Viena iš dviejų spragų susijusi su didžiausios bendrovės „Intel“ procesoriais, kuriais aprūpinta dauguma kompiuterių. Kita gali paveikti beveik viską – nuo išmaniųjų telefonų iki serverių.

Procesorių gamintojai teigia, kad spragos susijusios ne su ydingu dizainu, o su programine įranga. Spragas norėta paviešinti tik parengus parsisiųsti naujinius, kurie spragas užkamšys, bet žinia nutekėjo anksčiau.

Ekspertai sako, kad naujiniai gali sulėtinti sistemų darbą iki trečdalio, bet „Intel“ teigia, kad įprastų kompiuterių jie nesulėtins. Naujiniai, susiję su pirmąja ir pavojingesne spraga, jau parengti. Antrąją spragą programišiams išnaudoti sunkiau, bet ją ir sunkiau ištaisyti.

Reportažą apie tai žiūrėkite čia.

Vyresniojo „GReAT“ saugumo tyrėjo Jornto van der Wielo komentaras:

„Intel“ procesoriuose buvo aptiktos dvi didelės spragos, kurios pasiekiant pagrindinę branduolio atmintį leidžia iš programų pasisavinti konfidencialią informaciją. Pirmoji spraga – „Meltdown“, ji gali veiksmingai pašalinti barjerą tarp vartotojo programų ir jautrių operacinės sistemos dalių. Antroji „Spectre“ spraga, kurią taip pat galima rasti „AMD“ ir „ARM“ procesoriuose, per tam tikras programas gali nutekinti atminties turinį.

„Įrenginyje įdiegtos programos dažniausiai paleidžiamos „vartotojo režimu“, atskirai nuo jautrių operacinės sistemos dalių. Jei programai reikia prieigos prie jautrios srities (pagrindinio disko, tinklo ar procesoriaus), ji turi paprašyti leidimo naudoti „apsaugotą režimą“. „Meltdown“ atveju užpuolikas gali pasiekti apsaugotą režimą ir pagrindinę atmintį be papildomo leidimo, veiksmingai pašalinti kliūtis bei potencialiai pavogti duomenis iš paleistų programų atminties, pvz.: tvarkyklių, naršyklių ir elektroninio pašto slaptažodžius, nuotraukas bei dokumentus.

„Jei yra techninės įrangos klaida – visados atsiras ir pataisa. Kad ištaisyti „Meltdown“ pažeidžiamumą buvo išleistos „Linux“, „Windows“ ir „OS X“ pataisos. O šiuo metu vyksta darbai siekiant sustiprinti programinę įrangą prieš „Spectre“ pažeidžiamumo eksploatavimą ateityje. Čia „Google“ paskelbė daugiau informacijos šia tema. Labai svarbu, kad vartotojai nedelsdami įdiegtų visus galimus pakeitimus. Nusikaltėliams prireiks laiko suprasti, kaip išnaudoti šiuos pažeidimus – taip suteikiant nedidelį, bet kritiškai reikalingą laiką apsaugai.“