Kaspersky Lab: Πώς αποκτά πρόσβαση ο «εισβολέας» από τα κενά ασφαλείας
Θα χρειαστεί χρόνος για τους επιτιθέμενους να καταλάβουν πώς να εκμεταλλευτούν τις ευπάθειες - παρέχοντας ένα μικρό αλλά κρίσιμο παράθυρο για προστασία
Για τα κενά ασφαλείας σε επεξεργαστές ενημερώνει η εταιρεία παραγωγής λογισμικών ασφαλείας Kaspersky Lab η οποία αναφέρει, σε ανακοίνωση της, ότι «τα δύο σοβαρά κενά ασφάλειας στους επεξεργαστές (τσιπάκια) της Intel, θα μπορούσαν να επιτρέψουν στους επιτιθέμενους να εκμεταλλευτούν ευαίσθητες πληροφορίες από εφαρμογές αποκτώντας πρόσβαση στη μνήμη πυρήνα (core memory). Η πρώτη ευπάθεια, το Meltdown, μπορεί να απομακρύνει αποτελεσματικά το εμπόδιο μεταξύ των εφαρμογών χρηστών και των ευαίσθητων τμημάτων του λειτουργικού συστήματος. Η δεύτερη ευπάθεια, το Specter, που βρέθηκε επίσης στα τσιπάκια των AMD και ARM, μπορεί να «ξεγελάσει» τις ευάλωτες εφαρμογές ώστε να διαρρέουν τα περιεχόμενα της μνήμης τους.
Οι εφαρμογές που είναι εγκατεστημένες σε μια συσκευή γενικά «τρέχουν» σε «λειτουργία χρήστη», μακριά από τα πιο ευαίσθητα τμήματα του λειτουργικού συστήματος. Αν μια εφαρμογή χρειάζεται πρόσβαση σε μια ευαίσθητη περιοχή, για παράδειγμα στον υποκείμενο δίσκο, το δίκτυο ή τη μονάδα επεξεργασίας πρέπει να ζητήσει άδεια χρήσης της «προστατευμένης λειτουργίας». Στην περίπτωση του Meltdown, ο εισβολέας θα μπορούσε να αποκτήσει πρόσβαση στην προστατευμένη λειτουργία και στη μνήμη πυρήνα χωρίς να χρειάζεται άδεια, αφαιρώντας αποτελεσματικά το εμπόδιο, επιτρέποντάς του να κλέψει δεδομένα από τη μνήμη των εφαρμογών που εκτελούνται, όπως δεδομένα από διαχειριστές κωδικών πρόσβασης, προγράμματα περιήγησης, ηλεκτρονικά ταχυδρομεία και φωτογραφίες και έγγραφα.
Δεδομένου ότι πρόκειται για hardware bugs, η επιδιόρθωση τους είναι σημαντική δουλειά. Τα patches για το Meltdown έχουν εκδοθεί για λογισμικά Linux, Windows και OS X και έχουν ξεκινήσει εργασίες για την ενίσχυση του λογισμικού κατά μελλοντικής εκμετάλλευσης του Spectre. Η Google δημοσίευσε περαιτέρω πληροφορίες εδώ. Είναι ζωτικής σημασίας να εγκαθιστούν οι χρήστες τα διαθέσιμα patches χωρίς καθυστέρηση. Θα χρειαστεί χρόνος για τους επιτιθέμενους να καταλάβουν πώς να εκμεταλλευτούν τις ευπάθειες - παρέχοντας ένα μικρό αλλά κρίσιμο παράθυρο για προστασία».
ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ
Με αρνητικό πρόσημο 9% το 2023 η παγκόσμια αγορά ημιαγωγών
Η Apple θέλει το Gemini για τα iPhone - Σε εξέλιξη οι διαπραγματεύσεις με την Alphabet
ΕΕ: Πρώτη στον κόσμο προχωρά σε ρυθμιστικό πλαίσιο για την Τεχνητή Νοημοσύνη
Ρώσοι χάκερ παραβίασαν βασικά συστήματα της Microsoft
Επεσαν Facebook και Instagram σε όλο τον κόσμο - Χιλιάδες αναφορές για διακοπή
Apple: Πρόστιμο «μαμούθ» 1,8 δισ. ευρώ από την Ευρωπαϊκή Ένωση
Βελτιώνονται οι προοπτικές του κλάδου τεχνολογίας το 2024 - Kορυφαία ευκαιρία η τεχνητή νοημοσύνη
Σε ισχύ ο ευρωπαϊκός Νόμος για τις Ψηφιακές Υπηρεσίες - Βαριά πρόστιμα για τους παραβάτες
Η OpenAI παρουσίασε το Sora, ένα επαναστατικό εργαλείο που δημιουργεί βίντεο από κείμενα
Τεχνητή νοημοσύνη: Η Meta υπόσχεται να εντοπίζει τις «κατασκευασμένες» εικόνες στα social media
Meta: Ανακοίνωσε την πρώτη διανομή μερίσματος – Πόσα έχει λαμβάνειν ο Ζάκερμπεργκ
