Meltdown i Spectre – jak zareagowali producenci

Eksperci bezpieczeństwa uważają, że najlepszym lekarstwem na wykryte w procesorach luki Meltdown i Spectre jest instalacja łatek. Sprawdzamy więc, czy producenci procesorów i systemów operacyjnych udostępnili stosowne aktualizacje.

Źródło: Gibson Research Corp., www.grc.com

Luki mają wpływ na wiele produktów IT (m.in. serwery i infrastrukturę chmurową), ale nie zawsze powodują taki sam poziom zagrożenia. Niezależnie od tego, zaleca się instalację stosownych łatek, jeśli tylko są dostępne. Warto mieć też świadomość, że załatanie tych luk odbywa się kosztem spadku wydajności, ale to lepszy wybór, niż narażanie się na atak.

W internecie pojawiły się już narzędzia, które umożliwiają sprawdzenie podatności komputera lub serwera na zagrożenia Meltdown i Spectre, ale zabezpieczenie się przed wykorzystującym je atakiem wymaga instalacji odpowiednich poprawek udostępnianych przez producentów sprzętu i oprogramowania.

Zobacz również:

Niestety sytuacja dynamicznie się zmienia i czasami okazuje się, że opublikowane już poprawki są wycofywane, jak w przypadku Intela.

Intel

Producent potwierdził istnienie luk, ale nie wierzy, żeby umożliwiały uszkodzenie, modyfikowanie lub kasowanie danych. Ponadto podejrzewa, że w wielu innych urządzeniach komputerowych występuje podobny problem. Producent zadeklarował udostępnienie aktualizacji dla wszystkich urządzeń konsumenckich oraz serwerów wykorzystujących procesory Intel. W tej chwili łatki powinny być dostępne dla ponad 90% procesorów wyprodukowanych w ostatnich 5 latach.

Google

Według Google luki zostały już załatane w wielu jego produktach. Wśród dotkniętych problemem znalazły się system Android i przeglądarka Chrome. Producent zapowiedział na 28 stycznia aktualizację bezpieczeństwa, która ma zawierać łatkę dla Androida. Ponadto już na początku stycznia został udostępniony patch, który ograniczał możliwość przeprowadzenia ataku. W przypadku przeglądarki Chrome zaleca się użycie wbudowanej w nią funkcji Site Isolation, która chroni przed zagrożeniem. Ta funkcja izoluje strony internetowe otwierane w zakładkach, co redukuje poziom zagrożenia. To ustawienie można zmienić ręcznie, bądź stosując reguły.

Microsoft

Microsoft udostępnił kilka aktualizacji, aby rozwiązać problemy związane z Meltdown i Spectre. Użytkownicy, którzy korzystają z automatycznych aktualizacji, otrzymają patch w styczniu. Pozostali powinni ręcznie pobrać łatkę jak najszybciej. Ponadto producent informuje, że użytkownicy dla pewności powinni zainstalować również aktualizacje oferowane przez producentów sprzętu. Dotknięte problemem są różne wersje systemów Windows i Windows Server, przeglądarki Microsoft Edge oraz Internet Explorer.

Amazon

Według Amazon ponad 90% jego infrastruktury chmurowej jest obecnie zabezpieczone przed zagrożeniem. Ponadto sukcesywnie wprowadzane są aktualizacje dla pozostałych systemów. Łatki są dostępne dla systemów Amazon Linux, zaś dla EC2 Windows są dostępne wraz z wypuszczaniem ich przez Microsoft. Natomiast aktualizacje przygotowywane przez Amazon są przeznaczone dla infrastruktury sprzętowej. Aby zapewnić pełną ochronę, klienci muszą jednak zaktualizować swoje systemy operacyjne.

Apple

Apple jako jeden z ostatnich producentów ujawnił swoje plany dotyczące udostępnienia patchy. Według podanych przez Apple informacji, wszystkie urządzenia z systemami MacOS i iOS są dotknięte problemem, ale dotychczas nie stwierdzono przypadków wykorzystania tych luk. W pierwszej kolejności firma udostępnił łatki dla luki Meltdown, natomiast z kilkudniowym opóźnieniem mają pojawić się aktualizacje dla luki Spectre.

AMD

Na początku stycznia CMU CERT wypuścił alert potwierdzający, że również produkty AMD są objęte problemem. Jednakże producent zbagatelizował sprawę, informując, że jego badania pokazały niewielki wpływ luk Spectre i Meltdown na jego produkty. Aktualizacje udostępnione przez producenta mają zbliżony do zera wpływ na wydajność, co ma wynikać z faktu, że architektura AMD różni się nieco od architektury Intela. Jednocześnie AMD deklaruje, że w urządzeniach z jego procesorami wystarczy zainstalować stosowne aktualizacje udostępnione przez producentów oprogramowania, np. systemu operacyjnego.

ARM

Większość procesorów ARM nie zawiera luk Meltdown i Spectre – tak przynajmniej deklaruje producent. Udostępnił on pełną listę niewielkiego odsetka „podejrzanych” procesorów. Zawiera ona 10 pozycji, na której znalazły się takie modele, jak Cortex R7 i R8, Cortex A8, A9 i A15 oraz Cortex A73 i A75. Producent udostępnił również zalecenia dla użytkowników Linuksa wyjaśniające, co należy zrobić, aby zredukować zagrożenie. W przypadku Androida należy skontaktować się z Google.

VMware

Firma udostępniła aktualizacje dla VMware ESXi, Workstation oraz Fusion. Producent ocenił zagrożenie wynikające z wykrytych luk jako poważne. Według przedstawicieli VMware wykorzystanie tych luk może umożliwić dostęp do danych z poziomu jednej maszyny wirtualnej do drugiej, jeśli działają one na tym samym serwerze fizycznym.

Red Hat

Red Hat udostępnił listę wszystkich wersji Linuksa, które są dotknięte wykrytymi lukami i określił stopień zagrożenia jako poważny. O ile Red Hat Linux Containers nie są bezpośrednio dotknięte lukami w rdzeniu, to ich bezpieczeństwo zależy od integralności środowiska rdzenia systemu. Dlatego Red Hat zaleca korzystanie z najnowszej wersji obrazów kontenerów. Ponadto firma aktywnie pracuje nad przygotowaniem skryptów, które ułatwią użytkownikom zrozumienie, w jaki sposób luki Spectre i Meltdown wpływają na określone systemy. Ponadto Red Hat udostępnił patche dla wielu wersji systemu Enterprise Linux i pracuje nad aktualizacjami dla pozostałych wersji.

Mozilla

Producent popularnej przeglądarki pracuje z ekspertami, aby w pełni zrozumieć wpływ wykrytych luk na bezpieczeństwo. W między czasie udostępnił tymczasowe rozwiązanie ograniczające zagrożenie. Obecnie eksperymentuje z różnymi technikami umożliwiającymi zapobieganie wyciekaniu danych, zamiast wyłączania funkcji umożliwiających wykorzystanie luk Meltdown i Spectre.

SUSE

SUSE udostępnił łatki dla aktualnych wersji systemu SUSE Linux Enterprise. Aktualizacji dla pozostałych wersji będą udostępniane na bieżąco – tak deklaruje producent.

SUSE ocenił wykryte luki jako krytyczne i przygotował stronę internetową, na której użytkownicy mogą znaleźć aktualne informacje na temat dostępności łatek.


TOP 200