Xakep #305. Многошаговые SQL-инъекции
Глобальным уязвимостям Meltdown и Spectre подвержены практически все современные и не слишком процессоры и, следовательно, устройства. О проблеме стало известно в первых числах января 2018 года, однако с патчами возникло множество проблем, и нормально работающих исправлений для бага Spectre до сих пор нет для большинства систем.
Напомню, что суммарно в «набор» Meltdown и Spectre входят три CVE: Meltdown (CVE-2017-5754) а также Spectre (Variant 1 — CVE-2017-5753 и Variant 2 — CVE-2017-5715). Если Meltdown и Spectre, Variant 1, в теории можно исправить на уровне ОС, то полное исправление Variant 2 требует также обновления прошивки/BIOS/микрокода, из-за чего и возникают многочисленные накладки.
Ранее уже оказывалось, что выпущенные патчи зачастую несовместимы с антивирусными решениями, вызывают отказ в работе некоторых систем, провоцируют BSOD и частые перезагрузки, а также заметно снижают производительность.
В итоге компания Intel вообще приостановила распространение исправлений для устранения Spectre (Variant 2), призвав пользователей и производителей дождаться нормально работающих версий микрокодов. Согласно официальному заявлению, инженеры компании определили, что именно вызывало сбои в работе и частые перезагрузки на платформах Broadwell и Haswell (хотя проблемы наблюдаются и на других архитектурах, включая Ivy Bridge, Sandy Bridge, Skylake и Kaby Lake), и активно занимаются разработкой и тестированием новых патчей.
После данного заявления Intel с аналогичными предупреждениями выступили и другие компании, включая Red Hat, Dell, Microsoft, HP и Lenovo. Производители оперативно убрали со своих страниц поддержки проблемные обновления BIOS/UEFI, предназначенные для устранения CVE-2017-5715, и тоже призвали пользователей не устанавливать эти патчи и объяснили, как отключить проблемную защиту.
Теперь, спустя более двух недель после приостановки распространения микрокодов, компания Intel сообщила о первых успехах. Разработчики доделали исправленную версию патчей для проблемы Spectre, но пока только для процессоров на архитектуре Skylake. При этом представители компании заверили, что исправления прошли всестороннее тестирование, а инженеры Intel учли все нюансы, то есть повторения январских проблем ожидать не следует.
На этот раз патчи не опубликованы в широком доступе, они были переданы компаниям-производителям и партнерам Intel, которые, в свою очередь, должны донести обновления до конечных пользователей.
Пользователям процессоров на других архитектурах придется набраться терпения, так как компания сообщает, что тестирование этих «заплаток» еще не завершено и не называет никаких конкретных сроков.