Вчера в сети появилась информация о наличии серьёзной архитектурной проблемы во всех современных процессорах Intel, что ставит под угрозу конфиденциальность пользователей. Немного позднее стало известно, что существует два уязвимостей, одна из которых также затрагивает процессоры AMD и ARM. К текущему моменту производители операционных систем уже подготовили соответствующие исправления и отправляют их пользователям.
Компания AMD на своём сайте опубликовала подробную информацию о том, какие из обнаруженных уязвимостей могут быть применены к их процессорам. Итак, эксперты Google Project Zero выделяют два вида атак: Meltdown (вариант 3) и Spectre (вариант 1 и 2). По словам представителей компании AMD, вероятность использования атаки Meltdown (Rogue Data Cache Load) полностью исключена, благодаря архитектурным решениям кристаллов.
А вот с уязвимостью Spectre не всё так однозначно. Сообщается, что вероятность использования варианта 2 (Branch Target Injection) стремится к нулю. Исследователям не удалось воспользоваться ей. Что же касается уязвимости варианта 1 (Bounds Check Bypass), то процессоры AMD действительно подвержены ей. Но, как уверяет производитель, необходимые исправления уже выпущены производителями программного обеспечения и практически не влияют на производительность системы.
В компании также напоминают, что это потенциальная проблема безопасности затрагивает все современные процессоры и связана со спекулятивным исполнением команд. При этом важно знать две вещи:
- Описанные проблемы были выявлены в специальной контролируемой лабораторной среде высококвалифицированной командой, которая имеет доступ к непубличной информации об атаках на процессоры.
- Описанные угрозы ни разу не были зафиксированы за пределами лабораторной среды.
После получения информации об обнаружении новой атаки на процессоры на основе спекулятивного выполнения команд, сотрудники AMD сразу же приступили к решению указанной проблемы во всей экосистеме. В компании также отмечают, что решение проблем безопасности является не самой простой задачей, но совместные усилия и обмен информацией представляют собой самую сильную защиту от появляющихся угроз. Пример с обнаружением данных уязвимостей показал, насколько эффективным может быть сотрудничество в отрасли.