Chraňte svůj Mac před zranitelností spekulativního spouštění, jako je ZombieLoad

Existuje nová chyba zabezpečení týkající se spekulativního spouštění, která ovlivňuje zařízení Mac. A stejně jako minulé zranitelnosti ve stejném duchu má děsivě znějící název: ZombieLoad.

Ale je snadné se ztratit v mediální smršti pokrývající ZombieLoad, zejména proto, že možná nevíte, jak nebo proč by to pro vás mohlo být nebezpečné.

Příbuzný:

• Apple během několika dní opraví chybu čipu „Spectre“.
• Spectre Patch může zpomalit iOS, výkon Safari (a co s tím můžete dělat)
• Apple vydal opravu zabezpečení Meltdown pro Sierra a El Capitan

S ohledem na to je zde vše, co potřebujete vědět o ZombieLoad a dalších zranitelnostech spekulativního provádění – včetně toho, jak se chránit.

Co je ZombieLoad?

ZombieLoad neboli zranitelnost Microarchitectural Data Sampling (MDS) je závažnou bezpečnostní chybou objevenou v architektuře čipové sady Intel. Přesněji řečeno, jedná se o zranitelnost spekulativního provádění – podobně jako podobně pojmenované bezpečnostní chyby Spectre a Meltdown objevené v roce 2018.

Zranitelnosti spekulativního spouštění, jako je ZombieLoad, využívají chyby v architektuře procesoru. Nejsou to softwarové chyby.

Ještě horší je, že využívají specifické mechanismy a komponenty v rámci počítačového hardwaru, které byly záměrně navrženy tak, aby byly počítače rychlejší. Z tohoto důvodu může úplná ochrana proti nim snížit výkon procesoru.

ZombieLoad například funguje tak, že do procesoru nahraje velkou sadu nevyžádaných nebo „zombie“ dat. Procesor pak musí vytáhnout další zdroje, aby zvládl zátěž, což může vést k úniku dat.

Aby bylo jasno, ZombieLoad a další zranitelnosti, jako je ona, nepředstavují „drive-by“ bezpečnostní rizika. To znamená, že aby chyba zabezpečení fungovala, musíte konkrétně nainstalovat škodlivou aplikaci nebo přistupovat na web se škodlivým kódem JavaScript.

Přesto je to vážná bezpečnostní díra a měli byste podniknout kroky k její opravě co nejdříve – zvláště pokud pracujete s citlivými daty.

Jak vás může ZombieLoad ovlivnit?

Zranitelnosti týkající se spekulativního spuštění jsou nebezpečné, protože mohou ohrozit nebo uniknout vaše soukromá data.

Kvůli architektuře procesoru, kterou využívají, může ZombieLoad a podobná zranitelnost umožnit útočníkovi přístup k jakýmkoli datům uloženým v systémové paměti.

To může zahrnovat data, jako jsou hesla a e-mailové adresy. Může také zahrnovat extrémně citlivé informace, jako jsou finanční údaje nebo čísla sociálního zabezpečení.

Výzkumníci, kteří objevili ZombieLoad, dali dohromady a proof-of-concept útoku demonstrovat, čeho je chyba schopna. Video ukazuje, jak by se útočník mohl dostat ke každému webu, který uživatel navštíví.

Je zřejmé, že by to mohlo znamenat, že od uživatele lze získat také riziková data, jako jsou kryptografické klíče, bezpečnostní tokeny a hesla.

Která zařízení ZombieLoad ovlivňuje?

ZombieLoad a další zranitelnosti spekulativního spouštění jsou nebezpečné kvůli svému rozsahu. Konkrétně ZombieLoad ovlivňuje každé jednotlivé zařízení s procesorem Intel vyrobeným v roce 2011 nebo později.

Chyba je agnostika operačního systému, což znamená, že může ovlivnit zařízení se systémem Windows, Linux, macOS nebo dokonce specializované operační systémy.

Pokud jde o to, jaká zařízení Mac jsou ovlivněna, Apple to poznamenává ZombieLoad ovlivňuje každé zařízení Mac vyrobené po roce 2011. To zahrnuje MacBooky, iMacy, Mac mini a Mac Pro.

A co starší stroje?

Naštěstí pro uživatele počítačů Mac vyrobených před rokem 2011 ZombieLoad nebude mít vliv na tyto počítače. Ale procesory Intel v roce 2010 a dřívějších počítačích Mac mohou být v budoucnu stále náchylné ke spekulativním chybám při spouštění.

A bohužel, protože Intel zaostává s vydáváním aktualizací mikrokódu pro tyto procesory, Apple nebude schopen opravit tyto zranitelnosti, pokud a když budou nalezeny.

Jak se chránit před ZombieLoad

Naštěstí byl Apple již před hrou, když se tento týden objevily zprávy o ZombieLoad. Společnost vydala řadu softwarových oprav, které obsahují zmírnění zranitelnosti spekulativního spuštění.

To zahrnuje softwarovou opravu v macOS 10.14.5 a také dodatečné aktualizace zabezpečení pro uživatele, kteří stále používají macOS High Sierra a macOS Sierra.

MacOS 10.14.5 byste si měli stáhnout co nejdříve. Existují také softwarové opravy Security Update 2019–003 pro High Sierra a Sierra.

Obsah opravy a omezení

Oprava obsahuje opravu, která zvyšuje riziko škodlivého kódu na webových stránkách, ať už JavaScriptu nebo jiného.

Tento patch se ale týká pouze Safari. Pokud používáte jiný webový prohlížeč, jako je Google Chrome nebo Mozilla Firefox, budete muset implementovat opravy pro tyto platformy.

Zatímco Firefox v současné době pracuje na opravě, Google Chrome uvedl, že jeho oprava proti ZombieLoad nic neudělá. Chrome proto uživatelům doporučuje spolehnout se bezpečnostní opatření založená na operačním systému.

Vzhledem k tomu, že Chrome momentálně nemá opravu, doporučujeme uživatelům přejít na Safari, pokud pracují s citlivými nebo důvěrnými daty.

Další bezpečnostní techniky

Škodlivý kód webových stránek není jediný způsob, jak může ZombieLoad cílit na váš Mac. Tuto chybu zabezpečení mohou využít také aplikace nainstalované ve vašem počítači.

I když musíte vědomě stahovat aplikace do macOS, vždy existuje šance, že útočníci by mohli využít techniky sociálního inženýrství, aby vás přiměli ke stažení malwaru.

Pro většinu uživatelů macOS to nebude problém. Ale znovu, pokud jste si obzvláště vědomi zabezpečení, doporučujeme stahovat pouze aplikace z oficiálního obchodu Mac App Store nebo od vývojářů, o kterých absolutně víte, že jim můžete důvěřovat.

Úplné zmírnění

Apple má také další techniku, která dokáže plně ochránit uživatele Maců před zranitelností ZombieLoad. Apple to nazývá úplné zmírnění a zveřejnil a podpůrný dokument podrobně popisující taktiku.

Úplné zmírnění odstraňuje hrozbu ZombieLoad, ale není bez nevýhod. Pro některé uživatele by úplné zmírnění mohlo znamenat snížení výkonu až o 40 procent.

Je to proto, že úplné zmírnění vyžaduje, aby uživatelé zakázali hyper-threading na svých procesorech Intel. To zvyšuje ochranu proti zranitelnostem spekulativního provádění, ale může to také vážně ovlivnit rychlost.

Ale stále je to nejbezpečnější způsob, jak nakládat s daty, pokud se nacházíte ve vysoce rizikovém prostředí. To platí i v případě, že používáte webové prohlížeče, které aktuálně nemají k dispozici opravu.