დაიცავით თქვენი Mac სპეკულაციური შესრულების ხარვეზებისგან, როგორიცაა ZombieLoad

მაკიDec 19, 2021
click fraud protection

არის ახალი სპეკულაციური შესრულების დაუცველობა, რომელიც გავლენას ახდენს Mac მოწყობილობებზე. და ისევე როგორც წარსული დაუცველობების მსგავსად, მას აქვს საშინელი ჟღერადობის სახელი: ZombieLoad.

მაგრამ ადვილია დაიკარგო მედია ქარიშხალში, რომელიც აშუქებს ZombieLoad-ს, განსაკუთრებით მას შემდეგ, რაც შეიძლება არ იცოდე, როგორ ან რატომ შეიძლება იყოს ეს შენთვის საშიში.

შინაარსი

    • დაკავშირებული:
  • რა არის ZombieLoad?
    • როგორ შეიძლება ZombieLoad იმოქმედოს თქვენზე?
    • რომელ მოწყობილობებზე მოქმედებს ZombieLoad?
    • რაც შეეხება ძველ მანქანებს?
  • როგორ დავიცვათ თავი ZombieLoad-ისგან
    • პაჩის შინაარსი და შეზღუდვები
    • უსაფრთხოების სხვა ტექნიკა
    • სრული შერბილება
    • დაკავშირებული პოსტები:

დაკავშირებული:

  • Apple გამოასწორებს "Spectre" ჩიპის ხარვეზს რამდენიმე დღეში
  • Spectre Patch-ს შეუძლია შეანელოს iOS, Safari-ის შესრულება (და რა შეგიძლიათ გააკეთოთ ამის შესახებ)
  • Apple აქვეყნებს Meltdown Security Fix-ს Sierra-სა და El Capitan-ისთვის

ამის გათვალისწინებით, აქ არის ყველაფერი, რაც უნდა იცოდეთ ZombieLoad-ისა და შესრულების სხვა სპეკულაციური ხარვეზების შესახებ – მათ შორის, როგორ დაიცვათ თავი.

რა არის ZombieLoad?

ZombieLoad
ZombieLoad მოწყვლადობა საშიშია მისი მოცულობისა და იმის გამო, თუ რა შეუძლია მას.

ZombieLoad, ან Microarchitectural Data Sampling (MDS) დაუცველობა არის უსაფრთხოების სერიოზული ხარვეზი, რომელიც აღმოჩენილია Intel-ის ჩიპსეტის არქიტექტურაში. უფრო კონკრეტულად, ეს არის შესრულების სპეკულაციური დაუცველობა – ისევე, როგორც ანალოგიურად დასახელებული Spectre და Meltdown უსაფრთხოების ხარვეზები, რომლებიც აღმოაჩინეს 2018 წელს.

სპეკულაციური შესრულების ხარვეზები, როგორიცაა ZombieLoad, სარგებლობს პროცესორის არქიტექტურის ხარვეზებით. ისინი არ არის პროგრამული ხარვეზები.

რაც უფრო უარესია, ისინი იყენებენ სპეციფიკურ მექანიზმებს და კომპონენტებს კომპიუტერული ტექნიკის შიგნით, რომლებიც შეგნებულად იყო შექმნილი კომპიუტერების უფრო სწრაფი გასაკეთებლად. ამის გამო, მათგან სრულად დაცვამ შეიძლება შეამციროს CPU-ს შესრულება.

მაგალითად, ZombieLoad მუშაობს უსარგებლო ან „ზომბი“ მონაცემების დიდი ნაკრების პროცესორში ჩატვირთვით. შემდეგ პროცესორმა უნდა მოიზიდოს დამატებითი რესურსები დატვირთვის დასაძლევად, რამაც შეიძლება გამოიწვიოს მონაცემთა გაჟონვა.

გასაგებად რომ ვთქვათ, ZombieLoad და მისი მსგავსი სხვა დაუცველობა არ წარმოადგენს უსაფრთხოების რისკებს. ეს ნიშნავს, რომ თქვენ კონკრეტულად უნდა დააინსტალიროთ მავნე აპი ან შეხვიდეთ საიტზე მავნე JavaScript კოდით, რათა დაუცველობამ იმუშაოს.

მიუხედავად ამისა, ეს არის უსაფრთხოების სერიოზული ხვრელი და თქვენ უნდა გადადგათ ზომები მის გასასწორებლად რაც შეიძლება მალე – განსაკუთრებით თუ საქმე გაქვთ მგრძნობიარე მონაცემებთან.

როგორ შეიძლება ZombieLoad იმოქმედოს თქვენზე?

შესრულების სპეკულაციური დაუცველობა საშიშია, რადგან მათ შეუძლიათ თქვენი პირადი მონაცემების კომპრომეტირება ან გაჟონვა.

მათ მიერ გამოყენებული პროცესორის არქიტექტურის გამო, ZombieLoad და მსგავსი დაუცველობა თავდამსხმელს შეუძლია წვდომა მისცეს სისტემის მეხსიერებაში შენახულ ნებისმიერ მონაცემს.

ეს შეიძლება შეიცავდეს მონაცემებს, როგორიცაა პაროლები და ელფოსტის მისამართები. ის ასევე შეიძლება შეიცავდეს უკიდურესად მგრძნობიარე ინფორმაციას, როგორიცაა ფინანსური მონაცემები ან სოციალური უსაფრთხოების ნომრები.

მკვლევარებმა, რომლებმაც აღმოაჩინეს ZombieLoad, შეკრიბეს ა კონცეფციის დამადასტურებელი შეტევა იმის დემონსტრირება, თუ რა შეუძლია ნაკლს. ვიდეო გვიჩვენებს, თუ როგორ შეუძლია თავდამსხმელს წვდომა თითოეულ ვებსაიტზე, რომელსაც მომხმარებელი სტუმრობს.

ცხადია, ეს შეიძლება ნიშნავდეს, რომ სარისკო მონაცემები, როგორიცაა კრიპტოგრაფიული გასაღებები, უსაფრთხოების ნიშნები და პაროლები, ასევე შეიძლება მოგროვდეს მომხმარებლისგან.

რომელ მოწყობილობებზე მოქმედებს ZombieLoad?

ZombieLoad და სხვა სპეკულაციური შესრულების ხარვეზები საშიშია მათი მოცულობის გამო. ZombieLoad, კონკრეტულად, გავლენას ახდენს ყველა მოწყობილობაზე Intel CPU-ით, რომელიც დამზადებულია 2011 წელს ან უფრო გვიან.

ხარვეზი არის ოპერაციული სისტემის აგნოსტიკურობა, რაც იმას ნიშნავს, რომ მას შეუძლია გავლენა მოახდინოს მოწყობილობებზე, რომლებიც მუშაობენ Windows, Linux, macOS ან თუნდაც სპეციალიზებული ოპერაციული სისტემებით.

რაც შეეხება Mac მოწყობილობებს, Apple აღნიშნავს, რომ ZombieLoad გავლენას ახდენს 2011 წლის შემდეგ დამზადებულ ყველა Mac მოწყობილობაზე. ეს მოიცავს MacBooks, iMacs, Mac mini და Mac Pro.

რაც შეეხება ძველ მანქანებს?

საბედნიეროდ 2011 წლამდე შექმნილი Mac-ის მომხმარებლებისთვის, ZombieLoad ვერ შეძლებს ამ კომპიუტერებზე ზემოქმედებას. მაგრამ Intel-ის პროცესორები 2010 წელს და უფრო ადრე Macs შეიძლება კვლავ იყოს მიდრეკილი სპეკულაციური შესრულების ხარვეზებისკენ მომავალში.

და, სამწუხაროდ, იმის გამო, რომ Intel ჩამორჩებოდა მიკროკოდის განახლებების გამოქვეყნებას ამ პროცესორებისთვის, Apple ვერ შეძლებს ამ დაუცველობის დალაგებას, თუ და როდესაც ისინი აღმოჩნდებიან.

როგორ დავიცვათ თავი ZombieLoad-ისგან

MacBook Pro macOS
არსებობს მთელი რიგი ნაბიჯები, რომლებიც შეგიძლიათ - და უნდა - გადადგათ ZombieLoad-ისგან თავის დასაცავად.

საბედნიეროდ, Apple უკვე უსწრებდა თამაშს, როდესაც ZombieLoad-ის ახალი ამბები გავრცელდა ამ კვირაში. კომპანიამ გამოუშვა სხვადასხვა სახის პროგრამული პატჩები, რომლებიც ასახავს სპეკულაციური შესრულების დაუცველობის შემარბილებას.

ეს მოიცავს პროგრამულ პატჩს macOS 10.14.5-ში, ასევე უსაფრთხოების დამატებით განახლებებს მომხმარებლებისთვის, რომლებიც ჯერ კიდევ მუშაობენ macOS High Sierra-სა და macOS Sierra-ზე.

თქვენ უნდა ჩამოტვირთოთ macOS 10.14.5 რაც შეიძლება მალე. ასევე არსებობს უსაფრთხოების განახლების 2019–003 პროგრამული პატჩები როგორც High Sierra-სთვის, ასევე Sierra-სთვის.

პაჩის შინაარსი და შეზღუდვები

პატჩი შეიცავს შესწორებას, რომელიც აძლიერებს მავნე კოდის რისკს ვებსაიტებზე, იქნება ეს JavaScript თუ სხვა.

მაგრამ ეს პაჩი მხოლოდ Safari-ზე ვრცელდება. თუ იყენებთ სხვა ვებ ბრაუზერს, როგორიცაა Google Chrome ან Mozilla Firefox, დაგჭირდებათ ამ პლატფორმების შესწორებების განხორციელება.

მიუხედავად იმისა, რომ Firefox ამჟამად მუშაობს პატჩზე, Google Chrome-მა განაცხადა, რომ მისი შესწორება არაფრის გაკეთებას არ აპირებს ZombieLoad-ის წინააღმდეგ. ამის გამო, Chrome მომხმარებლებს ურჩევს დაეყრდნონ ოპერაციულ სისტემაზე დაფუძნებული უსაფრთხოების ზომები.

იმის გამო, რომ Chrome-ს ამჟამად არ აქვს გამოსწორება, ჩვენ გირჩევთ, რომ მომხმარებლებს გადაერთონ Safari-ზე, თუ საქმე აქვთ სენსიტიურ ან კონფიდენციალურ მონაცემებთან.

უსაფრთხოების სხვა ტექნიკა

ვებსაიტის მავნე კოდი არ არის ერთადერთი გზა, რომლითაც ZombieLoad-ს შეუძლია თქვენი Mac-ის მიზანმიმართვა. თქვენს კომპიუტერზე დაინსტალირებულ აპებს ასევე შეუძლიათ ისარგებლონ დაუცველობით.

მიუხედავად იმისა, რომ შეგნებულად უნდა ჩამოტვირთოთ აპლიკაციები macOS-ზე, ყოველთვის არის შანსი, რომ თავდამსხმელებმა გამოიყენონ სოციალური ინჟინერიის ტექნიკა, რათა მოგატყუონ მავნე პროგრამების ჩამოტვირთვა.

ეს არ იქნება პრობლემა macOS მომხმარებლების უმეტესობისთვის. მაგრამ, კიდევ ერთხელ, თუ განსაკუთრებულად ზრუნავთ უსაფრთხოებაზე, გირჩევთ ჩამოტვირთოთ აპლიკაციები მხოლოდ ოფიციალური Mac App Store-დან ან დეველოპერებისგან, რომლებსაც აბსოლუტურად იცით, რომ ენდობით.

სრული შერბილება

Apple-ს ასევე აქვს კიდევ ერთი ტექნიკა, რომელსაც შეუძლია სრულად დაიცვას Mac მომხმარებლები ZombieLoad დაუცველობისგან. Apple მას სრულ შერბილებას უწოდებს და გამოაქვეყნა ა დამხმარე დოკუმენტი, რომელიც დეტალურად ასახავს ტაქტიკას.

სრული შერბილება აღმოფხვრის ZombieLoad საფრთხეს, მაგრამ ეს არ არის მინუსების გარეშე. ზოგიერთი მომხმარებლისთვის, სრული შერბილება შეიძლება ნიშნავდეს შესრულების შემცირებას 40 პროცენტამდე.

ეს იმიტომ ხდება, რომ სრული შერბილება მოითხოვს, რომ მომხმარებლებმა გამორთონ ჰიპერთრედინგი მათი Intel პროცესორებზე. ეს ზრდის დაცვას შესრულების სპეკულაციური ხარვეზებისგან, მაგრამ ასევე შეიძლება სერიოზულად იმოქმედოს სიჩქარეზე.

მაგრამ ეს მაინც ყველაზე უსაფრთხო გზაა მონაცემების დასამუშავებლად, თუ მაღალი რისკის გარემოში იმყოფებით. ეს მოიცავს, თუ იყენებთ ვებ ბრაუზერებს, რომლებსაც ამჟამად არ აქვთ გამოსწორება.

მაიკი - ვაშლი
მაიკ პეტერსონი(უფროსი მწერალი)

მაიკი არის თავისუფალი ჟურნალისტი სან დიეგოდან, კალიფორნია.

მიუხედავად იმისა, რომ ის ძირითადად აშუქებს Apple-ს და სამომხმარებლო ტექნოლოგიას, მას აქვს წარსული გამოცდილება, წერდა საზოგადოებრივ უსაფრთხოებას, ადგილობრივ ხელისუფლებას და განათლებას სხვადასხვა პუბლიკაციებისთვის.

მას საკმაოდ ბევრი ქუდი ეხურა ჟურნალისტიკის სფეროში, მათ შორის მწერალი, რედაქტორი და ახალი ამბების დიზაინერი.