Prima di oggi, un gruppo di studiosi e ricercatori di sicurezza divulgato una nuova vulnerabilità di classe incidono le Cpu Intel.
Conosciuto come della microarchitettura Dati di Campionamento (MDS), gli attacchi, le vulnerabilità consentono minaccia attori per recuperare i dati elaborati all’interno della Intel, anche da processi di codice di un utente malintenzionato non dovrebbe avere accesso.
Quattro MDS attacchi sono stati comunicati oggi, con Zombieload essere considerato il più pericoloso di tutti:
CVE-2018-12126 – della microarchitettura Store Buffer Dati di Campionamento (MSBDS) [nome in codice di Fallout] CVE-2018-12127 – della microarchitettura del Carico Porto di Campionamento dei Dati (MLPDS)CVE-2018-12130 – della microarchitettura Riempire il Buffer di Dati di Campionamento (MFBDS) [nome in codice Zombieload, o RIDL] CVE-2018-11091 – della microarchitettura di Campionamento dei Dati non in cache di Memoria (MDSUM)
La buona notizia è che Intel ha avuto più di un anno per ottenere questa patch, e la società ha lavorato con vari OS e i fornitori di software per coordinare le patch sia l’hardware e il software. Sia l’hardware (Intel CPU microcode aggiornamenti) e software (OS aggiornamenti di sicurezza) protezioni devono essere installati allo stesso tempo completamente mitigare MDS attacchi. Se le patch non sono ancora disponibili, la disattivazione del Simultaneous Multi-Threading (SMT) su Cpu Intel di ridurre in modo significativo l’impatto di tutti gli attacchi.
Qui di seguito è una sintesi di tutte le correzioni attualmente disponibili per oggi MDS attacchi, con il supporto dell’pagine che descrivono ulteriori tecniche di mitigazione.
Intel
In un avviso di sicurezza, Intel ha detto oggi che è uscito aggiornamento Intel microcodice aggiornamenti per il dispositivo e la scheda madre fornitori.
Quando questi gli aggiornamenti del microcodice finire sui computer degli utenti, è indovinare di nessuno. Se vogliamo imparare qualcosa dal Collasso e Spectre processo di patch, probabilmente la risposta è mai, e Microsoft avrà, infine, per il passaggio e consegnare Intel gli aggiornamenti del microcodice parte del processo di Windows Update, proprio come è successo per il Crollo e lo Spettro dello scorso anno.
Nel frattempo, Intel ha pubblicato un elenco di impatto processori Intel, completa con approfondimenti sullo stato dell’disponibili gli aggiornamenti del microcodice per ogni modello di CPU.
Microsoft
Fino a quando Intel microcodice aggiornamenti raggiungere i computer degli utenti, Microsoft ha pubblicato a livello di sistema operativo aggiornamenti per affrontare i quattro MDS vulnerabilità.
Per Microsoft MDS avviso di sicurezza, gli aggiornamenti del sistema operativo sono disponibili per Windows e Windows Server, ma anche i database di SQL Server.
Azure clienti sono già protetti, in quanto Microsoft ha già provveduto ad patch sua infrastruttura cloud e mitigare la minaccia.
Apple
Strategie di riduzione del rischio per le sindromi MIELODISPLASTICHE attacchi sono stati distribuiti con macOS Mojave 10.14.5, pubblicato oggi.
“Questo aggiornamento impedisce lo sfruttamento di queste vulnerabilità, tramite JavaScript, o come risultato di navigazione di un sito web dannoso in Safari di Apple”.
La correzione non ha “misurabile impatto sulle prestazioni”, l’azienda ha aggiunto.
i dispositivi iOS l’utilizzo delle Cpu non è noto per essere vulnerabili a MDS, e quindi non hanno bisogno di particolari strategie di riduzione del rischio, per ora.
Linux
La frammentazione ecosistema Linux sarà lento a ricevere patch. Al momento della scrittura, solo Red Hat e Ubuntu hanno annunciato correzioni nella loro distribuzione.
Google ha pubblicato una pagina di aiuto oggi che visualizza lo stato di ogni prodotto e come viene influenzato da oggi MDS attacchi.
Per questa pagina, infrastruttura cloud di Google ha già ricevuto tutte le opportune protezioni, simile ad Azure. Alcuni di Google Cloud Platform clienti possono avere bisogno di rivedere alcune impostazioni, ma G Suite e i clienti di Google Apps non devi fare nulla.
Chrome OS ha disattivato l’Hyper-Threading su Chrome OS 74 e successive versioni. Questo protegge contro MDS attacchi, Google ha detto.
Gli utenti Android non sono interessati. Google ha detto OS a livello di strategie di riduzione del rischio dovrebbe proteggere gli utenti del browser Chrome.
Amazon
Proprio come Google e Microsoft, Amazon ha detto che già patchato e applicare strategie di riduzione del rischio per il proprio cloud server in nome e per conto dei propri utenti.
Più vulnerabilità di report:
‘Unhackable’ eyeDisk unità flash espone le password in chiaro textSecurity difetti in 100+ Jenkins plugin di mettere le reti di imprese a rischio
Thrangrycat difetto consente agli aggressori impianto persistente backdoor su Cisco gearIntel Cpu influenzato dalle nuove Zombieload canale laterale attackAlpine Linux Mobile immagini spedire un account di root senza passwordMicrosoft Maggio 2019 Patch martedì arriva con il fix per Windows zero-day, MDS attacksKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati