Критичният процесорен бъг засяга и продукти на други производители

След появата на информацията за наличие на критична уязвимост в процесорите на Intel от последното десетилетие, който може да позволи на зловреден код да прочете различни данни от защитената памет на ядрото, Intel публикува отговор, в който посочва, че този бъг не е уникален за нейните продукти, а засяга и процесорите на други производители. Това се потвърждава и от експериментите на Google Project Zero, които през миналата година първи откриха въпросната уязвимост.

Тя е свързана с техниката за спекулативно изпълнение, която се ползва от повечето процесори за оптимизиране на производителността. Опитите на Google показват, че атаките могат да се извършат с различна степен на успех и срещу чипове на AMD и ARM. В съобщението си Intel посочва, че тези намеси не могат да повредят, променят или изтрият данни. Компанията вече работи с много технологични компании, включително AMD, ARM и производители на операционни системи, за създаването на единен подход за разрешаване на неприятния бъг.

Intel вече осигурява необходимите ъпдейти на софтуера и фърмуера за овладяване на ситуацията. Компанията посочва, че противно на някои публикации ефектите върху производителността зависят от конкретната задача и за обикновения потребител промяната ще бъде незначителна, а освен това ще се смекчи с времето. Intel разкрива, че е имала има споразумение с останалите компании да разкрие повече подробности през следващата седмица, когато бъдат пуснати повечето софтуерни ъпдейти, а сегашния коментар е в отговор на появилите се неточни медийни публикации.

Междувременно свои позиции публикуваха още AMD, ARM и Google. AMD твърди, че нейните процесори са податливи само на една от атаките и уязвимостта вече е отстранена със софтуерни ъпдейти при минимална загуба на производителност. Според компанията експериментите са проведени в контролирана среда от опитен екип, който е имал достъп до поверителна информация за използваните процесори и досега подобни атаки не са наблюдавани в ежедневието.

ARM също е наясно с възможността за използване на спекулативното изпълнение за достъп до чувствителна информация в Cortex-A и вече е разработила различни софтуерни поправки. Повече детайли за тях може могат да се намерят тук. Google също разкрива подробности за статуса на различните си продукти. Компанията посочва, че при Android атаките са трудни и ограничени в повечето устройства с платформата. Необходимите поправки са били изпратени към партньорите на Google още през декември и те са включени в януарския ъпдейт на сигурността.

Бъдещите ъпдейти на Android ще включват и допълнителните поправки, които на практика са част от Linux. Кога потребителите ще получат софтуерните промени? Тъй като става дума за Android е трудно да се даде еднозначен отговор на този въпрос. Ако имате устройство на Google (Nexus 5X, Nexus 6P, Pixel C, Pixel/XL и Pixel 2/XL) или на друг производител ще трябва да инсталирате януарското обновяване на сигурността. Google обикновено го разпространява бързо към своите продукти, но това не може да се каже за повечето от останалите партньори и най-вероятно милиони устройства с Android ще останат уязвими.

Източник: Intel, Google Project Zero, Google, AMD