По сообщениям от компаний Microsoft и Google обнаружен четвертый вариант нашумевших уязвимостей Meltdown-Spectre. Уязвимость может быть проэксплуатирована либо с помощью вредоносного ПО, запущенного на уязвимом компьютере, либо авторизованным в системе злоумышленником для медленного извлечения конфиденциальных данных из защищенной памяти ядра или приложения.
Обнаруженные ранее уязвимости в современных процессорах известны как Spectre v1 (CVE-2017-5753), Spectre v2 (CVE-2017-5715) и Meltdown (CVE-2017-5754). Теперь же исследователи Microsoft и Google сообщили о четвертой уязвимости (CVE-2018-3639), затрагивающей все современные процессоры – Intel, AMD, Arm (используются в смартфонах, планшетах и встраиваемых устройствах по всему миру), а также Power 8, Power 9 и System z от IBM.
Новая уязвимость потенциально может быть проэксплуатирована с помощью запущенного внутри приложения скрипта (например, JavaScript на web-странице во вкладке браузера) для получения конфиденциальных данных из других областей приложения (например, персональной информации с web-страницы в другой вкладке браузера).
Согласно информации от компании Intel, исправляющее Spectre v1 обновление существенно усложняет осуществление атаки с эксплуатацией новой уязвимости. В настоящее время доступных эксплойтов для нее не существует.
Предотвратить атаки с использованием указанных уязвимостей помогут программные обновления, выпускаемые производителями программного обеспечения и аппаратных средств (в т.ч. обновления микрокода для BIOS компьютеров).
Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют сетевым администраторам отслеживать выпуск новых патчей от производителей и оперативно устанавливать актуальные обновления безопасности.