdown sérülékenységek megkerülő megoldásaként. A mikrokódok 40 különböző Linux disztribúción alkalmazhatók, mintegy  2 371 Intel processzort érintően.

Hivatkozások:  

Gyártói referencia:https://support.apple.com/en-us/HT208394
Gyártói referencia:https://support.microsoft.com/en-us/help...
Gyártói referencia:https://support.microsoft.com/en-us/help...
Gyártói referencia:https://support.apple.com/en-us/HT208394
Gyártói referencia:https://support.google.com/faqs/answer/7...
Gyártói referencia:https://newsroom.intel.com/news-releases...
Gyártói referencia:https://cloudblogs.microsoft.com/microso...
Gyártói referencia:https://downloadcenter.intel.com/downloa...
Egyéb referencia:https://www.bleepingcomputer.com/news/se...
Egyéb referencia:https://www.bleepingcomputer.com/news/ap...
Egyéb referencia:https://www.bleepingcomputer.com/news/ap...
Egyéb referencia:https://meltdownattack.com/
Gyártói referencia:https://git.kernel.org/pub/scm/linux/ker...
Egyéb referencia:https://www.bleepingcomputer.com/news/mi...
Egyéb referencia:https://www.kb.cert.org/vuls/id/584653
Egyéb referencia:https://portal.msrc.microsoft.com/en-US/...
Egyéb referencia:https://www.us-cert.gov/ncas/alerts/TA18...
Egyéb referencia:http://kroah.com/log/blog/2018/01/06/mel...
Egyéb referencia:https://www.bleepingcomputer.com/news/so...
Egyéb referencia:https://usn.ubuntu.com/usn/usn-3522-1/
Egyéb referencia:https://usn.ubuntu.com/usn/usn-3522-4/
CVE-2017-5753 - NVD CVE-2017-5753 
CVE-2017-5715 - NVD CVE-2017-5715 
CVE-2017-5754 - NVD CVE-2017-5754