2018 йилнинг 3 январь куни экспертлар сўнгги 20 йилда чиқарилган Intel процессорларидаги камчилик ҳақида маълумот беришди. Чипларни лойиҳалаштиришда йўл қўйилган хато жиноятчиларга ядронинг ҳимояланган қисмига кириш ва у ерда сақланувчи логинлар, махфий сўзлар ҳамда бошқа файлларни ўғирлаш имконини беради.
Жиноятчилар бу маълумотларни олишлари учун фойдаланувчининг веб-браузери орқали JavaScript-кодни ишга туширишлари кифоя қилади.
Бу қандай ишлайди
Камчилик ҳужумнинг икки турига йўл очиб беради: Meltdown («Синиш») ва Spectre («Шарпа»). Meltdown – булутли сервисларга таҳдид уйғотувчи муаммодир, дея таъкидлайди The New York Times. Бу камчилик иловалар ва операцион тизим ички хотираси ўртасидаги тўсиқни бузиш, яъни тизим хотирасида сақланувчи маълумотларни олиш имконини беради.
Масалан, бир илова реал вақт режимида бошқа илова орқали қандай маълумотлар (шу жумладан, махфий сўзларни ҳам) тизимнинг ички хотираси орқали кўришга қодир.
Using #Meltdown to steal passwords in real time #intelbug #kaiser #kpti /cc @mlqxyz @lavados @StefanMangard @yuvalyarom https://t.co/gX4CxfL1Ax pic.twitter.com/JbEvQSQraP
— Michael Schwarz (@misc0110) January 4, 2018
Spectre’нинг камчилиги, экспертларнинг фикрича, мутахассислар «бир неча ўн йилликлар давомида» тузатадиган муаммодир. Бундан ташқари, у оддий иловаларга ўша тизимда ишловчи бошқа иловалардан маълумотлар олиш имконини беради.
Бу баг жиноятчилар учун анча мушкул, бироқ уни тузатиш ҳам мураккаброқ, дея ҳисоблайди мутахассислар.
Ким ҳужумга учраши мумкин
Intel чиплар ишлаб чиқарувчиси хавфсизлик билан боғлиқ муаммолар ҳақида эълон қилди, шунингдек, бошқа ишлаб чиқарувчиларда ҳам шундай муаммолар борлигини айтиб ўтди. Intel ва Microsoft баёнотида AMD ҳамда ARM компанияси чипидаги камчилик тилга олинади, бироқ AMD бу маълумотни рад этди.
Intel билан нима бўлади?
Intel акциялари қиймати компания чипларидаги камчилик ҳақида тарқалган хабарлар фонида 3 фоизга тушиб кетди. Business Insider маълумотларига кўра, 2017 йилнинг ноябрида компания раҳбари компании Брайан Кржанич компания акцияларининг тахминан 24 млн долларлик қийматдаги тўпламини сотиб юборди.
Шу билан бирга, Google Intel’га камчилик ҳақидаги маълумотларга ўша йилнинг июнида берган. Кржанич тўпламини сотганидан сўнг, 250 мингта қимматли қоғозлари эгаси бўлиб қолди. Intel’дан маълум қилишларича, компания улушининг сотилиши процессорлар камчилиги билан боғланмаган, сабаби аввалдан режалаштирилган бўлган.
Ишлаб чиқарувчилар муаммони қандай ҳал қилмоқда
Компаниялар фойдаланувчиларни ҳимоялаш учун патчларни чиқармоқда, улар ядрони фойдаланувчилар процессорларидан ажратади, алоҳида манзилга олиб ўтади. Бу ечимдаги муаммо шундан иборатки, у компьютерлар ишлаш сифатини 5-30 фоизга пасайтиради.
Шу билан бирга, оддий фойдаланувчилар ўзгаришларни сезмасликлари ҳам мумкин: Intel учун патчлар тестлари шуни кўрсатдики, масалан, Linux’да ўйинлар ишга туширилганида, қурилмалар қуввати деярли зарар кўрмайди.
Microsoft Windows’нинг фавқулодда янгиланишини чиқарди, Apple 6 декабрдаги macOS учун янгиланишда камчиликни қисман ёпди. Linux ядросининг янгиланиши ҳам декабрда чиқди.
Google Nexus 5X, Nexus 6P, Pixel C, Pixel/XL ва Pixel 2/XL смартфонларини ҳимоя қилиш учун янгиланишни январда чиқаради, улар қурилмаларга автоматик тарзда юкланади. Компания Chrome браузери янгиланишига ҳам қатор ўзгартиришлар киритди, камчилик Chrome 64 версиясида бутунлай ёпилади.
Нима қилиш керак?
Вазиятга изоҳ берган компаниялар фойдаланувчиларга янгиланишларни ўрнатишни маслаҳат беришмоқда. Bloomberg маълумотларига кўра, экспертлар ҳозирча Meltdown ва Spectre билан боғлиқ биронта ҳужумни ҳам қайд этишмади.
