Security Week 2211: новый вариант Spectre

Исследования об уязвимостях Spectre и Meltdown были опубликованы в январе 2018 года. С тех пор появилось множество работ, развивающих общую идею использовать механизм предсказания ветвлений в процессоре (или других аппаратных особенностей) для выполнения произвольного кода и кражи секретов. Подтвердилась теоретическая возможность удаленной эксплуатации, нашлись варианты эксплуатации для процессоров всех крупных производителей. Эти многочисленные проблемы решали как в софте, так и в новом железе.



Свежая работа исследователей из Амстердамского свободного университета (описание и FAQ, исходник в PDF) показывает новый вариант атаки Spectre v2, который позволяет обойти как программные заплатки, так и аппаратные. Несущественная, но любопытная деталь данного исследования: компания Intel признала наличие проблемы в собственных процессорах и присвоила соответствующим уязвимостям красивые номера CVE-2022-0001 и CVE-2022-0002.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Текстовый интернет умер, да здравствует голосовой
• 187-ФЗ: касается вас или нет? Чек-лист из 6 шагов, чтобы спать спокойно
• Как перестать сливать ключи клиентов в ChatGPT: пишем умный буфер обмена для n8n и Python
• Рынок рекламы в MAX вырос в 55 раз за полгода: что показало первое исследование Telega.in и АРИР
• Цепочка атаки на ИТ-инфраструктуру компании через AD CS: от CVE-2024-4577 до компрометации домена
• Текарт: Создание единого контура управления продажами для индийского филиала российской компании
• Почему безопасность на этапе релиза обходится в десять раз дороже и как это исправить
• Как пчёлы, муравьи и рыбы привели нас к мультиагентному ИИ — и почему его так трудно защитить
• ИБ глазами архитектора: между «карточным домиком» и «бетонным саркофагом»
• ИИ-браузер: сотрудник, который ходит по сайтам, кликает баннеры и верит скидкам 90%