Эта уязвимость входит в класс Microarchitectural Data Sampling (MDS), о котором на Хабре уже писали. Ее обнаружил студент университета Штефан ван Шайк (Stephan van Schaik). Вместе с ним проблему изучали и другие университеты и компании, но первым был именно ван Шайк в качестве представителя ВУЗа, так что лишь Амстердамский свободный университет может претендовать на Bounty-вознаграждение от Intel. Учебное заведение считается одним из ведущих ВУЗов страны и Европы.
Максимальный размер вознаграждения по условиям программы составлял $100 000. Если бы компания выплатила все $100 тыс., стало бы ясно, что уязвимость критическая. Поэтому представители Intel предложили снизить размер официальной выплаты до $40 000, предоставив в качестве компенсации $80 000. В итоге вместо $100 тысяч организация получила бы $120 тысяч. Университет от этой схемы отказался, о чем сообщил голландский сайт NRC.
Если бы университет согласился на предложение, то распространение информации о проблеме стало бы возможным лишь после ликвидации уязвимостей.
Корпорация Intel заявила, что программа выплаты вознаграждений за обнаруженные уязвимости преследует несколько целей. Первая — ограничение распространения информации об уязвимостях. Исследователю, который принимает участие в Bounty программе (не только Intel, но и любой другой), нельзя никому рассказывать о проблеме. Это позволяет разработчикам ПО выпускать обновление до того, как информация об уязвимости станет общедоступной.
Всего исследователи обнаружили четыре уязвимости, которые связаны с методом оптимизации производительности процессоров, который называется спекулятивное выполнение инструкций. Для повышения скорости работы ПК процессор пытается «угадать» какие инструкции последуют в ближайшее время и приступают к выполнению этих инструкций. Если прогноз оправдался, инструкция выполняется до конца. Если нет, то выполненные изменения откатываются. Данные не до конца выполненной инструкции могут быть извлечены из кэша, где и хранятся.
Комментарии (18)
dimonoid
17.05.2019 08:02Пользователи тем временем могут использовать Wine под Linux под Windows под macOS, продолжите сами. Отаковать таких пользователей с тройной виртуализацией никто не будет, не выгодно)
androidovshchik
17.05.2019 09:08Но и система будет очень slowpoke
dimonoid
17.05.2019 17:17Ну будет медленнее, и что с того? В ответственных местах за юзеров будут решать или уже решают админы. Зато безопаснее.
Предположим что у вас есть компьютер с всегда открытым криптокошельком, и вам совсем-совсем не хочется чтобы все деньги с кошелька украли. Вы ещё будете думать про скорость?
Tarik02
17.05.2019 09:19Wine это не виртуализация и в теории, уязвимости в нем будут работать с таким же успехом, как и в нативе.
qw1
17.05.2019 17:20Так-то да, но под такие конфигурации нужно будет писать специальные эксплойты, и это должна быть очень таргетированная атака.
Это как выходить в сеть с Linux/Firefox, выставляя в user-agent Windows/Chrome.Tarik02
17.05.2019 21:45В теории там это не очень сильно будет влиять (кроме API очень точного замера времени). Тем более, ведь можно определить из программы, запущена ли она в Wine. Аналогично, браузер можно проверять из JavaScript.
qw1
17.05.2019 22:13В теории там это не очень сильно будет влиять (кроме API очень точного замера времени)
Как же, если атакующий хочет прочитать память ядра (и найти там выходы на адреса других приложений, которые хочет атаковать). Он думает, что win-приложение, значит и ОС windows. А ядро-то линуксовое и все допущения неверны.
Аналогично, браузер можно проверять из JavaScript.
Да, но только на сильно изощрённых атаках. В большинстве случаев взломанный сайт перенаправляет трафик на хакерский сервер, а тот отдаёт эксплойт под конкретный браузер и ось, опираясь только на заголовки запроса.Tarik02
17.05.2019 22:43Как же, если атакующий хочет прочитать память ядра (и найти там выходы на адреса других приложений, которые хочет атаковать). Он думает, что win-приложение, значит и ОС windows. А ядро-то линуксовое и все допущения неверны.
Приложение может быть специально спроектированным, чтобы работать через Wine. А вот сделать так, чтобы нельзя было определить, не Wine ли это, это не так просто. Например, один изощренный способ — создать список хешей какой-нить DLL-ки разных версий Windows, если такого нет — это Wine.qw1
17.05.2019 23:04У эксплойтов нет интеллекта. Все конфигурации должны быть заранее предусмотрены атакующим. То есть, он должен предполагать, что «используется тройная виртуализация Wine под Linux под Windows под macOS». И скрипт атаки через некий spectre прочитает ядро BSD, затем память первой виртуалки, найдёт там приложение другой виртуалки и оттуда прочитает то приложение, которое собирался атаковать. Чуть где-то ошибся, или не предусмотрел, что в другой версии ОС какая-то структура не так лежит в памяти — и все дальнейшие чтения бессмысленны.
Prof
17.05.2019 08:49По моему мнению распространение информации о любых уязвимостях допустимо лишь после того, как они были исправлены. Конечно не берем в расчет те случаи, когда некую уязвимость по непонятным причинам не исправляют месяцами, а то и годами. Тут как раз надо действовать наоборот =)
DrunkBear
17.05.2019 12:52— В вашем доме газовые горелки расположены у баллонов с газом, это конструктивная особенность. Мы пока не решили, как это можно изменить, поэтому будем молчать о том, что все жители дома могут стать на милю выше к богу.
pronvit
Не виду ничего плохого в нераспространении информации до исправления. Особенно в данном случае, когда пользователи вообще ничего не могут сделать.
baragol
Пользователи могут временно не пользоваться компами с интелом внутри ;)
roscomtheend
"В случае задымления вы можете временно не дышать (до окончания спуска с 80го этажа по лестнице)".
swelf
Ну зачем на пол пути аналогию останавливать, надо продолжить «А чтобы этого избежать, мы скрыли информацию о пожаре от пользователей, чтобы не волновались»